A NIS2 irányelv átfogó bemutatása

2016-ban az Európai Unió első általános kiberbiztonsági szabályozásaként a NIS irányelv célja az volt, hogy növelje az EU hálózati és információs rendszereinek ellenálló képességét a kiberfenyegetésekkel szemben. Bár annak idején ez a szabályozás sikeres volt, a digitális átalakulás és a *COVID-19 válság új kihívásokat és fenyegetéseket teremtett, amelynek következtében a Bizottság több hiányosságot is azonosított, mint például:

A cégek kiberrezilienciájának alacsony szintje az EU-ban,
A reziliencia eltérő szintje az EU-tagállamok és szektorok között,
A legfontosabb veszélyek és kihívások értelmezésének hiányossága a tagországok között,
Közös válságkezelés hiánya.

A digitálisan összekapcsolt világ egyre növekvő kockázataira reagálva a Bizottság 2020 decemberében javasolt egy sor felülvizsgált és hosszú távú új szabályozást, amelyek célja az EU-n belüli kiberreziliencia megerősítése és egységes szintre emelése volt. Ennek keretében szükséges volt a 2016. évi NIS irányelvet is felülvizsgálni, melynek következtében kidolgozásra került a NIS2 (Network and Information Security (NIS) Directive 2) irányelv, melyet jelen formájában 2022 novemberének végén hivatalosan is elfogadták.

* Hogyan befolyásolta a Covid19-válság az új irányelvet?

A COVID-19 járvány hatására az európai gazdaság egyre inkább függ a digitális technológiáktól, ami minden eddiginél nagyobb fokú egymásrautaltságot eredményezett a tagállamok és az ágazatok között. Ennek következtében a kiberfenyegetések száma és komplexitása is nőtt, ami azt jelenti, hogy egyetlen zavar a láncban kiterjedt következményeket vonhat maga után az egész belső piacon.

Miként erősíti meg az új irányelv a kiberbiztonsági védelmet az egész Unióban?

Az új irányelv frissítette a korábbi jogi keretrendszert és olyan előírásokat tartalmaz, amelyek célja a kiberbiztonsági védelem növelése az egész Unióban, ezáltal hozzájárul a belső piac zökkenőmentes működéséhez. Az irányelv hatálya alá eső köz- és magánszervezeteknek kiberbiztonsági kockázattal kapcsolatos elemzéseket, önazonosítást és kockázati osztályba sorolást kell végezniük, majd ennek megfelelő technikai, üzemeltetési és szervezeti védelmi intézkedéseket kell alkalmazniuk a kiberbiztonsági kockázatok és veszélyek megfelelő kezelése érdekében.

Az új irányelv három fő pillére:

nemzeti kiberbiztonsági stratégia kialakítása

Nemzeti kiberbiztonsági stratégia kialakítása

információmegosztás

Információmegosztás a számítógép-biztonsági és incidenskezelő csoportokon (CSIRT-ek) keresztül

kiemelten kritikus A kiemelten kritikus és kritikus ágazati lista kibővítése és teljes ellátási láncra való kiterjesztése, valamint az egységes alanyi hatály bevezetése

Mely ágazatokra és szervezettípusokra terjed ki a NIS2?

az energia,
a víz,
az egészségügy,
a szállítás,
a gyógyszeripar,
a digitális infrastruktúrák,
a kihelyezett szolgáltatók,
a közigazgatás, és
a világűr földi támogatói infrastruktúrái

a hulladékgazdálkodás,
a postai és futárszolgálatok,
az elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések)
a járműgyártás
az élelmiszer előállítás és forgalmazás
a digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform)
a vegyipari gyártás és forgalmazás
a kutatóhelyek

10 millió euró vagy annál nagyobb éves árbevétel
50 fő vagy annál több foglalkoztatotti létszám

Miben újít a NIS2 irányelv a meglévő szabályozáshoz képest?

A legfőbb célja, hogy minden érintett vállalat megfeleljen a kiberbiztonsági kockázatkezelés alapvető követelményeknek. Ezért az irányelv 10 olyan kulcsfontosságú elemet határoz meg, amelyekkel a jövőben minden vállalatnak foglalkoznia kell – ezek közé tartozik:

incidenskezelés

Incidenskezelés

NIS2

Sérülékenységek kezelése és nyilvánosságra hozatala

nis2

Ellátási lánc

nis2

Rendszeres biztonságtudatossági képzések

NIS2

Üzletmenet folytonossági intézkedések

nis2

Biztonsági szempontok érvényesítése

nis2

Kriptográfiai technológiák, mint például az adattitkosítás használata

incidenskezelés

Az előbbiek közül kritikus pont lehet az incidenskezelés bejelentési kötelezettséggel járó része.

Az új irányelv által javasolt bejelentési eljárásban a vállalkozásoknak 24 órán belül egy előzetes jelentést kell tenniük, ha tudomást szereznek egy biztonsági eseményről. Ezt követően, az észleléstől számított 72 órán belül egy részletesebb jelentést kell tenni, illetve az esemény teljes körű kiértékelését egy hónapon belül kell befejezni.

Az eddigi szabályozás értékelése rámutatott arra, hogy a tagállamok eltérő módon alkalmazzák a biztonsági események bejelentésére vonatkozó szabályokat, ami extra terhet róhat azokra a vállalatokra, amelyek egynél több tagállamban működnek.

Ezek a változtatások segítenek egységesíteni az események bejelentésére vonatkozó folyamatokat az EU egészében, csökkentve ezzel a több országban működő vállalatokra háruló adminisztratív terhet, valamint lehetővé teszik a hatékonyabb kockázatkezelést és incidensmegelőzést.

Auditori és üzemeltetői tapasztalatunk alapján, ez a lehet a legnagyobb kihívást tartogató elem. A 24 órán belüli bejelentési kötelezettség jelentős felkészültséget és rendelkezésre állást igényel majd a vállalatok részéről, hiszen egy biztonsági incidens esetén elsőként sosem a bejelentésre gondolunk.

Magyarországon hogyan fogjuk implementálni, felügyelni az új szabályokat?

Magyarország elől jár a szabályozásban és az implementációs folyamatban is, ám ez egy rendkívül összetett és sokszereplős kodifikációs munka, aminek egyelőre még nem értünk a végére, így vannak még nyitott kérdések.

Magyarországon a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (Kibertan tv.) valamint a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról (IBTV) keretében kerül átültetésre az irányelv.

A fenti jogszabályokhoz kapcsolódó részletszabályok még kidolgozás alatt vannak, melynek keretében az Ibtv.-hez kapcsolódó végrehajtási rendeletek ( például a 41/2015. BM rendelet) felülvizsgálatára is sor kerül.

Felügyeleti, hatósági hatáskörrel az SZTFH Szabályozott Tevékenységek Felügyeleti Hatósága, valamint a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete rendelkezik majd. Az irányelv hatálya alá tartozó szervezeteknek pedig a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetén belül található eseménykezelő központnak (CSIRT) kell bejelentenie a jelenős incidenseit és kiberfenyegetéseit.

Az irányelv EU-s szinten megszabja az, illetékes hatóságok alapvető eszközeinek listáját beleértve rendszeres és célzott ellenőrzéseket, helyszíni vizsgálatokat, valamint információk és dokumentációk bekérését.

A szankciók között szerepelnek kötelező utasítások, biztonsági ajánlások végrehajtása és bírságok.

Az alapvető szervezetek esetében legalább 10 millió EUR vagy az éves globális forgalom 2%-a, a fontos szervezetek esetében pedig legalább 7 millió EUR vagy a forgalom 1,4%-a lesz a minimum szankció.

Az illetékes hatóságoknak figyelembe kell venniük a jogsértés jellegét, súlyosságát, időtartamát és az okozott károkat, valamint az esetleges szándékosságot vagy gondatlanságot. Az új szabályozás rendelkezik a felsővezetők felelősségre vonásáról is, ha a szervezeten belül nem veszik komolyan a kiberbiztonsági előírásokat.

Melyik tagállam rendelkezik joghatósággal?

Az új szabályozás alapján az alapvető és fontos szervezeteket elsősorban azon tagállam joghatósága felügyeli, ahol bejegyzett telephelyük található. Amennyiben egy szervezet több tagállamban is telephelyekkel rendelkezik, minden érintett tagállam joghatóságát el kell fogadnia, és ezeknek az államoknak összehangoltan kell eljárniuk, különösen, ha közös felügyeleti intézkedések szükségesek.

Mik a következő lépések?

Az irányelv 2024. október 18-tól alkalmazandó minden a hatály alá tartozó szervezet számára. A megfelelésre való felkészülés terén a Nemzeti Kibervédelmi Intézet és az SZTFH által meghatározott követelmények és határidők alkalmazandóak.

2024. január 1. – június 30. között

önazonosítás
biztonsági osztályba sorolás
nyilvántartásba vétel az SZTFH-nál
megkezdeni a felkészülést a Kibertantv. és végrehajtási rendeleteiben meghatározott követelményeknek megfelelően (melyek jelentős része még kidolgozás alatt áll)

2024. december 31-ig

kiberbiztonsági auditálására szerződést kell kötni egy auditor szervezettel

2024. október 18-tól

az irányelv alkalmazandó ettől a naptól Európa szerte
esedékes az első felügyeleti díj befizetése a hatóság felé (a nettó árbevétel 0,015%-a, de maximum 10.000.000 Ft / év)
biztonsági kontrollok megvalósítása az érintetteknél Információbiztonsági felelősi kijelölése

2025. december 31-ig

el kell végezni az első NIS2 auditot (majd ezt 2 évente megújítani)

Teendők

Minden a NIS2 hatálya alá tartozó szervezetnek azt tanácsoljuk, hogy mielőbb kezdjen hozzá a felkészüléshez egy szakértő partner segítségével. A teendők nagy vonalakban a következők lesznek: