2023. január 16-án hatályba lépett a NIS2 Irányelv. Az EU tagállamainak 2024. október 17-ig át kell ültetniük a saját jogrendszerükbe. Az elfogadott és kihirdetett hazai rendelkezések pedig kötelező érvényűek a hazai vállalkozások és szervezetek számára.
A NIS irányelv lényege
A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.
A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptetett hatályba a magyar jogrend. Három szektorban írta elő a digitális szolgáltatást nyújtó vállalkozások regisztrációs és biztonsági eseményekkel kapcsolatos bejelentési kötelezettségét. Ezen szektorok az online piactér, online keresőszolgáltatás és a felhőalapú számítástechnikai szolgáltatás.
Az NBSZ (Nemzetbiztonsági Szakszolgálat), mint eljáró hatóság felügyelete alá tartozik a dokumentáció hozzáférés, helyszíni ellenőrzés – a figyelmeztetés és bírságolás mellett.
NIS2 és főbb újdonságai
Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.
A NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése elkerülhetetlenné vált a biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése valamint a jelentési kötelezettségek terén.
Megfelelő és arányos technikai, szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.
A NIS2 főbb újdonságai dióhéjban
Kibővített személyi hatály
Az alapvető szolgáltatásokat nyújtók, digitális szolgáltatók, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezeteket és eddig nem érintett új szektorokat is érint.
Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami és magánkézben lévő közép és nagyvállalatokra vonatkozik. Az irányelv alapján a fontos szervezetek ellenőrzését utólag, míg az alapvető szervezetekét előre végzi el az NBSZ.
Kiemelten kritikus ágazatok (alapvető szerveztek):
- energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
- szállítás (légi, vízi, vasúti, közúti)
- banki szolgáltatások
- pénzügyi piaci infrastruktúrák
- egészségügy
- ivóvíz, szennyvíz
- digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
- közigazgatás
- világűr
Egyéb kritikus ágazat (fontos szervezetek):
- postai és futárszolgáltatások
- hulladékgazdálkodás
- vegyszerek gyártása, előállítása és forgalmazása
- élelmiszer előállítás, feldolgozás, forgalmazás
- gyártás (pl.: számítógépek, elektronikai és optikai termékek, orvostechnikai és diagnosztikai eszközök, gépjárművek, pótkocsik)
Jelentéstételi kötelezettségek és jelentős események
A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) vagy a nemzeti hatóságnak.
Egy esemény akkor tekintendő jelentősnek, ha:
- súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
- pénzügyi veszteséget okozott az érintett szervezetnek
- az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára
Kockázatkezelési és kiberbiztonsági intézkedések
A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük amely kiterjed
- a kockázatelemzési és információbiztonsági szabályzatokra
- üzletmenet folytonosságra
- katasztrófa utáni helyreállításra
- ellátási láncok biztonságának biztosítására
- kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
- titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
- HR biztonságra
- hitelesítési megoldásokra
- biztonságos hang-, video- és szöveges kommunikációra
- illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára
Az ügyvezetés többlet-felelőssége
- A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
- Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
- Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.
Szigorodó felügyeleti szabályok
A NIS2 Irányelv alapján az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak. Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírsággal sújtható. Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig közigazgatási bírsággal sújthatók.
Nyilvántartás és adatszolgáltatási kötelezettségek
Egyes szervezetek (Pl; DNS szolgáltatók, domain nyilvántartók, felhőszolgáltatók, adatközpont szolgáltatók, online piacterek, keresőprogram szolgáltatók) kötelesek lesznek bizonyos adatokat megadni magukról az illetékes tagállami hatóságnak. Ezen adatszolgáltatással az Európai Uniós Kiberbiztonsági Ügynökség („ENISA”) létrehozza e szervezetek nyilvántartását.
