2024-01-30 | IT jog
Mi az a NIS2?
A NIS2 egy 2016-ban bevezetett irányelv továbbfejlesztett változata. A társadalom gyors digitális átalakulásával és a határokon átnyúló információ megosztással egyetemben a kiberfenyegetettség kockázata is rohamosan nőtt, így az Európai Unió indokoltnak látta, hogy tagállamaiban kiigazított, összehangolt és innovatív szabályozást vezessen be. A NIS2 szövege ezen a linken érhető el.
A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, illetve hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal, intézményekkel a kiberbiztonság területén. Emellett a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, hogy az erőforrásokat hatékonyabban lehessen a támadásokkal szembeni védekezésre fordítani.
A rendelet továbbá előírja, hogy egy európai sérülékenység-adatbázist létrehozását, melyben a szervezetek és az információs rendszereket biztosító beszállítók, valamint az illetékes hatóságok önkéntes alapon közzétehetik és regisztrálhatják az ismert sérülékenységeket, így elősegítve azt, hogy a felhasználók időben megtehessék a leghatékonyabb védelmi intézkedéseket.
Kiket érintenek a változások?
Az előírások az 50 fő feletti alkalmazottal, vagy legalább 10 millió euro éves árbevétellel rendelkező cégekre. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is.
Hazánkban több mint kétezer közép- és nagyvállalatot érint az irányelv. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz auditorok által végzett biztonsági osztályba sorolás.
A kiemelten kritikus ágazatok körébe tartoznak többek közt az energiaszolgáltatók, az egészségügy, pénzügyi piaci infrastruktúrák, a vízközmű szolgáltatók, a digitális infrastruktúra szolgáltatók, a közigazgatás és a közlekedési infrastruktúra szolgáltatók.
A legfontosabb kötelezettségek
§ incidens esetén, 24 órán belüli első értesítési kötelezettség a hatóságok felé
§ 72 órán belül esemény-bejelentési kötelezettség
§ informatikai biztonsági szabályzat kidolgozása (IBSZ)
§ ellátási lánc biztonságának biztosítása
§ incidensekre való reagálási terv kidolgozása
§ 1 hónapon belüli zárójelentés kötelezettség
§ információbiztonságért felelős személyt kell kijelölni
§ biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat
§ üzletmenet-folytonossági terv kidolgozása
§ katasztrófa utáni helyreállítási terv kidolgozása
§ titkosítási megoldások alkalmazása
§ többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
§ biztonsági kockázatértékelés
§ biztonságos hang-, video- és szöveges kommunikáció biztosítása
§ biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
§ rendszeres sérülékenységi vizsgálatok elvégzése
§ 2 évente kötelező auditálás
§ éves kiberbiztonsági felügyeleti díj befizetése.
Incidenskezelő csoport felállítása
A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük a kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. Éppen ezért ezen irányelv alapján kötelezően fel kell állítaniuk legalább egy Biztonsági Incidenskezelő Csoportot és biztosítaniuk kell, hogy megfelelő erőforrásokkal és technikai képességekkel rendelkezzen.
Nyilvántartás, adatszolgáltatási kötelezettségek és a felügyeleti hatóság
Meghatározott szervezetek kötelesek lesznek bizonyos adatokat kiadni magukról az illetékes tagállami hatóságnak. Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatóság.
A NIS2 által előírt határidők
§ 2024. június 30-ig önazonosítás, biztonsági osztályokba sorolás, biztonsági felelős kijelölése
§ 2024. június 30-ig regisztráció (nyilvántartásba vétel)
§ 2024. október 18-tól védelmi intézkedések alkalmazása, díjfizetés
§ 2024. október 18. és december 31. között akkreditált auditorral való szerződéskötés
§ 2025. december 31-ig első kiberbiztonsági auditálás
Az ügyvezetés felelőssége
Az ügyvezetés a jövőben felelőssé tehető lesz, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, illetve alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért, valamint az alvállalkozók és a beszállítói lánc kiberbiztonsági megfelelőségéért.
A bírság mértéke
A rendeletben foglaltak megszegése súlyos közigazgatási bírságokat vonhat maga után:
- Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
- Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
- További jogkövetkezmény, hogy a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.