Új Európai Uniós kiberbiztonsági szabályok a láthatáron

Szerzők: dr. Horváth Katalin, dr. Bertók Gábor, dr. Domokos Márton

Az EU a kiberbiztonság megerősítésére törekszik a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló 2016/1148 irányelv (röviden NIS Irányelv) frissítésével. Az EU Bizottsága az Unió új kiberbiztonsági stratégiájának keretében 2020. december 16-án előterjesztette a NIS Irányelv modernizálására irányuló jogszabály tervezetét (NIS2 Tervezet), melynek célja, hogy a NIS Irányelv hiányosságait (pl. alacsony szintű kiberbiztonsági ellenállóképesség az EU-ban, inkonzisztencia az eltérő tagállami átültetések miatt, a tagállami együttes kríziskezelés hiánya) kiküszöbölje és alkalmassá tegye a jogi szabályozást a COVID 19 járványhelyzet miatt is felgyorsult digitalizáció és a folyamatosan változó kiberbiztonsági fenyegetések okozta kihívások kezelésére.

A tagállamokban nem sokkal több mint 2 éve (2018 május 9-ig) implementált jelenlegi NIS Irányelv biztonsági és bejelentési követelményeket állapít meg az alapvető szolgáltatásokat nyújtó szereplőkre (pl. energia, közlekedési, banki és pénzügyi szolgáltatások, egészségügy, ivóvízellátás és digitális infrastruktúra szektorok szereplői) és a digitális szolgáltatókra (pl. online piacterek, keresőprogramok, felhő szolgáltatók). A tagállamoknak továbbá ki kellett jelölniük a számítógép-biztonsági eseményekre reagáló csoportokat (CSIRT-ek) és hálózati és információs rendszerek biztonságáért felelős nemzeti hatóságot kellett létrehozniuk (Magyarországon a Nemzetbiztonsági Szakszolgálat).

A NIS2 Tervezet tovább erősíti a kibervédelem és a kritikus infrastruktúra védelem területén a magán és közintézmények és az Európai Unió ellenállóképességét és biztonsági eseményekre reagáló képességét. Ennek keretében a NIS2 Tervezet többek között bővíti a szabályozással érintett szektorokat: egyértelművé teszi, hogy főszabály szerint az érintett szektorokban működő közép- és nagyvállalatokra terjed ki a szabályozás, megszünteti az alapvető szolgáltatásokat nyújtó szereplők és a digitális szolgáltatók megkülönböztetését, és ehelyett bevezeti a „fontos” és „alapvető” szolgáltatások kategóriáit.

A főbb újdongások az alábbiak:

  • A NIS2 Tervezet kibővített személyi hatálya

A jelenleg irányadó „alapvető szolgáltatásokat nyújtó” szereplők és a „digitális szolgáltatók” megkülönböztetés helyett a NIS2 Tervezet „fontos” és „alapvető” szolgáltatásokat határoz meg, és ezek közé a szabályozással eddig nem érintett új szektorokat emel be. Ennek megfelelően a NIS2 Tervezet főszabály szerint az alábbi szektorokba tartozó, az irányelvben részletesen meghatározott egyes állami és magánkézben lévő közepes és nagyvállalatokra vonatkozik, azzal, hogy a fontos szolgáltatókra kevésbé szigorú felügyeleti előírások lesznek irányadók (a tervezet alapján a fontos szolgáltatók ellenőrzése csak a hatóság tudomásszerzését követően, utólag történik, míg az alapvető szolgáltatókra előzetes „ex ante” felügyeleti rend lesz irányadó):

Alapvető szolgáltatók

Fontos szolgáltatók

Energiaszolgáltatók

Postai és futár szolgáltatások

Közlekedési szolgáltatók

Hulladékgazdálkodás

Banki szolgáltatók

Vegyi anyag gyártók és forgalmazók

Pénzügyi piaci szolgáltatások

Élelmiszer előállítók, feldolgozók és forgalmazók

Egészségügyi szolgáltatók

 

 

Meghatározott termékek gyártói (pl. orvostechnikai eszközök, számítógépek, járművek gyártói)

Ivóvíz ellátás

Digitális szolgáltatók (online piacterek, keresőprogramok, és közösségi oldalak)

Szennyvíz

 

Digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók)

 

Közigazgatás

 

Űr

 

  • 24 órás tájékoztatási kötelezettség a biztonsági eseményekről

A biztonsági események (bármely olyan esemény, amely veszélyezteti a tárolt, továbbított vagy kezelt adatok, vagy a hálózati és információs rendszereken keresztül elérhető vagy ezeken keresztül nyújtott kapcsolódó szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét és bizalmasságát) bejelentésére vonatkozó eddigi „indokolatlan késdelem nélküli” bejelentési kötelezettség 24 órára módosul. A hatóság és az érintett felhasználók felé fennálló, a biztonsági eseményről való tudomásszerzéstől számított 24 órás bejelentési kötelezettség az alapvető és a fontos szolgáltatókra egyaránt vonatkozik.

  • További kockázatkezelési és biztonsági intézkedések előírása

Az alapvető és fontos szolgáltatóknak egyaránt további biztonsági intézkedéseket kell bevezetniük, mint pl. kiberbiztonsági kockázatelemzés, információbiztonsági szabályzatok, üzletmenet folytonosság és krízis kezelés kialakítása, ellátási láncok biztonságának biztosítása (ideértve a harmadik fél szolgáltatásnyújtókkal, beszállítókkal, mint pl. tárhelyszolgáltatókkal, adatfeldolgozókkal kapcsolatos kiberbiztonsági kockázatelemzés elvégzését és biztonsági intézkedések meghozatalát), titkosítás és kriptográfiai megoldások alkalmazása.

  • Az ügyvezetés többlet-felelőssége

A NIS2 Tervezet növeli a fontos és alapvető szolgáltatók ügyvezetésének kiberbiztonsággal kapcsolatos felelősségét azzal, hogy a fenti bekezdésben is említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie. A bővülő felelősséggel összefüggésben az ügyvezetésnek rendszeres kiberbiztonsági oktatáson kell részt vennie.

  • Szigorodó felügyeleti szabályok

A NIS2 Tervezet alapján a kiberbiztonsági előírások megsértése esetén a fontos és alapvető szolgáltatók 10.000.000 euró, vagy ha az magasabb, a teljes éves világszintű forgalom 2 %-nak megfelelő bírsággal sújthatók. Az alapvető szolgáltatók szigorú előzetes ellenőrzésnek is alávethetők, amely a bejelentés nélküli helyszíni ellenőrzéseket is magában foglalhatja, míg a fontos szolgáltatók csak utólag ellenőrizhetők, ha a hatóságnak tudomására jut, hogy a fontos szolgáltató nem teljesíti a kiberbiztonsági és tájékoztatási kötelezettségét.

A NIS2 Tervezet a nagyszabású (azaz legalább két EU tagállamot lényegesen érintő, vagy egy tagállam válaszadási kapacitását meghaladó) kiberbiztonsági incidensek koordinált uniós szintű kezelése és a tagállamok és az EU szervek közötti rendszeres információ megosztás érdekében létrehozza továbbá az Európai kiber krízis kapcsolattartó hálózatot (angolul: European Cyber Crises Liaison Organisation Network, röviden: „EU – CyCLONe”).

A NIS2 Tervezet mellett, szintén az EU kiberbiztonsági stratégiájának keretében megjelent a kritikus entitások ellenállóképességéről szóló irányelv tervezet is, amely az energia és közlekedési szektor kritikus szolgáltatóira nézve állapít meg biztonsági többletkövetelményeket.

A NIS2 Tervezetet az EU Bizottsága és Parlamentje fogja megtárgyalni. A végső szöveg elfogadása esetén a tervezet tagállami átültetésére 18 hónap fog rendelkezésre állni.