Az öt éve hatályos, lassan három éve alkalmazandó NIS irányelv szerinti alapvető szolgáltatást nyújtó szereplők (OES) azonosításával kapcsolatos terminológiai kérdések megfogalmazása folytatódik.
Ha tovább haladunk az OES-ek azonosítása során vizsgálandó kritériumok listáján (lásd: itt), akkor a negyedik pontban szembe találjuk magunkat a jelentős zavar kifejezéssel. Az irányelv konkrét rendelkezését vizsgálva – 5. cikk (2) c) – a hálózati és információs rendszerben potenciálisan bekövetkező biztonsági események lehetséges hatásait kell ez esetben alapul vennünk. Amennyiben megállapítjuk, hogy egy incidens olyan hatással járhat, amelynek következményeként a szolgáltatás nyújtásában jelentős zavart tapasztalunk, akkor teljesülő kritériumról beszélhetünk. Ennek megállapításához azonban feltétlenül szükség van a jelentős zavar – mint szóösszetétel – értelmezésére, vagyis arra, hogy mit értünk jelentős zavar alatt. Ehhez egy teljes cikk formájában próbál segítséget nyújtani az irányelv, de a részletek előtt érdemes egy kis figyelmet szentelni az angol és a magyar nyelv kifejezőképességéből adódó eltérésekre. Míg a NIS irányelv eredeti szövegezése a „significant disruptive effect” kifejezést használja, addig a magyar fordításban a jelentős zavar szóösszetétel szerepel. Az angol terminológia – szó szerinti fordításban jelentős romboló/károsító/zavaró hatás – tehát erőteljes utalást tartalmaz arra vonatkozóan, hogy bekövetkezés esetén negatív következményekkel kell számolni, amely ha eléri a jelentős „szintet”, akkor a kritérium tulajdonképpen teljesül. Ez a magyar fordításban nem jelenik meg ilyen szofisztikáltan, ami a meghatározhatóság tekintetében nehezítő körülményként játszott szerepet.
Sokáig nem is szerepelt a definíció értelmezése a magyar jogszabályi környezetben, de a jogalkotó döntése alapján a 2020-ban végrehajtott jogszabálymódosítások keretében ennek implementálása is megtörtént. A fő problémát az okozta, hogy hiába tartalmaz az irányelv egy teljes cikket a zavar jelentőségének megállapításához figyelembe veendő ágazatközi tényezőkről, annak alapértelmezett jelentése nem derül ki a szövegből. A kérdés jelen esetben az, hogy mitől – vagy inkább mikor – lesz a zavar jelentős? Kinek a szempontjából, vagy mihez viszonyítva jelenthetjük ki, hogy a zavar jelentős? Ezekre a kérdésekre nem kapunk választ, ugyanis az irányelv 6. cikke a viszonyítás lehetséges kategóriáit adja csak meg, a mértékét azonban nem. Ezek a tényezők a következők:
- a szervezet által nyújtott szolgáltatásra támaszkodó felhasználók száma;
- a 2. mellékletben felsorolt ágazatok függése az adott szervezet által nyújtott szolgáltatástól;
- a biztonsági események hatása – mértéküket és időtartamukat tekintve – a gazdasági és társadalmi tevékenységekre vagy a közbiztonságra;
- az adott szervezet piaci részesedése;
- az adott biztonsági esemény által érintett terület földrajzi kiterjedése;
- az adott szervezet jelentősége a szolgáltatás elégséges szintjének fenntartásában.
A zavar jelentőségének megállapítása kapcsán felmerül továbbá, hogy a felsorolt tényezők az adott ország, az adott ágazat, az adott alágazat, az adott alapvető szolgáltatás-típus, vagy kizárólag az adott szervezet relációjában vizsgálandók-e? Ha a mikrokörnyezetet nézzük, akkor a zavar jelentősége kizárólag az adott szolgáltatás nyújtását biztosító szervezetnél értelmezhető. Ha tágítjuk a spektrumot, akkor egy alapvető szolgáltatás-típushoz tartozó valamennyi szereplőhöz viszonyíthatunk, de ezt bővíthetjük akár egy alágazatra, sőt teljes ágazatra vonatkozóan is – mindezt annak érdekében, hogy a kialakuló zavar jelentőségét megállapíthassuk. Ha az ivóvíz ellátást nézzük, akkor ezek a körülmények egészen más képet festenek, mint akkor, ha egy kórház kapacitásait vesszük górcső alá. A példa alapján is látható, hogy ágazatok között össze nem hasonlítható szegmensek ezek, így a tagállami szintű meghatározás szóba sem jöhetett a jogalkotás során. Ebből adódóan, hosszú szakmai viták és egyeztetések eredményeként, a jelentős zavar mértékét alapvető szolgáltatás-típusokhoz rendelve, a legtöbb esetben fogalmakkal, időintervallumhoz kötötten, érintett felhasználók számához viszonyítva, illetve kapacitáscsökkenéshez igazítva határozták meg az illetékes jogalkotó szervek.
A terminológiai útvesztő – ha szabad így fogalmazni mindezek után – egy önmagába visszatérő „kanyarral” lesz teljes: Magyarország 2017-ben – a NIS implementáció kapcsán – úgy döntött, hogy a már 2013 óta működő, a kritikus infrastruktúrák védelmét biztosító nemzeti intézkedésekbe integrálja az irányelv által meghatározott OES-ek azonosításával kapcsolatos kötelezettségek teljesítését. Ez azt jelentette akkor, hogy a kijelölt kritikus infrastruktúrák körében azonosítottak OES-eket.
A magyar jogalkotó azonban, a korábban már említett 2008/114/EK irányelv átültetése során a „critical infrastructure” klasszikus tükörfordításától eltérően – tehát kritikus infrastruktúra helyett – a „létfontosságú rendszerek és rendszerelemek” kijelölését vezette be. Ezzel a sajátos megnevezéssel tulajdonképpen igaznak tekinthetjük a következő mondatot: ami Magyarországon alapvető, az létfontosságú is, ezáltal nélkülözhetetlen, ami viszont elvileg nem lehetséges, mert az kritikus, és azt nem érinti a NIS irányelv. Ettől függetlenül fontos hangsúlyozni, hogy a szabályozás működik és alkalmazható, hisz az alapvető szolgáltatások jegyzéke elkészült (lásd: itt, a 3. mellékletben), az azonosítások valamennyi ágazatban lezajlottak. Az azonban kérdéses, hogy azt a célt értük-e el mindezzel, amit az Európai Unió a közösség elé kitűzött? Megtalálunk-e minden alapvető szolgáltatást nyújtó szereplőt? Illetve, biztos-e, hogy akiket azonosítottunk, azok valóban az eredeti szándék szerint alapvetők? Ezeket a kérdéseket szinte minden tagállam felteheti, ugyanis az Európai Bizottság részéről már megállapítást nyert, hogy a nemzeti szintű megoldások nem biztosítják megfelelő mértékben az elvárt koherenciát, töredezetté teszik a közösségi megvalósítást az eltérő megközelítések által. Tudományos – és főleg szakmai – szempontból, elsősorban a végrehajthatóság szemüvegén keresztül nézve, célszerű lett volna megállapítani, hogy az alkalmazott terminológiai pontatlanságok és hiányosságok, a felületes megfogalmazások bonyolítják és hátráltatják az irányelv végrehajtását, ezzel pedig biztosan befolyásolják a célkitűzések hatékony elérését is, nem feltétlenül pozitív irányba.
Ugyanakkor, még mielőtt teret nyerhetne ez a pontosításra okot adó gondolatmenet, érdemes tanulmányozni az Európai Bizottság 2020 decemberében közzétett javaslatcsomagját, amely többek közt arra a felvetésre kíván választ adni, hogy javítani kell az EU kiberfenyegetésekkel szembeni védekező képességét. Ennek jegyében mindkét, a fentiekben említett irányelvet új köntösbe tervezik bújtatni, és az eddigi terminológiai káoszt tulajdonképpen egy újra cserélni. Mindez azért „ironikus”, mert az Európai Bizottság az elmúlt évben többször érvelt a NIS megújítása mellett azzal, hogy a tagállamoknak nem sikerült egységesen értelmezni az irányelvben foglaltakat, így az implementáció nem eredményezett egyenszilárd végrehajtást. A NIS 2.0. irányelv tervezetében (rendelkező részek) már nem találunk alapvető szolgáltatást nyújtó szereplő kifejezést, de bevezetnének két új csoportosítást, ezek lennének az alapvető szervezetek és a fontos szervezetek – angolul kifejezőbbek: essential entities, important entities –, amelyek kapcsán eltérő biztonsági követelmények és eltérő hatósági felügyelet várható. Ezt „egészíti ki” a CIP 2.0. tervezete, amelynek rendelkező részei már nem említik a kritikus infrastruktúrákat, ellenben már a címében is kritikus fontosságú szervezetek rezilienciájáról van szó. Gondolhatnánk, hogy ez csak szóhasználati változás, vagy pontosítás, de nem, mert a tervezett definíció szerint a kritikus fontosságú szervezetek azonosításának alapját az általuk nyújtott alapvető szolgáltatás adja majd, és azonosításukban a biztonsági események hatásai, illetve az okozott jelentős zavar is mértékadó lesz. Ehhez már csak egy apró adalék, hogy a tervezet szerint önálló cikk fog rendelkezni a kritikus fontosságú szervezetekkel egyenértékű szervezetekköréről is. Izgalmas lesz követni, hogy ebből mi és mikor lép majd hatályba.
Nem kérdés, hogy a XXI. század infokommunikációs technológiái által hordozott kockázatok azonnali és érdemi reakciókat követelnek, vagyis a kiberreziliencia kialakítása, fejlesztése égetőbb, mint eddig bármikor. A kérdés az, hogy elérjük-e a célt, ha ennyi címkét aggatunk az érintettekre? Hatékonyabb lesz-e a végrehajtás, megvalósul-e a magasszintű biztonság szavatolása azzal, hogy többjelentésű jelzőkkel illetjük a szervezetek egyes csoportjait?
Záró gondolatnak, vagy gondolatébresztőnek egy „költő kérdés”: Vajon egyszerűbb – és a félreértések elkerülése érdekében célravezetőbb – lenne-e előre definiált szintekbe sorolni az érintett szervezeteket, ahol a tevékenység (szolgáltatás) az adott tagállam és az EU szerint is értékelhető, majd a szintekhez biztonsági követelmény-csomagokat párosítani?
Forrás:
Az Európai Parlament és a Tanács (EU) 2016/1148 Irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HU / ENG)
Javaslat: az Európai Parlament és a Tanács Irányelve az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (HU / ENG)
Javaslat: az Európai Parlament és a Tanács Irányelve a kritikus fontosságú szervezetek rezilienciájáról (HU / ENG)