Európa arra készül, hogy a kiberbiztonságot az információtechnológiai (IT) kérdésen túl kapuőrszabályként is kezelje: ki építheti és üzemeltetheti a kritikus infrastruktúra digitális központi rendszerét, a mobilhálózatoktól az energiarendszer egyes elemeiig. Az EU kiberbiztonsági jogszabályának felülvizsgálata lehetőséget adna Brüsszelnek, hogy a tagállamokat a „magas kockázatú” beszállítók kizárására ösztönözze a kulcsfontosságú információs és kommunikációs technológia (ICT) ellátási láncaiból, még akkor is, ha a tervezet nem nevez meg konkrét cégeket.

A mostani lépés azért precedensértékű, mert egy irányváltást rögzít:

a távközlésközpontú biztonsági vitáról egy több ágazatra kiterjedő „kiberbiztonsági szűrő” felé, amely a piacra jutás feltételeit is meghatározhatja.

A Bizottság megközelítése a 2020-ban bevezetett, jórészt ajánlásjellegű 5G-eszköztártól az idén javasolt, kötelező és harmonizált uniós jogszabályokig mozdulna el, vagyis nagyjából hat év alatt az ajánlás helyét átvenné a kötelező jogerővel bíró jogszabályi előírás.

Az eszköztártól az uniós határátkelőig

A régi modellt úgy képzeljük el, mint egy repülőtéri ellenőrzési listát: hasznos, de minden terminál maga dönthet, mennyire szigorúan szűr. Az új modell inkább egy egységes uniós kapu, ahol bizonyos „útlevelek” extra ellenőrzést váltanak ki, vagy eleve nem is engednek belépni. A tervezet uniós szinten azonosítaná a „magas kockázatú” harmadik országokat és beszállítókat a kritikus ágazatokban, majd olyan kockázatcsökkentő intézkedéseket írna elő, amelyeket a tagállamok nehezebben hagyhatnak figyelmen kívül.

A gyakorlatban ezt sokan úgy értik, hogy a kínai szereplők kerülnek a célkeresztbe, különösen a Huawei és a ZTE, mert a korábbi uniós viták már akkor is „magasabb kockázatként” kezelték ezeket, és a mostani hangvétel ezt az esetet idézi fel anélkül, hogy cégeket nevezne meg. A különbség a lépték: a Bizottság kifejezetten „18 kritikus ágazatról” beszél, illetve arról, hogy a kritikus hálózatokból nagyjából három év alatt ki kellene vezetni a „magas kockázatú” komponenseket, a biztonsági fogalomhoz pedig működési határidő is társulna.

A hálózat csendes kapuőrei

A legérzékenyebb kritikus terület az energia lehet, azon belül is a napelemes inverterek, azok a hálózatra csatlakozó eszközök, amelyek a napelempanelek áramát a hálózat számára használhatóvá alakítják. Az inverterek gyakran „okosak”, vagyis szoftvervezéreltek és felhőszolgáltatásokhoz kapcsolódnak, ami kiberkockázati tényezővé teheti őket: mintha a lakások elektromos hálózatát elosztó kismegszakító-szekrénybe tennénk egy wifi routert. Az EB-tervezet logikája szerint, ha egy beszállító később „magas kockázatúvá” minősül, akár a már telepített termékek visszahívása vagy kivezetése is felmerülhet, ami szokatlanul erős eszköz a szabályozó kezében.

Itt viszont kibukik az uniós függőség. A napelemes inverterek terén nagyon jelentős ellátásilánc-kitettség van a kínai cégek felé, ugyanakkor az iparági beszámolók a kínai beszállítók európai dominanciáját hangsúlyozzák, feszültséget teremtve a klímacélok, vagyis a napelemek gyors telepítése és a kiberbiztonsági célok között. Ha a „távközlési logika” átkerül az energiaszektorba is, akkor Európa úgy kényszerülhet az elektromos hálózat egyes részeit átépíteni, hogy közben a rendszernek folyamatosan működnie kell, ami olyan, mintha egy házat úgy vezetékeznénk újra, hogy közben égve hagyjuk a lámpákat.

Amikor a „biztonság” iparpolitikává válik

A kiberbiztonsági szabályozás papíron semlegesnek tűnhet, mégis úgy működhet, mint egy vám: a szabványok, tanúsítványok, auditok és ellenőrzések rejtett feltételekké válhatnak a piacra jutásban, különösen, ha csak a nagy, tőkeerős cégek tudják megfizetni, hogy „bizonyíthatóan biztonságosak” legyenek.

A Bizottság egy egységes tanúsítási rendszer bevezetését is fontolgatja, az úgynevezett európai kiberbiztonsági tanúsítási keretet, amivel ellenőrizhetővé szeretné tenni a frissített jogszabályi megfelelést. Ezzel azt sugallja, hogy a megfelelés versenyelőnyt jelenthet, mintha egy beszállító hitelminősítését javítaná a közbeszerzésekben, a kritikusok szerint azonban ez a kiberbiztonság nyelvén iparpolitikai szűrővé is válhat.

Ez azért fontos, mert a vita nem csak tiltásokról szól. A „kényszerű csere” lényege, hogy a „használjuk a berendezést a szokásos életciklus végéig” logikáját felválthatja az „idő előtt cseréljük le, mert megváltozott a beszállító kockázati címkéje” megközelítés. Kritikus infrastruktúrában ennek háromszoros ára van: az új eszközök beruházási költsége, az üzemeltetési kockázat a csere alatt, valamint az ellátásbiztonsági kockázat, ha a fejlesztések csúsznak. A még támogató szereplőknek is gyakorlati kérdéssel kell szembenézniük: mennyire gyorsan lehet egy létfontosságú szolgáltatás „szívében” ülő komponenst lecserélni úgy, hogy közben ne keletkezzen új sebezhetőség az átmenetben?

Kína válasza és az EU belső törésvonalai

Peking már jelezte, hogy a „magas kockázatú beszállító” megközelítést diszkriminatívnak és „nem technikai” alapúnak tartja, valamint, hogy technológiai semlegességet vár el. Bár konkrét ellenlépéseket nem nevezett meg, azok a kínai jogi-adminisztratív eszköztár alapján előfordulhatnak az uniós cégek kereskedelmi és befektetési korlátozásoktól kezdve a Kínában működő vállalatokat érő célzott tranzakciós tiltásokon át az exportengedélyezési és kiberbiztonsági ellenőrzések szigorításáig, eszkalálva a feszültséget a világ második és harmadik legnagyobb gazdasága között.

Az EU számára ugyanakkor a legnehezebb akadály a blokkon belülről érkezhet. Több tagállam a nemzetbiztonságot nemzeti hatáskörnek tekinti, nem uniósnak, ezért egy kötelező közös szabálykönyv is egyenetlenül valósulhat meg, ahogy a korábbi 5G-ajánlásoknál is történt. Ez a mélyebb kínai technológiai beágyazottsággal rendelkező országokat potenciális tesztesetté teheti: ha vitatott beszállítók maradnak a kritikus rendszerekben, az ütközés jogi és politikai is lehet. És ha a vita a távközlésen túl az energiába és az ipari digitalizációba is átterjed, a valódi csatatér könnyen a bürokrácia lehet – engedélyek, tanúsítások, ellenőrzések és adminisztratív terhek –, mert ezek gyorsan tudnak nyomást növelni a cégeken anélkül, hogy bármilyen vámtarifát is bevezetnének.

Kérdés, hogy sikerül-e úgy szűkebbre húzni a kritikus infrastruktúra bejárati ajtaját, hogy közben Európa ne zárja ki magát a megfizethető eszközök piacáról, illetve ne indítson el egy olyan adok-kapok spirált, amely az elektromosh álózatoktól a teljes európai gazdaságig kiterjedhet.

Kapcsolódó: