NIS 2 és a kibertanúsítási törvény

A technológiai fejlődés ma már minden szegletét behálózza mindennapi életünknek. Ezért is kerül egyre nagyobb fókuszba a hálózati és információs rendszerek biztonsága, avagy a kiberbiztonság, amelynek védelmére az EU megalkotta a NIS 2 irányelvet. Az irányelvet átültető hazai jogszabály számos új kötelezettséget tartalmaz a szolgáltatók számára és kialakítja a kötelező hazai kiberbiztonsági tanúsítási rendszert.

A kiberbiztonsági aggályokra válaszul az Európai Unió jogalkotói igyekeztek egy védelmi keretrendszert kialakítani, emiatt született meg a NIS irányelv. Ezt továbbfejlesztve és a GDPR-ral kapcsolatban tapasztalt nehézségekből okulva alkották meg a NIS 2 irányelvet. Az érintett piaci szereplők így egy egységes keretrendszeren belül tudják működésük kiberbiztonsági irányát meghatározni, világosan láthatják az őket érintő követelményeket. A NIS 2 rendelkezéseinek átültetése a gyakorlatba nem utolsó sorban a kibervédelmi incidensek csökkenését vetíti előre, amely egyértelműen előmozdítja a vállalkozások gazdasági céljainak teljesülését.

A NIS 2 legjelentősebb újítása elődjéhez képest az irányelv hatályának kibővítése, amely jóval több ágazatra terjed ki.

A NIS 2 irányelvet a Kibertanúsítási törvény ülteti át a magyar jogba.

Fontos kiemelni, hogy a Kibertanúsítási törvény nem csak a NIS 2-t implementálja, hanem az ENISA rendelet végrehajtási kötelezettségének is eleget tesz (az Európai Uniós Kiberbiztonsági Ügynökségről és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló az Európai Parlament és a Tanács 2019. április 17-i (EU) 2019/881 rendelete), így kialakítva a nemzeti kiberbiztonsági tanúsítási rendszert. A 2023. május 24-től hatályos 10/2023. (V. 15.) SZTFH rendelet a törvény tanúsításra vonatkozó szabályait tölti meg tartalommal.

A Kibertanúsítási törvény szerkezetét a fenti két EU jogszabály határozza meg. A törvény külön fejezetben szabályozza a két témakört (II. és III. fejezetek), amelyek azonban néhány ponton összefüggenek. Fontos kiemelni, hogy a NIS 2-t implementáló III. fejezet alanyi köre eltér az ENISA rendeletet végrehajtó II. fejezetétől.

NIS 2 implementációja

A NIS 2-t implementáló Kibertanúsítási törvény III. fejezete meghatároz „kiemelten kockázatos” és „kockázatos” ágazatokban működő szolgáltatókat és szervezeteket. Kiemelten kockázatos ágazat például az egészségügyi, űrkutatási szektor, hírközlés vagy digitális infrastruktúra, kockázatosnak pedig többek között az élelmiszer és vegyszer gyártás, elektronikai termék gyártása, a digitális szolgáltatók vagy a postai szolgáltatás minősül. A NIS 2 irányelv és így a Kibertanúsítási törvény főszabály szerint – üdvözlendő módon – méretbeli különbséget tesz a hatálya alá tartozó szervezetek között. A kockázatos és kiemelten kockázatos ágazatokban működő állami vagy magánszervezetek akkor tartoznak a törvény hatálya alá, amennyiben az Európai Unión belül szolgáltatnak, tevékenykednek és legalább középvállalkozásnak minősülnek [legalább 50 munkavállalót foglalkoztatnak ÉS éves nettó árbevételük és/vagy mérlegfőösszegük meghaladja a 10 millió eurót], az ennél kisebb szervezetekre tehát nem vonatkoznak az új kiberbiztonsági kötelezettségek. Ez alól a főszabály alól azonban vannak kivételek, amelyek alapján akár egy egyéni vállalkozó, vagy egy bt. is érdekelt lehet. Ugyanis az elektronikus hírközlési szolgáltatók, a bizalmi szolgáltatók, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű domainnév-nyilvántartók és a domainnév-regisztrációt végző szolgáltatók mérettől függetlenül a törvény hatálya alá tartoznak.

A törvényben még nem találhatók meg a két csoport közti különbséget kibontó szabályok, de a NIS 2-ből kiindulva a kiemelten kockázatos szervezetek csoportjának fokozottabb követelményeknek kell majd megfelelniük például az incidenskezelés, a felügyelet esetében vagy magasabb összegű büntetést kell fizetniük egy szabályszegés következményeként.

A kiemelten kockázatos és kockázatos ágazatban működő szervezetekből kiemelünk az alábbiakban néhányat, amelyek a digitális infrastruktúrára és a digitális szolgáltatókra, valamint a hírközlési szolgáltatókra vonatkoznak, mivel ezek a jellemzően érintett ágazatok, és eleve szélesebb vállalkozói kört érintenek:

Hírközlési szolgáltatás (kiemelten kockázatos)

Az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlési szolgáltató
Adatkicserélő szolgáltatást nyújtó szolgáltató
Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvény szerinti bizalmi szolgáltató

Digitális infrastruktúra (kiemelten kockázatos)

Felhőszolgáltató
Adatközponti szolgáltatást nyújtó szolgáltató
Legfelső szintű domainnév-nyilvántartó
DNS-szolgáltató
Tartalomszolgáltató hálózat szolgáltatója

Kihelyezett IKT (Outsourced ICT) (kiemelten kockázatos)

Kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató
kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató

Digitális szolgáltatók (kockázatos)

Az online-piactér szolgáltatója
E-Ker törvény szerinti keresőszolgáltató
Közösségi média szolgáltatási platform szolgáltatója
Domainnév regisztrációt végző szolgáltató

A Kibertanúsítási törvény III. fejezete a kockázatos és kiemelten kockázatos ágazatokban működő szervezetek elektronikus információs rendszereire alapvető kiberbiztonsági intézkedéseket ír elő. Ennek keretében lényeges kötelezettség lesz, hogy a biztonsági kockázatokat osztályozni kell: alap, jelentős és magas szintek egyikébe kell sorolni a rendszereket – a szintek pontos meghatározását és a hozzájuk tartozó konkrét védelmi intézkedéseket a később megjelenő rendelet fogja meghatározni. A törvénynek való megfelelés érdekében kétévente kötelező lesz kiberbiztonsági auditot is végezni. A jogszabályi kötelezettségek betartását a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) fogja ellenőrizni. A megfelelő védelmi intézkedések igazolása során lehetőség van tanúsított IKT termékekre, szolgáltatásokra, folyamatokra is hivatkozni, itt tehát a Kibertanúsítási törvény II. fejezete szerinti tanúsítás és a III. fejezet szerinti elektronikus információs rendszerekkel kapcsolatos védelmi intézkedések összefügghetnek.

A domain nevek nyilvántartásával, mint speciális területtel kapcsolatosan külön rendelkezéseket tartalmaz a Kibertanúsítási törvény, így meghatározza pl. a domainnév-nyilvántartás tartalmát is.

A NIS 2-t implementáló Kibertanúsítási törvény III. fejezete még nem lépett hatályba, ez fokozatosan, 2024. január 1-jén és 2024. október 18-án fog megtörténni.

ENISA rendeletet végrehajtása

Parlament és a Tanács 2019. április 17-i (EU) 2019/881 rendeletét végrehajtó Kibertanúsítási törvény II. fejezete piaci oldalról nézve az IKT termékek, szolgáltatások, folyamatok gyártóira ró kötelezettségeket. A “gyártó” törvény szerinti fogalma magába foglalja az IKT-termék gyártóját, IKT-szolgáltatás nyújtóját, valamint IKT-folyamat gyártóját vagy nyújtóját is. Reálisan a Kibertanúsítási törvény II. fejezete szerinti „gyártó” a III. fejezet szerinti alanyi körbe is bele fog tartozni.

Az SZTFH mint magyar nemzeti hatóság nemzeti kiberbiztonsági tanúsítási rendszereket fog elfogadni, amelyek kötelezően alkalmazandók lesznek az adott IKT termékre, szolgáltatásra, folyamatra. A gyártó köteles a terméket, szolgáltatást, folyamatot tanúsíttatni, amennyiben nemzeti kiberbiztonsági tanúsítási rendszer vonatkozik rá. Az IKT terméket, szolgáltatást, folyamatot az előre megalkotott tanúsítási rendszerek fogják meghatározni, a gyártóknak eltérő kötelezettségeik lesznek. Meghatározzák továbbá, hogy az adott IKT termék, szolgáltatás, folyamat melyik megbízhatósági osztályba tartozik és ahhoz az osztályhoz tartozó követelményeknek megfelelve kell majd eljárni. Három osztályt különböztet meg a jogszabály a felmerülő kockázatok alapján: alap, jelentős és magas. Alap kockázati szint esetén a gyártó öntanúsítást végezhet – de természetesen akkreditált külsős cégre bízhatja ezt is. Jelentős és magas kockázati szint esetében az öntanúsításra nem lesz lehetőség, azt már mindenképpen független, az SZTFH által akkreditált tanúsító szervezettel kell végeztetni. A tanúsító szervezetek külön engedély birtokában végezhetik tevékenységüket, ennek feltételei rendkívül szigorúak és várhatóan az országban csak néhány szereplő tud majd azoknak megfelelni. A tanúsítás elvégzésére még nincs határidő, a később megszülető tanúsítási rendszereket létrehozó rendeletek fogják azt feltehetőleg tartalmazni. Az már most is látszik azonban, hogy a tanúsítást nem érdemes az utolsó pillanatra hagyni, mert minél összetettebb egy szervezet, annál több időt fog igényelni a tanúsítási folyamat.

A tanúsítás nélküli IKT termékek, szolgáltatások, folyamatok pedig nem értékesíthetők a vonatkozó tanúsítási határidő lejárta után.

A Kibertanúsítási törvény II. fejezetének 15. §-a már hatályos 2023. május 26-tól, amelynek keretében elvileg már alkalmazandók a megfelelőségértékelő és a gyártó (szolgáltató) szervezetekre a biztonsági, eljárási és felügyeleti keretszabályok. Ez azért fontos, mert bármilyen, ezzel kapcsolatos kormányrendelet, vagy SZTFH rendelet elfogadása és hatálybalépése esetén ezen rendelkezések már rögtön alkalmazhatóvá válnak.

A kibertanúsítási fejleményeket tehát érdemes fokozottan figyelni és az új követelményeknek való megfelelés előkészítését időben elkezdeni.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

NIS 2 és a kibertanúsítási törvény

Kapcsolódó tartalmak

Dollármilliárdokban mérhető gazdasági károkat okoznak a kibertámadások – Szakmai-tudományos konferencia és egy hiánypótló képzés a győri jogi karon!

NIS2 – Október 18-dikán hatályba lép az EU új Kiberbiztonsági Irányelve – Komoly szankciókra számíthatnak a felkészületlen cégek! – Fontos határidők!

Új szabályok hoztak jelentős szigorításokat augusztus 1-el az online csalások megfékezésére – Mit tegyenek a cégek?

Hogyan legyek felelős digitális szülő, ha a gyermekem jobban ért a kütyükhöz, mint én? – NMHH Podcast – Beszélgetés Pelle Veronika kommunikációkutatóval és Rab Árpád jövőkutatóval

Ki fizeti meg a CrowdStrike incidens okozta károkat? – Minden idők legnagyobb kiberincidensének jogi következményei – Felmerülő kérdések és szakértői válaszok!

NIS2 a kiberbiztonságért – Június 30. az első fontos határidő a cégeknek! – Mely társaságoknak milyen ütemtervet ír elő az új jogszabály és mik a szankciók meg nem felelés esetén?

Közeleg a labdarúgó Európa-bajnokság, indulnak az online sportfogadások – készülnek a kiberbűnözők – A Tét Te vagy! – Figyelemfelhívó információbiztonsági kampányt indít az SZTFH

Minden bejelentés számít! – Digitális gyermekvédelmi konferenciát szervezett az NMHH és az ELTE jogi kara

A Parlament új törvényt fogadott el a DORA rendelet hatálya alá tartozó pénzügyi szervezetek körének kiterjesztéséről