Az EU szabályozás fejlődése

4.1.1. A szabályozás szükségességének felismerése, kezdeti javaslatok

Az elektronikus hírközlő hálózatokon keresztül megvalósuló, megbízható és biztonságos infor-mációközlés egyre inkább központi kérdés a gazdaság és a társadalom egésze számára. Műszaki hibák, balesetek, támadások egyaránt következményekkel járhatnak a fi zikai infrastruktúra azon elemeinek működésére és rendelkezésre állására nézve, amelyek fontos szolgáltatásokat – beleértve az elektronikus kormányzati vagy energetikai szolgáltatásokat – tesznek elérhetővé az Európai Unió polgárai számára. Éppen ezért az Európai Bizottság már 2001-ben javaslatot fogalmazott meg az európai hálózati és információs rendszerek biztonságának közös európai megközelítésére.¹⁶

A Bizottság szerint: „(…) A biztonság egyre inkább kulcsfontosságú tényezővé válik, hi-szen a kommunikáció és az információ áramlás alapja a gazdasági és társadalmi fejlődésnek (…)”.¹⁷ A biztonság megteremtése egy összetett és bonyolult folyamat. A biztosítandó terüle-tet növeli az a tényező, hogy az infokommunikációs technológiák jelentős része magánkéz-ben van. Az egyes felhasználók számára ugyanolyan fontos a személyes adataik és az ’online personality’ védelme, mint az állami, kormányzati rendszerekben tárolt adataik biztonsága.

Éppen emiatt a diverzitás miatt, az adekvát válasz megtalálása a biztonsági kihívásokra egy rendkívül összetett feladat.¹⁸ A biztonság, összetettségéből adódóan, komplex megvalósítást igényel. A helyesnek és eredményesnek vélt eszközöket a Bizottság fel is sorolja. Ezek a „(…) tudatosság növelése, egy európai fi gyelmeztető rendszer felállítása, technológiai támogatás, támogatni a piacorientált szabványok és tanúsítványok kialakítását, kormányzati információs biztonság megteremtése és a globális együttműködés (…).”¹⁹

A Bizottság szerint a HIR rendelkezések szükségesek az adatvédelmi és bűncselekményi tilal-mak mellett. A HIR a hálózati vagy információs rendszerek ellenállási képessége a biztonság egy meghatározott szintjén a véletlen vagy rosszindulatú műveletekkel szemben. Ilyen műveletek irá-nyulhatnak a tárolt vagy továbbított adatok és ezen hálózatokon továbbított szolgáltatások elér-hetőségére, hitelességére, integritására (az adatok külső behatástól mentessége) és biztonságára.

4.1.2. A biztonságos információs társadalomra irányuló stratégia: „párbeszéd, partnerség, felvértezés és felelősségvállalás”

A Bizottság 2006-ban újabb közleményt adott ki, amely további lépésekre ösztönöz. „(…) A nemzetközi, európai és nemzeti szinten megtett erőfeszítések ellenére a biztonság kérdése

16 Communication from the Commission: Network and Information Security: Proposal for an European Policy Approach COM(2001)298.

17 Uo., 2.

18 Uo., 6.

19 Uo., 4.

Hálózati és információs rendszerek biztonsága európai szabályozásának alapjai* 71

továbbra is komoly problémákat vet fel (…)”.²⁰ Megemlíti a hálózatokat fenyegető veszélyek új irányait és céljait.

„Az illegális adatbányászat terjed – egyre inkább a felhasználók tudtán kívül – miközben gyorsan növekedik a rosszindulatú szoftverek (malware) variációinak száma (és fejlődésük gyorsasága). A kéretlen elektronikus levelek jó példaként szolgálnak erre a folyamatra: vírusok, csalárd és bün-tetendő cselekmények hordozójává válnak, például a kémprogramok (spyware), az adathalászat (phishing).”²¹

A folyamatosan fejlődő technikai háttérrel párhuzamosan bővül a rosszindulatú támadások színtere is. Az információs rendszerek nagymértékű elterjedése és általánossá válása, jelen-tős kihívások elé állítanak minden szereplőt, különösen a közigazgatást, a közszektort. A vállalkozásoknak a versenyképességük függhet a megfelelő biztonságtól és tudatosságtól. A magánszemélyek pedig ugyanúgy veszélyeztetettek, hiszen ugyanazokat a hálózatokat hasz-nálják, mint az előző két szereplő.

Szükséges a biztonsági kultúra javítása a köz- és a magánszféra bevonásával. Ennek három pilléreként – a közlemény címében is szereplő – párbeszéd, partnerség, felvértezés és felelős-ségvállalást jelöli meg ekkor a Bizottság. Ennek keretében el kell indítani egy széleskörű tár-sadalmi vitát. Össze kell gyűjteni a megoldási javaslatokat (a Bizottság erre felkéri az Európai Hálózat- és Információbiztonsági Ügynökséget (ENISA) (erről a szervezetről lentebb részle-tesen is lesz szó). Továbbá „(…) [a] Bizottság meg fogja kérni az ENISA-t, hogy vizsgálja meg egy európai információcsere és riadó rendszer kivitelezésének lehetőségét, az elektronikus hálózatokat fenyegető meglévő és jövőbeni veszélyekre való hatékony reagálás megkönnyítése érdekében (…).”²² A Bizottság szerint elő kell segíteni a tudatosságot, képzési programokat kell indítani, szabványokat kell kialakítani, megfelelő kezelési módszereket kell kidolgozni.

„(…) Az EU-ban az informatikai rendszerekkel és hálózatokkal kapcsolatos biztonsági kihí-vások felismerése és az azoknak való megfelelés valamennyi érdekelt teljes elkötelezettségét teszi szükségessé (…).”²³ Mindezt a hálózat- és információbiztonság egy magasabb szintre emelésének érdekében.

4.1.3. A digitális menetrend

2010-ben a Bizottság kiadta a digitális menetrendre vonatkozó közleményét.²⁴ Erre az idő-pontra, az információs technológiák térnyerése még (az addigiaknál is) nagyobb méreteket öltött. A Bizottság kiemelt szerepet tulajdonított a hálózat- és információbiztonságnak és kiemeli azt, hogy a felhasználóknak bízniuk kell e használt rendszerekben. Meg kell őket védeni az itt fellelhető veszélyektől, ezen a területen is fel kell lépni a megjelenő bűnözés ellen.

„(…) Az ilyen fenyegetések elhárítása és a védelem megerősítése a digitális társadalom közös

20 A Bizottság közleménye: A biztonságos információs társadalomra irányuló stratégia: „párbeszéd, partner-ség, felvértezés és felelősségvállalás” COM(2006) 251 végleges. 4.

21 Uo., 4-5.

22 Uo., 9.

23 Uo., 10.

24 A Bizottság közleménye: A Digitális menetrend COM (2010) 245 végleges.

felelőssége, melyből – belföldön és világszerte egyaránt – ki kell venniük a részüket mind az egyéneknek, mind a magán- és állami szervezeteknek (…).”²⁵ A dokumentum további lépé-sekre sarkallja az EU-t, illetve a tagállamokat.

4.1.4. European Cybersecurity Strategy 2013

2013-ban ez Unió kiadta saját kiberbiztonsági stratégiáját²⁶. Az elmúlt két évtizedben az internethasználat folyamatosan bővült. A szabályozók ezt követték is. Az Unió szervei folya-matosan adtak ki dokumentumokat a kibertér biztonságosabbá tételére vonatkozó elképze-léseikkel kapcsolatban. A Bizottság folyamatos javaslataival és közleményeivel segítette ezt a folyamatot. A jogalkotásban is megjelentek irányelvek és egyéb jogi eszközök a harmonizáció érdekében. Ez a stratégia, azonban még szorosabbra kívánja fűzni az együttműködést. „(…)A konkrét intézkedések célja növelni az információs rendszerek ellenálló képességét az interne-tes támadásokkal szemben, visszaszorítani a számítástechnikai bűnözést, továbbá megerősí-teni az EU nemzetközi kiberbiztonsági szakpolitikáját és kibervédelmét (…).”²⁷

A dokumentum szerint a felhasználók még mindig nem bíznak eléggé a kibertérben. Nem használják eléggé ezt a közeget életük megkönnyítése érdekében. A kiber-online térben lévő poten-ciált ki kell használni. Azonban ehhez biztonságossá kell tenni azt. Az eddigi biztonságossá tételi törekvések továbbfejlesztésére van szükség a Bizottság szerint. „(…) Az Európai Unió alapértékei ugyanolyan mértékben vonatkoznak a digitális világra, mint a fi zikai világra. […] Az Európai Uniónak olyan internetes környezetet kell biztosítania, amely mindenki számára lehetővé teszi a lehető legnagyobb mérvű szabadságot és biztonságot (…).”²⁸ Ez az új stratégia ennek elérésére ad egy öt pontos tervet, javaslatot. Meghatározza az elsődleges intézkedéseket, ezek a következők:

„(…)[a] kibertámadásokkal szembeni ellenálló képesség elérése; a számítástechnikai bűnözés drasz-tikus csökkentése; kibervédelmi politika és képességek kifejlesztése a közös biztonság- és védelem-politika (KBVP) tekintetében; kiberbiztonsági ipari és technológiai erőforrások kifejlesztése; össze-függő nemzetközi szakpolitika létrehozása a kibertér vonatkozásában az Európai Unió számára, és az Unió alapértékeinek támogatása.”²⁹

A’kibertámadásokkal szembeni ellenálló képesség elérése’ érdekében, a tagállamok számára több kötelezettség keletkezik. „(…)A HIR illetékes nemzeti hatóságok kijelölése; jól működő, hálózatbiztonsági vészhelyzeteket elhárító csoport (CERT) létrehozása; és a HIR-re vonatko-zó nemzeti stratégia és nemzeti együttműködési terv elfogadása (…).”³⁰ A Bizottság továbbá

25 Uo., 19.

26 EU Cybersecurity plan to protect open internet and online freedom and opportunity - Cyber Security strategy and Proposal for a Directive, www.ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security.

27 Uniós kiberbiztonsági terv a nyílt internet, valamint az online szabadság és lehetőségek védelmére, europa.

http://europa.eu/rapid/press-release_IP-13-94_hu.htm

28 Az Európai Unió külügyi és biztonságpolitikai főképviselője: Az Európai Unió kiberbiztonsági stratégiája:

Nyílt, megbízható és biztonságos kibertér 4.-5.

www.eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=JOIN:2013:0001:FIN:HU:PDF.

29 Uo., 5.

30 Uo., 6.

Hálózati és információs rendszerek biztonsága európai szabályozásának alapjai* 73

kéri a Parlamentet és a Tanácsot az információ- és hálózatbiztonságra vonatkozó egységes irányelv elfogadására.