Az EU a belső piac működésének javítása érdekében a kiberbiztonság megerősítésére törekszik a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló 2016/1148 irányelv (röviden: NIS Irányelv) frissítésével. Az EU Bizottsága az Unió új kiberbiztonsági stratégiájának keretében 2020. december 16-án előterjesztette a NIS Irányelv modernizálására irányuló jogszabály tervezetét („NIS2 Irányelv”), amely 2022. december 27-én került kihirdetésre az Európai Unió Hivatalos Lapjában és 2023. január 16-án fog hatályba lépni.
A főbb újdongások az alábbiak:
1. A NIS2 Tervezet kibővített személyi hatálya
A jelenleg irányadó „alapvető szolgáltatásokat nyújtó” szereplők és a „digitális szolgáltatók” megkülönböztetés helyett a NIS2 Irányelv „fontos” és „alapvető” szervezeteket határoz meg, amelyeket kiemelten kritikus és egyéb kritikus ágazatokhoz sorol, és ezek közé a szabályozással eddig nem érintett új szektorokat emel be. Ennek megfelelően a NIS2 Irányelv főszabály szerint az alábbi szektorokba tartozó, kiemelten kritikus és egyéb kritikus ágazatokhoz tartozó, az irányelvben részletesen meghatározott egyes állami és magánkézben lévő közepes és nagyvállalatokra vonatkozik, azzal, hogy a „fontos” szervezetekre kevésbé szigorú felügyeleti előírások lesznek irányadók. (A NIS2 Irányelv alapján a „fontos” szervezetek ellenőrzése csak a hálózati és információs rendszerek biztonságáért felelős nemzeti hatóság (Magyarországon a Nemzetbiztonsági Szakszolgálat) tudomásszerzését követően, utólag történik, míg az „alapvető” szervezetekre előzetes „ex ante” felügyeleti rend lesz irányadó).
KIEMELTEN KRITIKUS ÁGAZATOK | EGYÉB KRITIKUS ÁGAZATOK |
Energia | Postai és futárszolgáltatások |
Szállítás | Hulladékgazdálkodás |
Banki szolgáltatások | Vegyszerek gyártása, előállítása és forgalmazása |
Pénzügyi piaci infrastruktúrák | Élelmiszer-termelés,-feldolgozás és forgalmazás |
Egészségügy
|
Meghatározott termékek gyártói (pl. orvostechnikai eszközök, számítógépek, járművek gyártói) |
Ivóvíz ellátás | Digitális szolgáltatók (online piacterek, keresőprogramok, és közösségi oldalak) |
Szennyvíz | Kutatóhelyek |
Digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók) | |
Információ- és kommunikációtechnológia szolgáltatás management
(vállalkozások között) |
|
Közigazgatási szervek | |
Világűr |
„Alapvető” szervezetnek minősülnek többek között a kiemelten kritikus ágazatokhoz tartozó közepes és nagy szervezetek; a minősített bizalmi szolgáltatók és a legfelső szintű doménnév-nyilvántartók, valamint a DNS-szolgáltatók, méretüktől függetlenül; a nyilvános elektronikus hírközlő hálózatok szolgáltatói vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók; valamely tagállam által annak nemzeti joga alapján meghatározott, központi kormányzathoz tartozó közigazgatási szervek, továbbá a tagállamok által ilyenként meghatározott szervezetek. Ezen túlmenően, azok a szervezetek, amelyek a kiemelten kritikus, vagy egyéb kritikus ágazatokhoz tartoznak, de nem minősülnek alapvető szervezetnek, „fontos” szervezetnek tekintendők. A tagállamok kötelesek összeállítani a „fontos” és „alapvető” szervezetek listáját.
A NIS2 Irányelv ezzel világosan meghatározza, hogy mely szervezetek esnek a hatálya alá, továbbá megteremti a jogi koherenciát más szektorspecifikus szabályokkal (pl. DORA rendelet, amely a pénzügyi szektor digitális működési rezilienciáját szabályozza), amikor kimondja, hogy a potenciálisan mindkét szabályozás hatálya alá eső jogalanyokra a szektorspecifikus szabályok irányadóak, amennyiben azok legalább a védelem NIS2 Irányelvvel azonos szintjét követelik meg.
2. Jelentéstételi kötelezettségek és a jelentős esemény fogalma
A szervezeteknek értesíteniük kell a tagállamok által kijelölt, számítógép-biztonsági eseményekre reagáló csoportokat (CSIRT-et) vagy adott esetben az illetékes, a hálózati és információs rendszerek biztonságáért felelős nemzeti hatóságot minden jelentős eseményről. Egy esemény akkor tekintendő jelentősnek, ha
- súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban, vagy pénzügyi veszteséget okozott az érintett szervezetnek;
- az esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett vagy képes érinteni.
Az érintett szervezetnek elsőként indokolatlan késedelem nélkül és legkésőbb a jelentős eseményről való tudomásszerzéstől számított 24 órán belül egy korai előrejelzést kell küldenie a CSIRT vagy a hatóság részére. A korai előrejelzésben fel kell tüntetni, hogy a jelentős eseményt vélhetően jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e határokon átnyúló hatása. Indokolatlan késedelem nélkül, de minden esetben a jelentős eseményről való tudomásszerzéstől számított 72 órán belül egy eseménybejelentést is be kell nyújtani, amely aktualizálja az előző pontban említett információkat, és tartalmazza a jelentős esemény első értékelését, beleértve annak súlyosságát és hatását, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat. Ezen túlmenően a NIS2 Irányelv az eseménybejelentés benyújtását követő 1 hónapon belül zárójelentéstételi kötelezettséget ír elő. Az alapvető és a fontos szervezetek indokolatlan késedelem nélkül kötelesek közölni a jelentős kiberfenyegetés által potenciálisan érintett szolgáltatásaik igénybe vevőivel azon intézkedéseket, illetve fenyegetést orvosló lehetőségeket, amelyeket a szolgáltatások igénybe vevői a fenyegetésre válaszul maguk megtehetnek, illetve amelyekkel élhetnek. Adott esetben a szervezetek az igénybe vevőket magáról a jelentős kiberfenyegetésről is tájékoztatják.
3. További kockázatkezelési és kiberbiztonsági intézkedések előírása
Az alapvető és fontos szolgáltatóknak egyaránt további – a kiberbiztonsági kockázattal arányos – biztonsági intézkedéseket kell bevezetniük, mint pl. kockázatelemzési és információbiztonsági szabályzatok, üzletmenet folytonosság (például tartalékrendszerek kezelése), valamint katasztrófa utáni helyreállítás, ellátási láncok biztonságának biztosítása (ideértve a közvetlen beszállítókkal vagy szolgáltatókkal, mint pl. tárhelyszolgáltatókkal, adatfeldolgozókkal kapcsolatos kiberbiztonsági kockázatelemzés elvégzését és biztonsági intézkedések meghozatalát), alapvető „kiberhigiéniai” gyakorlatok és kiberbiztonsági képzések biztosítása, titkosítás és kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazása, továbbá humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás bevezetése, valamint adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, illetve biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.
A Bizottság 2024. október 17-ig (21 hónappal a NIS2 Irányelv irányelv hatálybalépését követően) végrehajtási jogi aktusokat fogad el, amelyekben meghatározza a fent említett intézkedések technikai és módszertani követelményeit
4. Az ügyvezetés többlet-felelőssége
A NIS2 Irányelv növeli a fontos és alapvető szervezetek ügyvezetésének kiberbiztonsággal kapcsolatos felelősségét azzal, hogy a fenti bekezdésben is említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie. Az ügyvezetés felelőssé tehető ha az általa vezetett szervezet nem felel meg a NIS2 Irányelvben (illetve az azt implementáló tagállami jogszabályokban) előírt kiberbiztonsági követelményeknek. A bővülő felelősséggel összefüggésben az ügyvezetésnek rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.
5. Szigorodó felügyeleti szabályok
A NIS2 Irányelv alapján a kiberbiztonsági előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak. Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 euró, vagy ha az magasabb, a teljes éves világszintű forgalom 2 %-nak megfelelő bírsággal, míg fontos szervezetek esetén 7.000.000 EUR vagy, ha ez magasabb, a vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő maximális összegű közigazgatási bírsággal sújthatók.
Az alapvető szervezetek szigorú ellenőrzésnek is alávethetők, amely magában foglalja többek között a helyszíni és távoli (akár véletlenszerű) ellenőrzéseket; a hatóság által végzett, rendszeres és célzott biztonsági ellenőrzéseket; de az eseti ellenőrzéseket is, ha azt egy jelentős esemény vagy a NIS2 Irányelv rendelkezéseinek alapvető megsértése indokolja. Fontos szervezetek esetében ugyanakkor az ellenőrzések csak utólagosan történnek, ha a felügyeleti hatóság bizonyítékokat, jelzést vagy információt kap arról, hogy egy fontos szervezet vélhetően nem felel meg a NIS2 Irányelvnek.
6. Nyilvántartás és adatszolgáltatási kötelezettségek
Egyes szervezetek (a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói) kötelesek lesznek bizonyos adatokat megadni magukról az illetékes tagállami hatóságnak, annak érdekében, hogy a Európai Uniós Kiberbiztonsági Ügynökség („ENISA”) létrehozza e szervezetek nyilvántartását.
7. Megerősített európai együttműködés
A NIS2 Irányelv a nagyszabású (azaz legalább két EU tagállamot lényegesen érintő, vagy egy tagállam válaszadási kapacitását meghaladó) kiberbiztonsági incidensek koordinált uniós szintű kezelése és a tagállamok és az EU szervek közötti rendszeres információ megosztás érdekében létrehozza továbbá az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatot (angolul: European Cyber Crises Liaison Organisation Network, röviden: „EU – CyCLONe”).
Fokozott EU-s figyelem a kibervédelmen
A NIS2 Tervezet mellett, szintén az EU kiberbiztonsági stratégiájának keretében került benyújtásra a kritikus szervezetek rezilienciájáról szóló irányelv tervezete is, amely a NIS2 Irányelvhez hasonlóan, 2022. december 27-én került kihirdetésre és 2023. január 16-án lép hatályba. Az irányelv célja a kritikus fontosságú szervezetek sebezhetőségének csökkentése és rezilienciájának megerősítése, többek között az energia, a közlekedés, a banki szolgáltatások, az ivóvíz, a szennyvíz, az élelmiszer-termelés, -feldolgozás és -forgalmazás, az egészségügy, a világűr, a pénzügyi piaci infrastruktúra és a digitális infrastruktúra ágazatában.
Következő lépés:
A NIS2 Irányelv a 2022. december 27-i kihirdetését követő huszadik napon lép hatályba, vagyis 2023. január 16-án. Tekintettel az EU-s szintű jogalkotási rendszerre, az Irányelvet a tagállamoknak 2024. október 17-ig át kell ültetniük először a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak.