Erőltetett kiberbiztonság?

June 23, 2023 Yanac Cyber Resilience Act, EU

Az Európai Unió (EU) tovább halad előre a kiberbiztonságról szóló törvényjavaslat, a Cyber Resilience Act (Kiberbiztonságról szóló törvény) ügyében, amely biztonsági követelményeket vezet be az uniós piacon az összekapcsolt eszközök gyártóival szemben. Az egyik fő vitás pont az aktívan kihasznált sebezhetőségekre vonatkozó jelentéstételi kötelezettség. A törvénytervezet most előírja a gyártók számára, hogy mind a kiberbiztonsági incidenseket, mind az aktívan kihasznált sebezhetőségeket – beleértve a megkísérelt és sikeres betöréseket is – jelenteniük kell. A jelentéstételi kötelezettségek vitát váltanak ki az uniós tagállamok között, egyesek amellett érvelnek, hogy az érzékeny információk kezelését az uniós kiberbiztonsági ügynökség helyett a nemzeti számítógépes biztonsági incidensekre reagáló csoportok (CSIRT) végezzék.

A javasolt jogszabály értelmében a gyártóknak 24 órán belül korai figyelmeztetést, három napon belül pedig részletesebb frissítéseket kellene küldeniük, miután tudomást szereztek egy aktívan kihasználható sebezhetőségről. Az információkat az illetékes nemzeti CSIRT-nek kell megküldeni, amely aztán tájékoztatja a többi társszervet. A tervek szerint az összes bejelentés összegyűjtésére az EU Kiberbiztonsági Ügynökség (ENISA) által kezelt egységes jelentési platform szolgálna. Rendelkezések vannak azonban az indokolt kiberbiztonsági okok miatti kivételes körülmények közötti késedelmekre.

A kiberbiztonságról szóló jogszabály mellett az EU Tanácsa jelenleg a felhőszolgáltatások kiberbiztonsági tanúsítási rendszerének tervezetén dolgozik. A rendszer többszintű megközelítést tartalmaz, és új mellékletet vezet be, amely felsorolja a kiemelten kritikus termékeket. Az Európai Bizottság hatáskörrel rendelkezik majd arra, hogy ezekre a termékkategóriákra vonatkozóan európai kiberbiztonsági tanúsítást írjon elő, míg a tagállamok a kötelező tanúsítás feltételeit és a hatásvizsgálatokra vonatkozó követelményeket is felvették.

A kibertér-ellenálló képességről szóló törvény végrehajtásának határideje a törvény hatálybalépése óta két évről három évre hosszabbodott. A Bizottság öt évre szóló felhatalmazással rendelkezik majd a jogi aktusok elfogadására, amely automatikusan meghosszabbítható, hacsak az EU Tanácsa vagy a Parlament nem ellenzi azt.

(forrás)