Az Európai Bizottság új szabályokat vezet be az Európai Unió biztonságára kockázatot jelentő technológiai cégek betiltására, de a végrehajtás várhatóan egy ideig nem kezdődik meg.
Az Európai Bizottság kedden bemutatta a kiberbiztonsági törvény felülvizsgálatát, amelynek célja az EU információs és kommunikációs technológiai ellátási láncaiban az úgynevezett „magas kockázatú” beszállítókhoz kapcsolódó kockázatok csökkentése.
A hatókör széles, kiterjed a telekommunikációs hálózatokhoz, adatközpontokhoz, felhőszolgáltatásokhoz, csatlakoztatott eszközökhöz és közösségi média platformokhoz berendezéseket és szolgáltatásokat kínáló vállalatokra. Bár a javaslat nem nevez meg konkrét cégeket, az uniós tisztviselők elismerik, hogy a kínai technológiai csoportokkal, nevezetesen a Huawei-vel és a ZTE-vel, különösen a mobilhálózatokkal kapcsolatos, régóta fennálló aggodalmakra épül.
A lépés az évek óta tartó brüsszeli csalódottság következménye, ami az EU önkéntes 5G biztonsági eszköztárának egyenetlen alkalmazása miatt történt, amelyet 2020-ban vezettek be, hogy a tagállamokat arra ösztönözzék, hogy korlátozzák a nagy kockázatot jelentő szállítóktól való függést.
A kibertámadások EU-szerte egyre gyakoribbak, kezdve a zsarolóprogramoktól és a kémkedéstől a kritikus infrastruktúra destabilizálására irányuló kísérletekig. A Bizottság szerint a bejelentett incidensek száma növekszik, és csak az elmúlt héten körülbelül 150 támadást jelentettek az egész blokkban.
Henna Virkkunen műszaki biztos többször is figyelmeztetett, hogy az önkéntes intézkedések nem mentek elég messzire. A múlt hónapban az Európai Parlamentben felszólalva amellett érvelt, hogy szigorúbb és összehangoltabb fellépésre van szükség, hangsúlyozva, hogy a magas kockázatú beszállítók továbbra is jelen vannak Európa 5G infrastruktúrájának kritikus részein.
Veszélybe kerülve
A felülvizsgált keretrendszer értelmében a Bizottság uniós szintű kockázatértékelést szervezhet, és indokolt esetben támogathatná az érzékeny infrastruktúrákban használt egyes berendezésekre vonatkozó korlátozásokat vagy tilalmakat.
A tagállamok közösen értékelnék a kockázatokat a szállító származási országa és annak nemzetbiztonsági hatásai alapján. Míg a távközlés a kockázatértékelés szempontjából a legfejlettebb ágazat, a megközelítést később más területekre is ki lehetne terjeszteni, az energiarendszerektől és a közlekedéstől a kapcsolódó járművekig és biztonsági berendezésekig.
A Bizottság azt is jelezte, hogy a keret elvileg országsemleges marad, ami azt jelenti, hogy a jövőben elméletileg megvizsgálhatják a más partnerek – köztük az Egyesült Államok – beszállítóit, ahogy a szabályozási feszültségek nőnek, különösen a közösségi média és az adatkezelés terén.
A Bizottság ragaszkodik ahhoz, hogy a folyamat fokozatos lesz. A távközlési szektorban a szolgáltatók több éves átmeneti időszakot kapnának a nagy kockázatot jelentő szolgáltatók fokozatos megszüntetésére, miközben Brüsszel elismeri a jelentős gazdasági költségeket.
Az ellátási lánc biztonságán túl a javaslat jelentősen megerősíti az EU Kiberbiztonsági Ügynöksége, az ENISA szerepét. Az ügynökség operatívabb felhatalmazást kapna, ideértve az újonnan megjelenő kiberfenyegetésekkel kapcsolatos korai figyelmeztetések kiadását, valamint a jelentősebb incidensekre, például zsarolóvírus-támadásokra adott válaszok koordinálását, az Europollal és a nemzeti hatóságokkal együttműködve.
Az ENISA ezenkívül felügyelne egy egységes uniós belépési pontot az incidensek jelentésére, amelynek célja a válaszadás felgyorsítása és a határokon átnyúló helyzetfelismerés javítása.
Végül a Bizottság szélesebb körű egyszerűsítési programját folytatja, és enyhébb adminisztratív terheket ígér a vállalatokra. A tanúsítási eljárások egyszerűsödnének, és a meglévő jogszabályok célzott módosításai célja a megfelelési költségek csökkentése, különösen a több tagállamban működő cégek esetében.
A javaslatról most az Európai Parlament és az EU kormányai fognak tárgyalni, ahol ellenállásra számítanak egyes fővárosok részéről, amelyek óvakodnak attól, hogy az EU fokozottan részt vegyen a nemzetbiztonsági döntésekben.
A felülvizsgált kiberbiztonsági törvényt nagy valószínűséggel még néhány évig nem hajtják végre, ami kérdéseket vet fel az EU-nak a már amúgy is aktív külföldi beavatkozások elleni harci képességével kapcsolatban.
