A törvény, amely biztonsági követelményeket ír elő a csatlakoztatott eszközökre vonatkozóan, jelentős kötelezettséget ró a gyártókra. Nemcsak a kiberbiztonsági incidenseket kell jelenteniük, ahogyan azt a korábbi jogszabályok előírták, hanem az aktívan kihasznált sebezhetőségek bejelentése is a feladatuk lesz. A probléma az, hogy a sebezhetőségek nyilvánosságra hozása kulcsfontosságú információ lehet a hackereknek. Tehát ha egy gyengeséget nem sikerül megfelelően javítani, még több kárt okozhat a szabályozás, mint az eddigi rendszerben.
A tárgyalások során – elsősorban az Európai Bizottság, a Tanács és a Parlament között – az a kérdés, hogy kire bízzák az ilyen érzékeny információk kezelését. Az eredeti javaslat ezt a feladatot az EU kiberbiztonsági ügynökségére, az ENISA-ra ruházta, és ezt az álláspontot a Parlament is támogatta. Az európai kormányok ezzel szemben azt szorgalmazzák, hogy a feladatot a nemzeti számítógépes biztonsági incidensek elhárításával foglalkozó csoportokra (CSIRT) ruházzák át – írja az Euractiv.
A portál úgy tudja, hogy egy lehetséges kompromisszumra jutottak az uniós intézmények: a november 8-i háromoldalú egyeztetést követően azt javasolták, hogy a nemzeti CSIRT-ek játsszák a vezető szerepet a jelentéstételi folyamatban, azzal a lehetőséggel, hogy a gyártóktól közbenső jelentéseket kérjenek. A kompromisszum szerint a bejelentéseket egy páneurópai platformon keresztül nyújtanák be annak az országnak a CSIRT-jéhez, ahol a vállalat fő telephelye található.
A kompromisszum meghatározza a gyártó fő telephelyének meghatározására vonatkozó kritériumokat is, tekintve, hogy az abban a tagállamban van, ahol a kiberbiztonsággal kapcsolatos döntéseket túlnyomórészt meghozzák az adott cégnél, vagy – ha ez nem egyértelmű – azt számít majd, hogy hol van a vállalatnak a legtöbb alkalmazottja.
A kompromisszum egyik figyelemre méltó eleme, hogy az EU-ban székhellyel nem rendelkező gyártók választhatják meg a nemzeti CSIRT-et, amelynek kötelesek lesznek jelentéseket tenni. Egyelőre ez az a kitétel, amelyet a Parlament nem támogat, de a javaslat többi részével egyetértettek a megbízott képviselők.
Továbbra is kényes kérdés marad azonban, hogy a CSIRT-ek mérlegelési jogkörükben indokolt kiberbiztonsági okok alapján késleltethetik-e a fenyegetésekkel kapcsolatos információk továbbítását. Az Európai Parlament képviselői aggódnak amiatt, hogy a lehetőséggel majd visszaélnek az érintett cégek, és így nemzetbiztonsági vagy bűnüldözési okokból határozatlan időre visszatarthatják az információkat. A kompromisszum értelmében, ha egy CSIRT úgy dönt, hogy visszatart egy értesítést, erről haladéktalanul tájékoztatnia kell az ENISA-t egy hosszú indoklással, valamint egy határidőt is választaniuk kell, hogy mikortól tehető nyilvánossá az adott sebezhetőségre vagy incidensre vonatkozó információ.
Miközben az uniós jogalkotók a csatlakoztatott eszközökre vonatkozó kiberbiztonsági jogszabályról szóló lehetséges megállapodásra készülnek, a vitás kérdésekről szóló megbeszélések várhatóan a következő, november 30-i háromoldalú egyeztetésen folytatódnak. A tárgyalások eredménye jelentősen alakítja majd az Európai Unió kiberbiztonsági szabályozását.
Címlapkép forrása: EU/Bogdan Hoyaux.