A hatásaiban a GDPR-hoz hasonlítható NIS 2 EU irányelv számos új információbiztonságra vonatkozó előírást hoz a hatálya alá tartozó vállalkozásoknak, szervezeteknek. Azonban érdemes megvizsgálni, hogy ezek mennyiben függenek össze a GDPR alapján már most is kötelező előírásokkal, netán van-e olyan közöttük, amit (akár részben) már teljesített is az érintett szervezet?
A 2018-tól alkalmazandó GDPR a személyes adatok védelmét hivatott elősegíteni, a felhasználói adatok szintjén, a NIS 2 (és az azt implementáló nemzeti jogszabályok, jelenleg a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló 10/2023. (V. 15.) SZTFH rendelet) ezzel szemben az adatokat kezelő egyes kritikus ágazatba tartozó vagy tevékenységet végző- vállalkozások, szervezetek általános információbiztonságát reformálja meg, a teljes digitális infrastruktúrára vonatkozó új standardokkal.
Fontos kiemelni, hogy
a természetes személyek adatainak kezelésére továbbra is a GDPR vonatkozik, azonban egyes speciális adatvédelmi elvárásokat a NIS 2 is megfogalmaz, a GDPR-ral összhangban.
Továbbá a NIS 2 alá tartozó cégeknek, szervezeteknek az adatok biztonságát most már nem csupán a GDPR személyes adatokra vonatkozó elvárásai és a rájuk adott esetben irányadó ágazati jogszabályok szerint, hanem a NIS 2-t átültető hazai jogszabályok szerint is garantálniuk kell. Az alábbiakban a teljesség igénye nélkül olyan előírásokat sorolunk fel, ahol az adatvédelmi és a kiberbiztonsági elvárások átfedik egymást, kapcsolatba hozhatók.
Biztonsági intézkedések, adatvédelmi szabályzatok: A GDPR elvárja a kockázat mértékének megfelelő szintű adatbiztonságot garantáló technikai és szervezési intézkedések végrehajtását mind az adatkezelőktől, mind pedig az adatfeldolgozóktól. A GDPR e területen nevesít egyes általános elvárásokat (pl. álnevesítés, titkosítás, rendszerek folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának biztosítása, incidenskezelés, intézkedések rendszeres tesztelése és felülvizsgálata), azonban ezek konkrét megvalósítását az adatkezelőkre bízza. A GDPR adatvédelmi [belső] szabályzatot sem tesz általánosságban kötelezővé az adatkezelők számára, azonban ágazati jogszabályok előírhattak ilyet már eddig is (pl. közfeladatot ellátó szervek adatvédelmi és adatbiztonsági szabályzata). A NIS 2 és annak magyar implementációs jogszabálya a hatálya alá tartozó digitális rendszerekre vonatkozóan ehhez képest szélesebb körű és konkrétabb biztonsági intézkedéseket és kontrollokat ír elő. Ezek közé tartozik pl. a rendszerek és az adatok biztonsági osztályba sorolása, információbiztonsági szabályzatok megalkotása, esemény- és válságkezelés, a teljes ellátási lánc biztonságának garantálása, kötelező kiberbiztonsági képzés, titkosítási eljárások és hozzáférés-ellenőrzési szabályok megalkotása, hitelesítési megoldások alkalmazása. A NIS 2 továbbá elvárásokat fogalmaz meg a szervezet vezetőjének főbb feladatait és felelősségi körét illetően, ezen túl előírja információs rendszerek biztonságáért felelős személy kinevezését is. A szervezet vezetőjének felelősségi kérdéseit részletesen rendező hazai rendelet még nem jelent meg, 2024. első negyedévében várható. Azoknak a NIS 2-vel érintett szervezeteknek, amelyek a GDPR vagy ágazati elvárások miatt már készítettek belső adatvédelmi eljárásaikra szabályzato(ka)t, nem feltétlenül kell új információbiztonsági szabályzatot alkotniuk, hanem a már meglevő szabályzatokat javasolt felülvizsgálniuk a NIS 2 implementáció szempontjából, és összhangba hozni azokat az új kiberbiztonsági eljárásokkal.
Auditok, ellenőrzések: A GDPR eddig is előírta az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelését, felmérését és értékelésére szolgáló eljárások kidolgozását. Ezek az eljárások általában a belső adatvédelmi szabályzatokban kaptak helyet, ha a cég, szervezet rendelkezett ilyen dokumentummal. A NIS 2 a felügyeleti hatóság számára ellenőrzést, a cégek, szervezetek számára pedig 2 évente kötelező –független auditor által végzett – auditot ír elő. Az új rendelkezések fényében ellenőrizni kell tehát a jelenlegi szabályzatokat, eljárásrendeket, lehetővé téve mind a kiberbiztonsági hatósági ellenőrzéseket, mind pedig az auditok NIS 2 implementációnak megfelelő lefolytatását.
Incidensek: A kiberfenyegetések számottevő része a GDPR szerinti adatvédelmi incidens is egyben. Ezek tekintetében nem szabad elfeledkezni arról, hogy a NIS 2 implementáció általi hatósági bejelentési és egyéb kapcsolódó kötelezettségek mellett továbbra is megmarad a NAIH felé történő [adatvédelmi] incidens bejelentési kötelezettség, illetve az incidens kezelését nem csupán a kiberbiztonsági, hanem az adatvédelmi elvárásokat is figyelembe véve kell kezelni. A GDPR által elvárt bejelentésre és adott esetben ügyfél/partner tájékoztatásra vonatkozó 72 órás határidő a NIS 2 alkalmazásában már jelentősen le fog rövidülni: a kiberbiztonsági incidensek által sújtott szervezeteknek csupán 24 órájuk áll majd rendelkezésre, hogy a bekövetkező incidensekről az első értesítést elkészítsék (az új rendszer egyébként több lépcsős bejelentést ír elő, a második bejelentést legkésőbb 72 órán belül, a záró jelentést pedig az incidenst követő egy hónapon belül kell benyújtani). Az incidens kezelésében közreműködő személyekre vonatkozó új előírásoknak is meg kell majd felelni a jövőben. Kibervédelmi incidens esetén a kiberbiztonságért felelős hatóság elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciálisan érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól. Ha egyben adatvédelmi incidens is történt, akkor a szervezet saját elhatározásból tájékoztathatja az érintetteket, de az adatvédelmi hatóság (NAIH) is elrendelheti a GDPR-nak megfelelő tájékoztatását. Mindezek ismételten az eddigi adatbiztonsági eljárások, szabályzatok felülvizsgálatát feltételezik. Jó esetben azonban elegendő lehet az új szabályok szerinti korrekció, és a már kialakított eljárásrendek ezzel együtt tovább alkalmazhatók.
Adatfeldolgozói szerződések: A GDPR előírja, hogy az adatkezelők csak megfelelőségi garanciákkal rendelkező adatfeldolgozót vehetnek igénybe a személyes adatok kezeléséhez, akivel – a GDPR-ban meghatározott minimális tartalmi követelményeket magába foglaló – írásbeli szerződést kell kötniük, vagy más, az adatfeldolgozóra kötelező jogi aktusban kell szabályozniuk az adatkezelés részleteit. A NIS 2 ehhez hasonlóan, azonban tovább is lépve, meghatározza, hogy a hatálya alá tartozó szervezeteknek a digitális infrastruktúrájukhoz használt beszállítóikat, azok láncolatait kockázati szempontból fel kell mérniük. A nemzeti implementáció szerint pedig az ezekre a szervezetekre vonatkozó alapvető követelményeket az elektronikus információs rendszer üzemeltetésében, karbantartásában vagy javításában közreműködőknek is be kell tartaniuk. Tekintettel arra, hogy a személyes adatok kezelésében részt vevő adatfeldolgozók és a digitális infrastruktúra beszállítói köre sok esetben átfedést mutat, javasolt a már megkötött adatfeldolgozói szerződések felülvizsgálata, és a szervezetre irányadó NIS 2 implementációs adatbiztonsági elvárások tükrözése ezekben a szerződésekben. Az is hangsúlyozandó, hogy egyes szolgáltatókkal a NIS 2 szerinti szerződéseken túl új adatfeldolgozói szerződésekre is szükség lesz, pl. ilyen a független auditori szerződés, amelybe a GDPR szerinti kötelezettségeket és szempontokat is majd be kell építeni.
Adatkezelési tájékoztatók: A GDPR alapvető kötelezettségként írja elő a személyes adatok kezelésének átláthatóságát, ehhez szorosan kapcsolódóan tájékoztatási kötelezettséget az érintett természetes személyek felé. A NIS 2 implementáció által előírt egyes új kiberbiztonsági szabályok a szervezetek adatkezelési tájékoztatóit is érintik, többek között pl. személyes adatokat is érinthet egy kiberbiztonsági hatósági ellenőrzés, vagy audit, továbbá a hatósági nyilvántartásba is át kell adni meghatározott személyes adatokat, ezen kívül az adatkezelés jogalapja, vagy az innovatív technológiák (pl. mesterséges intelligencia) használata tekintetében is javaslatokat fogalmaz meg az irányelv. A NIS 2 egyes szervezetek, pl. a domain nyilvántartók számára további, a személyes adatokhoz történő hozzáférésre, ill. azok kezelésére vonatozó új kötelezettségeket és javaslatokat állapít meg. Kiemelendő tehát, hogy a közzétett adatkezelési tájékoztatókat az érintett szervezeteknek felül kell vizsgálni, és ezeket az adatkezeléseket is fel kell azokban tüntetni.
Képzés, oktatás: A GDPR támogatja az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, amely a személyes adatok biztonságára, mint alapvető kötelezettségre is kiterjed. A NIS 2 implementáció még határozottabban, a szervezet munkatársainak rendszeres információbiztonsági képzéséről rendelkezik. Javasolt megvizsgálni, hogy a vonatkozó oktatásokat mennyiben lehet egybekötni, mind a GDPR, mind pedig a kiberbiztonsági kötelezettségeknek eleget téve.
Munkahelyi adatkezelések: A munkahelyi adatkezeléseket tekintve a fenti adatkezelési tájékoztatókra írottak a munkavállalói adatkezelési tájékoztatókra szintén irányadók. A NIS 2 implementáció által előírt intézkedések is befolyásolják azonban a munkahelyi adatkezeléseket, és egyes esetekben magukat a munkaszerződéseket is, ilyen pl. az audittal kapcsolatos részletes titoktartási, vagy a vezetők feladataira vonatozó előírások. Mindezek a munkavállalói adatkezelési tájékoztatók és az érintettek munkaszerződéseinek felülvizsgálatát indokolják.
Beépített és alapértelmezett adatvédelem: A GDPR az adatkezelés módjának meghatározásakor, valamint az adatkezelés során előírja az adatvédelmi elvek hatékony megvalósítását és az adatvédelmi garanciák beépítését az adatkezelés folyamatába, akár tanúsítási mechanizmus útján. A NIS 2 implementáció új kiberbiztonsági standardokat állapít meg, előírja az elektronikus információs rendszerek, valamint az azon tárolt, továbbított vagy feldolgozott adatok biztonsági osztályba sorolását, illetve lehetővé és egyes esetekben kötelezővé teszi a megfelelően tanúsított termékek, szolgáltatások és folyamatok alkalmazását. Javasolja továbbá innovatív technológiák, pl. az MI alkalmazását az adatvédelmi elvekkel összhangban. A NIS 2 hatálya alá tartozó szervezeteknek tehát a GDPR alapján bevezetett beépített és alapértelmezett adatvédelem fogalmát és az azt biztosító intézkedéseket is az új biztonsági elvárásokhoz kell igazítani.
Kettős bírságolás tilalma: A hatóságok közötti együttműködés kereteinek megteremtése mellett a NIS 2 meghatározza, hogy a kiberbiztonsági hatóságok nem szabhatnak ki bírságot olyan jogsértésért, amely ugyanazon magatartásból ered, mint amely GDPR szerinti kiszabott bírság tárgyát képezi. Ez természetesen nem zárja ki, hogy az illetékes hatóságok egyéb intézkedéseket, szankciókat írjanak elő az érintett szervezetek számára.
A fenti új kiberbiztonsági intézkedések éles bevezetésére megközelítőleg fél, ill. egy év áll rendelkezésére az érintett vállalkozásoknak, szervezeteknek. Az új jogszabályokat is figyelemmel kell kísérni, tekintettel arra, hogy a NIS 2 nemzeti implementációja jelenleg folyamatban van és várható még több részletszabály megszületése, főként az SZTFH, a kormány és az illetékes miniszter(ek) részéről. Ezen túl az IKT termékek, szolgáltatások és folyamatok tanúsítása vonatkozásában is elképzelhető, hogy lesznek adatvédelmet is érintő új részletszabályok, amelyek kihatással lesznek a NIS 2 által bevezetett új kiberbiztonsági szabályokra is. A meglévő céges folyamatok felülvizsgálata, az új elvárásokkal történő összhangba hozatala tekintetében mindenképpen javasolt a döntéshozó vezetők bevonása, az intézkedések bevezetésére határidők meghatározása. A megfelelés teljeskörű kialakítása és az esetleges felesleges többlet intézkedések elkerülése végett javasolt lehet megfelelő jogi és információbiztonsági tanácsadóval egyeztetni. Fontos a beszállítók tájékoztatása, bevonása is a felkészülésben, hogy ők is időben teljesítsék a megfelelést, és így továbbra is igénybe tudja venni a szervezet a szolgáltatásaikat.
Kapcsolódó cikk:
