- A Zöld Könyv
A 2004-ben elfogadott, a létfontosságú infrastruktúrák védelméről szóló bizottsági dokumentumon belül kijelölésre került a létfontosságú infrastruktúrákkal kapcsolatos figyelmeztető információs hálózatot felállítása, továbbá a létfontosságú infrastruktúrák védelmére vonatkozó európai program (továbbiakban: EPCIP) elindítása. 2005 novemberében meg is született az előbbiek szabályozásának és működési feltételeinek keretet adó Zöld Könyv. Az EPCIP működéséről szóló bizottsági közlemény 2006-ban jelent meg, melynek alapját a Zöld Könyvben foglaltak képezték. Olyan lényeges pontokat tartalmaz a dokumentum, mint a korábban is említett állami és magánszféra interdependenciája, és annak megállapítása, hogy a program csakis ágazatonkénti bontásban kerülhet megvalósításra, mivel azok különbözősége indokolja ezt. Fontos még megemlíteni, hogy a program szétválasztja az európai uniós és a nemzeti létfontosságú infrastruktúrákat és az azok védelmére irányuló intézkedéseket[1].
- „Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása”[2]
A fenti címmel jelent meg az Európai Bizottság egyik közleménye 2009 folyamán, mely a kritikus infrastruktúrák védelmének újabb és egyben erősebb szabályozását jelenítette meg. Ezen infrastruktúrákra vonatkozó tételek felsorolása után a közlemény számba veszi az Európai Unióra váró feladatokat, melyben fontos szerepet kapnak az integráción kívül működő nemzetközi szervezetek is. Az Unió e téren megalkotott szabályozásainak számbavétele során első alkalommal találkozunk a nemzetközi összefogás megjelenésével, mely véleményem szerint a kibertérben egyre erősödő veszélyforrások nemzetközi szinten való elismerésére is utal, mely önállóan – legyen szó államról, integrációról vagy nemzetközi szervezetről – nem leküzdhető. Különösen kényes időpont volt ez a nemzetközi közösség számára, mivel a gazdasági és pénzügyi világválság által okozott károk felszámolása mellett egyfajta biztonsági rés is keletkezett a világban, mely a kiberbűnözők számára ideális alkalmat teremthetett a „behatolásra”.
Újdonságot jelentett az előző írásos anyagokhoz képest a számítógépes támadások konkrét megjelenése is, mely már rögtön a bevezető szakaszban megemlítésre kerül, de ugyanígy találkozunk vele a közösségi szintű feladatok felsorolása során[3]. A közleményben kidolgozásra került egy cselekvési terv is, mely az alábbi öt pontban határozza meg az irányvonalat:
- felkészülés és megelőzés
- nemzeti CERT[4]-ek összehangolt működése; tagállamok közötti információcsere ösztönzése,
- észlelés és reagálás
- EISAS[5] létrehozása,
- hatások helyreállítása, enyhítése
- gyakorlatok szervezése a gyors és hatékony reagálás érdekében,
- nemzetközi együttműködés
- nemzetközi viták, világszintű gyakorlatok,
- az információs és kommunikációs technológiák és a kritikus infrastruktúrák közötti feladatmegosztás
- követelmények megfogalmazása az infokommunikációs szektor számára.[6]
- Az Európai Digitális Menetrend
A 2010-ben elfogadott Európa 2020 Stratégia elsősorban az Európai Unió növekedését tűzte ki célul, tekintettel az épp aktuális gazdasági és pénzügyi világválság visszavető erejére. A Stratégia hét pillérének egyike az infokommunikációs technológiákban rejlő potenciál kiaknázása az innováció érdekében[7]. Olyan célkitűzések jelennek meg benne többek között, mint az egyetemes szélessávú lefedettség biztosítása vagy az infokommunikációs szektor lehetőségeinek kiaknázása az innováció előmozdítása érdekében. A biztonság kérdésével a Menetrend 2.3. fejezete foglalkozik, amely a kibertér rosszindulatú felhasználásának legtöbb módjára kitér, olyanokra például, mint a kéretlen elektronikus levelek (spam) tömeges jelenléte, az internetes csalások vagy az államközi kibertámadások múltbeli eseményei[8]. Az uniós és a tagállami feladatok szétválasztása itt is megjelenik, melyre néhány példa látható a 3. táblázatban:
A feladatok megoszlása az Európai Digitális Menetrendben
Európai Unió hatásköre |
Tagállami hatáskör |
európai platform kialakítása a számítógépes bűnözés ellen |
CERT létrehozása |
együttműködés a globális kockázatkezelésben |
„forró vonal”-hálózat működtetése a jogellenes tartalmak jelentésére |
hálózatvédelmi gyakorlatok lebonyolítása uniós szinten |
figyelmeztető platform kialakítása a számítógépes bűnözés ellen |
Forrás: Haig Zsolt (2015) alapján saját szerkesztés
[1] Haig, 2015.
[2] Európai Bizottság (2009): A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának a kritikus informatikai infrastruktúrák védelméről. „Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása”. http://ec.europa.eu/transparency/regdoc/rep/1/2009/HU/1-2009-149-HU-F1-1.Pdf (Letöltés dátuma: 2017. április 9.)
[3] Európai Bizottság, 2009.
[4] CERT (Computer Emergency Response Team): Számítástechnikai Sürgősségi Reagáló Egység, melynek legfontosabb feladata a kritikus infrastruktúrákra és a hálózatbiztonságra veszélyes tényezők kezelése. (Forrás: GovCERT (é.n.): GyIK. http://www.cert-hungary.hu/node/23 (Letöltés dátuma: 2017. április 2.)
[5] EISAS (European Information Sharig and Alerting System): Európai Információmegosztási és figyelmeztető rendszer
[6] Európai Bizottság, 2009.
[7] EUR-Lex (2010): Európai digitális menetrend. http://eur-lex.europa.eu/legal-content/HU/TXT/?uri=LEGISSUM:si0016 (Letöltés dátuma: 2017. április 2.)
[8] EUR-Lex (2010): A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának. Az európai digitális menetrend. http://eur-lex.europa.eu/legal-content/HU/TXT/?uri=celex:52010DC0245 (Letöltés dátuma: 2017. április 2.)