Az Európai Unió intézményrendszere a koronavírus-járvány okozta válsághelyzetben is (vagy talán, éppen azért) figyelmének középpontjában tartja a kiberbiztonság kérdését. Mintegy negyedéves előkészítő munka és tárgyalás sorozat után az Európai Unió Tanácsa (tehát az Unió tagállamainak kormányait, szakminisztereit tömörítő, lényegében folyamatosan működő döntéselőkészítő testület) 2021. március közepén ún. következtetésekben foglalta össze álláspontját az új kiberbiztonsági stratégiáról. A „következtetés” (angolul: conclusion) megtévesztően gyengének látszó jelentéstartalma ellenére nagyon fontos eszköz az uniós döntéshozatal sok áttételű mechanizmusában. Szándékoltan nem jogszabály ez a dokumentum, ebben az értelemben tehát nincsen kötelező ereje. Lényegében egy köztes lépcsőfok: a kiberbiztonságot szolgáló intézkedések koncepcióját megfogalmazó stratégia, és a végrehajtásra fókuszáló jogszabályi elemek közti kapcsolat megteremtése a célja. A Tanács által most elfogadott következtetések lényegében egy politikai iránymutatás formájában jelölik ki a tavaly decemberben beterjesztett uniós kiberbiztonsági stratégia gyakorlati megvalósításának hogyanjait és mikéntjeit (márpedig a politikai konszenzus egy ilyen sok tagot tömörítő szervezetrendszerben döntő lehet).
A kiberbiztonság már egy ideje az EU egyik legfontosabb prioritása. Az Unió a 2013. évi uniós kiberbiztonsági stratégiával kezdve átfogó, rendszerszemléletű nemzetközi kibertér politikát dolgozott ki. A partnereivel folytatott kétoldalú, regionális és nemzetközi szintű együttműködés révén előmozdította a globális, nyitott, stabil és biztonságos kibertér létrejöttét. Az EU harmadik országokat is támogatott a kibertámadásokkal szembeni ellenálló képességük fokozása és a számítógépes bűnözés elleni hatékonyabb fellépés terén, és a 2017. évi uniós kiberdiplomáciai eszköztára használatával hozzájárult a nemzetközi biztonsághoz és stabilitáshoz a kibertérben. A 2020-ban kirobbant koronavírus-válság idején ugyanakkor megsokasodtak az egészségügyi intézmények elleni kibertámadások, ami megmutatta, mennyire fontos az infrastruktúrák védelme. Nyilván ez is fontos szerepet játszott abban, hogy amikor az EU 2020 decemberében a digitális tér átfogó megújítására hirdetett programot, akkor az ambiciózus programcsomag két jogszabály tervezete (tehát a Digitális Szolgáltatásokról szóló Jogszabály, és a Digitális Piacról szóló Jogszabály) mellett átfogó koncepciót terjesztett elő a mind veszélyeztetettebbnek számító kiberdomén hatékony védelmére is.
Az Európai Bizottság (valamint a Kül- és Biztonságpolitkai Főmegbízott) által decemberben beterjesztett új kiberbiztonsági stratégia célja, hogy megőrizze a globális és nyílt internetet, biztosítékot nyújtva ugyanakkor arra, hogy a biztonság mellett az európai értékek és a mindenkit megillető alapvető jogok is védelmet élvezzenek. A dokumentum három területen konkrét intézkedési javaslatokat is megfogalmaz:
Reziliencia, technológiai szuverenitás és vezető szerep
A hálózati és információs rendszerek biztonságára vonatkozó szabályok reformja. A cél a kritikus állami és magánszektor kibertámadásokkal szembeni ellenálló képességének (rezilienciájának) növelése. Az Unió technológiai szuverenitásának és vezető szerepének megteremtését szolgálná a digitális innovációs központok szerepének erősítése.
Operatív kapacitás kiépítése: a megelőzés, elrettentés és reagálás elősegítése
Egy új közös tagállami kiberbiztonsági egység felállítása. A cél, hogy az együttműködés révén jelentősen növekedjen a kibertámadások megelőzésének, az elrettentésnek, illetve a bekövetkezett incidensekre való reagálásnak a képessége és hatásfoka. Prioritás továbbá a kiberdiplomáciai eszközkészlet megerősítése.
A globális és nyitott kibertér kiépülésének és működésének támogatása
Kulcsfontosságú cél a kibertér nemzetközi biztonságának a garantálása. Fontos mozzanat, hogy az EU tovább erősítse az uniós kiberdiplomáciai eszköztárat, illetve átfogó menetrend kidolgozása révén fokozza a harmadik országokban a kiberkapacitás-építésre irányuló erőfeszítéseit. Fontos intézményi fejlesztés egy globális hatókörű uniós kiberdiplomáciai hálózat létrehozása, hogy nemzetközi szinten népszerűsítse a kibertérrel kapcsolatos EU elképzeléseket.
Nem elhanyagolható a „környezeti” szerepe annak a ténynek sem, hogy a 2019 év végén hivatalba lépő új Európai Bizottság (ezen belül különösen az új kiberbiztonsági stratégiát társ-beterjesztőként jegyző Kül- és Biztonságpolitikai Főmegbízott) egy markáns geopolitikai szerepvállalás programjával kezdte meg működését. Ennek fényében érthető, hogy az új kiberbiztonsági stratégiával kapcsolatos távlati elvárás az, hogy lehetővé tegye az EU számára, hogy fokozza vezető szerepét a kibertérre vonatkozó nemzetközi normák és szabványok terén, valamint, hogy világszerte erősítse az együttműködést partnereivel egy globális, nyitott és biztonságos kiberdomén kialakítása érdekében.
A most, 2021. március 22-én elfogadott tanácsi következtetés feladata, mint említettük az, hogy a koncepciókat felrajzoló, általános kereteket kijelölő stratégia gyakorlati megvalósításához szükséges lépéseket kijelölje. Ennek keretében ez az elvi dokumentum kijelöl bizonyos intézkedési területeket, és azokkal kapcsolatban megbízást ad egy másik uniós testületnek (nevezetesen az Európai Bizottságnak, valamint a Kül- és Biztonságpolitikai Főmegbízottnak) arra, hogy immár konkrét szakpolitikai intézkedési terveket dolgozzon ki. Ennek megfelelően a dokumentum összegzésként megerősíti, hogy az uniós kiberbiztonság kiépítésének célja az, hogy hozzájáruljon az Unió stratégiai autonómiájának megszerzéséhez, közben a nyitott digitális gazdaság megőrzését is mindig szem előtt tartsa. Ezt követően azonban immár konkrétan nevesít néhány olyan intézkedési területet, ahol az elkövetkező években a kiberbiztonság európai megerősítését célzó fejlesztéseknek összpontosulniuk kell:
- kiberbiztonsági műveleti központok hálózatának kiépítése a hálózatok monitorozására, és a támadások korai előrejelzésére
- közös uniós kiberbiztonsági egység létrehozása, a kiberbiztonsági válsághelyzetek hatékony kezelésére
- közös uniós 5G eszközkészlet kialakítása, az 5G hálózatok kiberbiztonsági védelmének biztosítására
- közös uniós internet biztonsági szabványok bevezetése, mivel ezek kulcsfontosságúak a kibertér biztonságának elősegítésében, miközben a globális internetes hálózatok nyitottságát is szolgálják
- az erős titkosítás eljárásai kifejlesztésének támogatása az alapvető állampolgári jogok és a digitális biztonság megőrzésére
- az EU kiberdiplomáciai eszközkészletének továbbfejlesztése, a kibertámadások megelőzésének és elhárításának elősegítésére
- egy közös uniós kiberhírszerzési munkacsoport felállítása az EU általános célú hírszerző szervezetének (EU INTCENT) megerősítésére
- multilaterális együttműködések erősítése a kiberbiztonság és kibervédelem területén
- az Unió kiberbiztonsági kapacitás-építő tevékenységének kiterjesztése az EU-n kívüli területekre annak érdekében, hogy a kibertámadásokkal szembeni ellenálló képesség világszerte növekedhessen
A fenti intézkedések megvalósítására az Európai Unió Tanácsa arra bíztatja az EU Bizottságot, valamint a Kül- és Biztonságpolitikai Főmegbízottat, hogy dolgozzanak ki egy részletes megvalósítási tervet. A következtetésben foglaltak megvalósulásának nyomon követésére pedig egy időszakosan megújítandó cselekvési terv szolgál majd.
Források:
A Tanács következtetései a digitális évtizedre vonatkozó uniós kiberbiztonsági stratégiáról (2021). https://data.consilium.europa.eu/doc/document/ST-6722-2021-INIT/hu/pdf
Cybersecurity (2020). https://ec.europa.eu/digital-single-market/en/cybersecurity
Cybersecurity: Council adopts conclusions on the EU’s cybersecurity strategy (2021). https://www.consilium.europa.eu/hu/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Cybersecurity:+Council+adopts+conclusions+on+the+EU%27s+cybersecurity+strategy
Cybersecurity: How the EU tackles cyber threats (2021). https://www.consilium.europa.eu/en/policies/cybersecurity/
The EU’s Cybersecurity Strategy for the Digital Decade. Joint Communication to the European Parliament and the Council (2020). Brüsszel, Európai Bizottság. https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72164