NIS2

Kötelező IT biztonság az EU-ban, NIS2 irányelv összefoglaló

Az Európai Unióban a 2022/2555 NIS2 (Network and Information Systems Directive 2) irányelvet 2021. december 27-én hirdették ki, majd nem sokkal később 2023. január 16-án hatályba is lépett.
Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS2 irányelvet a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak. Bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között biztosan lesznek különbségek. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, pl. a minősített bizalmi szolgáltatók, a legfelső szintű domain név-nyilvántartók, valamint a DNS-szolgáltatókra méretüktől függetlenül vonatkozik majd a NIS2.

A NIS2 irányelv lényege

A NIS2 a korábbi (EU) 2016/1148 NIS irányelv továbbfejlesztett változata, mivel hatálybalépése óta jelentős előrelépés történt az Unió kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek.
A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén.

External image

Jogszabályi környezet

  • EU/2022/2555 írányelv 2023. évi XIII. törvény a a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
  • 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
  • 15/2023. (VII. 31.) SZTFH rendeleta Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól
  • 305/2023. (VII. 11.) Korm. rendelet a kiberbiztonsági bírságok mértékéről a bírság kiszabásának és befizetésének részletes eljárási szabályairól
  • 2024 januárban várható további hazai törvényi szabályozás a végrehajtással kapcsolatban

Számítógép-biztonsági incidenskezelő csoport

A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek.
Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani.
A tagállamoknak egy szélesebb körű védelmi stratégia részeként az aktív kiberbiztonság előmozdítására irányuló szakpolitikákat kell elfogadniuk. A reaktív reagálás helyett az aktív kiberbiztonság a hálózatbiztonságot fenyegető betörések aktív módon történő megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és azon kívül telepített képességek igénybevételével kombinálva.
A rendelet továbbá előírja, hogy egy új európai sérülékenység-adatbázist kell létrehozni, amelyben a szervezetek és a hálózati és információs rendszereket biztosító beszállítóik, valamint az illetékes hatóságok és a CSIRT-ek önkéntes alapon közzétehetik és regisztrálhatják a nyilvánosan ismert sérülékenységeket annak érdekében, hogy lehetővé tegyék a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyek kockázatot jelentenek az uniós szervezetek számára.

Érintett ágazatok

Hazánkban várhatóan több mint 2500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.
Kiemelten kritikus ágazatok (alapvető szervezetek):
energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
közigazgatás
kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
világűr, űripar
Egyéb kritikus ágazat (fontos szervezetek):
postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
vegyszerek gyártása, -előállítása és -forgalmazása
élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása) digitális szolgáltatások, kutatóhelyek

Nextapp image
Nextapp image

Kik esenek a NIS2 hatálya ála

External image

Az AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE szerint a NIS2 hatálya alá tartozik minden olyan szervezet, amely a 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikke szerint középvállalkozásnak minősül, vagy meghaladja az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amely az ezen irányelv hatálya alá tartozó ágazatokban működik, és az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt vagy tevékenységeket végez.

Fontosabb határidők

External image

2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére).
2024. január 1-től június 30-ig az érintett szervezeteket nyilvántartásba vétele.
2024. október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket.
2024. október 18. és december 31. között szerződni kell egy akkreditált auditorral.
2025. december 31-ig első kiberbiztonsági auditálás elvégzése.

Kötelezettségek

- incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
- 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
- 1 hónapon belüli zárójelentés kötelezettség
- információbiztonságért felelős személyt kell kijelölni
- az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
- kiberbiztonság átfogó megközelítése
- el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
- biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
- meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
- kiberhigiéniai szakpolitika biztosítása
- kritikus incidensek azonosítása
- érintett infrastruktúrák fejlesztése
- informatikai biztonsági szabályzat kidolgozása (IBSZ)
- ellátási lánc biztonságának biztosítása
- incidensekre való reagálási terv kidolgozása
- üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - - tartalékrendszerek kezelése
- katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
- titkosítási megoldások alkalmazása
- többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
- biztonsági kockázatértékelések elvégzése
- biztonságos hang-, video- és szöveges kommunikáció biztosítása
- a hálózat és a teljes rendszer monitorozása, felügyelete
- a munkavállalók és a vezetők képzése
- biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
- sérülékenységi vizsgálatok elvégzése
- nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
- 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
- éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)

Nextapp image
Nextapp image

A management felelőssége

A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca kiberbiztonsági megfelelőségéért, azaz rajta kérheti számon a hatóság.

A büntetés mértéke

A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:
Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
További jogkövetkezményként a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.

Nyilvántartás, adatszolgáltatási kötelezettségek és a felügyeleti hatóság

Bizonyos szervezetek (DNS szolgáltatók, adatközpontok, legfelső szintű domain név-nyilvántartók, domain név nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói) kötelesek lesznek bizonyos adatokat kiadni magukról az illetékes tagállami hatóságnak. Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatóság.

Ha a fenti útvesztőben elakadtál keress minket bizalommal.

Kapcsolatfelvétel

NIS2 Gyakori kérdések

MI AZ A NIS2 ÉS MIÉRT FONTOS?

Válasz: Az NIS2 az EU legújabb kiberbiztonsági irányelve, amely szigorú biztonsági követelményeket állapít meg a vállalatok számára, hogy ellenálljanak a modern kiberfenyegetéseknek.

MIK A NIS2 ALAPKÖVETELMÉNYEI?

Válasz: A NIS2 előírja a vállalatok számára a kockázatértékelést, a többfaktoros hitelesítést, és a biztonsági protokollokat, amelyek növelik a kiberbiztonsági védelmet.

MILYEN HATÁSSAL VAN A NIS2 A VÁLLALATOKRA?

Válasz: A NIS2 követelményeinek teljesítése növeli a vállalatok kiberbiztonsági védelmét, elősegítve a biztonságos üzleti működést.

MILYEN ELŐNYÖKKEL JÁR A NIS2 MEGFELELŐSÉG?

Válasz: A NIS2 megfelelőség bizalmat épít az ügyfelek és partnerek között, és javítja a vállalat kiberbiztonsági helyzetét.

MIÉRT VEZETTÉK BE A NIS2-T?

Válasz: A NIS2, mint az eredeti NIS irányelv jelentős frissítése, egy olyan időszakban jelenik meg, amikor Európa kiberbiztonsági fenyegetési tájképe folyamatosan és gyorsan változik.

MIÉRT PRIORITÁS A NIS2?

Válasz: A NIS2 lehetőséget kínál a szervezetek számára, hogy biztosítsák a megfelelő embereket, folyamatokat és partnereket az üzemeltetés védelmére, az üzletmenet folytonosságának biztosítására és a digitális átalakulás elősegítésére. Továbbá, a NIS2 megfelelőségének biztosítása növeli az ügyfelek, partnerek és részvényesek bizalmát.

MIT TEHETEK, MINT ÜZLETI VEZETŐ, HOGY A LEHETŐ LEGHATÉKONYABBAN KÖZELÍTSÜK MEG A NIS2-T?

Válasz: Miközben a NIS2 megfelelőségének elérése alapos előkészítést és együttműködést igényel a szervezeten belül, a vezetők három fő területen gondolkodhatnak a megközelítésükkel kapcsolatban: emberek, tervezés és partnerek.

További kérdésem van