Cybersecurity Act 2
Brüsszel új fejezetet nyit a digitális szuverenitásban, amikor a Cybersecurity Act 2 jogalkotási csomagjával nem csupán ajánlásokat fogalmaz meg, hanem kötelező érvényű szabályokat vezet be az Európai Unió kritikus technológiai infrastruktúráira, az EU kiberbiztonsági ellenálló képességére vonatkozóan. Az eddigi önkéntes irányelvek helyett immár kötelező jogi eszközök lesznek arra, hogy olyan beszállítókat, amelyek magas kockázatúnak minősülnek, kiszorítsanak az EU kritikus rendszereiből.
A jogalkotási javaslat célja az EU technológiai függetlenségének és kibervédelmének megerősítése, a digitális infrastruktúra nem csupán gazdasági kérdés, hanem nemzetbiztonsági prioritás is. Ennek megfelelően a javaslat nem csak a telekommunikációs hálózatokra korlátozódik, hanem legalább 18 kulcsfontosságú ágazatot érint, amelybe beletartoznak például az elektromos hálózatok, egészségügyi eszközök, vízellátási és közlekedési rendszerek, valamint egyéb kritikus ICT-komponensek.
A szabályozás szövegében nem említenek konkrét országokat vagy vállalatokat név szerint, a gyakorlatban a magas kockázatú beszállítók kategóriája olyan szereplőket foglal magában, amelyekhez erős geopolitikai kötődés vagy állami befolyás gyanúja fűződik, különösen olyan országokból, ahol az állam és a technológiai nagyvállalatok kapcsolata szoros, és ahol felmerülhet az adatvédelem, kémkedés vagy külső befolyás kockázata. Ebbe a körbe a Bizottság ismert módon tartoznak a kínai tech-szállítók, mint amilyen a Huawei és más hasonló vállalatok esete is, ezek a cégek eddig részben jelen voltak az EU 5G- és más hálózati rendszereiben, de a javaslat szerint három éven belül ki kell őket vezetni a kritikus infrastruktúrákból.
A tervezett jogszabály egyik kulcsfontosságú eleme, hogy kötelező európai kockázatértékelési mechanizmust állít fel, az EU vagy legalább három tagállam kezdeményezésére később egy közös magas kockázatú beszállítók listája készülhet, és a rajta szereplő technológiákat biztonsági okokból ki kell vonni a kritikus rendszerekből. Az átállásra általában 36 hónap áll majd rendelkezésre, miután a lista nyilvánosságra kerül.
A kezdeményezés lényege, hogy Európa ne legyen kiszolgáltatott olyan globális ellátási láncoknak, amelyek potenciálisan veszélyeztethetik a kontinens kiber- és információbiztonságát, illetve ne függjön olyan beszállítóktól, amelyek mögött más állami érdekek húzódhatnak meg. Az EU arra törekszik, hogy a technológiai szuverenitás ne csak gazdasági, hanem biztonsági garancia is legyen a 21. század geopolitikai versenyében és hibrid fenyegetései között.
A javaslat támogatói szerint ez az új, kötelező érvényű keret azért is szükséges, mert a korábbi, önkéntes ajánlásokból fakadó gyakorlat fragmentált volt, néhány tagállam már korábban korlátozta vagy eltávolította kínai beszállítók hálózati eszközeit, míg mások továbbra is használják őket, ami egységes EU-szintű védelmi rést hozott létre. Az új szabályok célja éppen ennek a kedvezőtlen különbségtételnek a megszüntetése és a közös technológiai védvonal megerősítése.
Ugyanakkor a javasolt intézkedések gazdasági és politikai vitát is kiváltottak, a kritikus beszállítók visszaszorítása olyan költségekkel, átállási kihívásokkal és ellátási kockázatokkal járhat, amelyek hatással lehetnek a tagállami piaci szereplőkre és beruházási döntésekre. Ellenérvek szerint a kizárólag ország-származási alapon történő korlátozás technikai bizonyítékok helyett inkább kereskedelmi és politikai jellegű lenne.
