Minden, amit tudnia kell az új NIS2 irányelvről

2024. márc. 11.

A NIS2 irányelv az EU 2022-ben elfogadott kiberbiztonsági intézkedéseinek továbbfejlesztett változata, mely magasabb kiberbiztonsági szintet céloz meg a kritikus ágazatokban. Ennek értelmében fontos az időben történő előkészület és alkalmazás, mivel jelentős erőfeszítést és költséget igényelhet. A NIS2 irányelv jelentős hatást fog gyakorolni a kritikus ágazatokban működő szervezetekre és szolgáltatásokra. Az irányelv végrehajtása a tagállamok felelőssége, Magyarországon pedig a 2023. évi XXIII. törvény (Kibertantv.) ülteti át, melynek hatályba lépése fokozatos lesz.

A NIS2 irányelv a kor követelményeinek megfelelő kiberbiztonsági intézkedéseket ír elő, hogy kivédjék a kibertámadások hatásait. A NIS2 irányelv hatálya alá tartozó szervezeteknek olyan intézkedéseket kell alkalmazniuk, melyekkel meg lehet előzni vagy minimalizálni lehet a különböző támadások hatását. Az irányelv nagyvonalakban fogalmazza meg az elvárás rendszerét, a részletszabályozást a tagállamokra bízza. Magyarországon a 2023. évi XXIII. törvény (Kibertan. tv.) tartalmazza a kiberbiztonsági tanúsításról szóló szabályokat.

Javítások és változások a NIS2 irányelvben 

A NIS2 célja az előző irányelv hiányosságainak kijavítása és modernizálása a jelen kihívásoknak megfelelően. Biztosítja, hogy az irányelv a jövőben is releváns maradjon. A legfontosabb változások: 

  • Kiterjeszti az alkalmazási területet, bevonva több ágazatot és vállalkozást a szabályozás hatálya alá. 
  • Előírja a biztonsági kockázatok felügyeletét és elszámoltathatóságát. 
  • Részletesebb iránymutatásokat nyújt az incidensek jelentésére vonatkozóan. 
  • Szigorít a szabályok be nem tartása esetén kiszabott bírságok és szankciók tekintetében. 
  • Kötelezi az egyes vállalkozásokat a beszállítói láncok kiberbiztonsági kockázatainak kezelésére. 
  • Igényel szigorúbb végrehajtási normákat és szabályokat a nemzeti ügynökségek felügyelete és a tagállamok büntetési politikáinak összehangolása tekintetében. 
  • Létrehoz egy uniós nyilvántartást a sérülékenységek összehangolt közzétételére. 

Érintett ágazatok

Az irányelv közvetlenül azokat a cégeket érinti, amiknek az éves nettó árbevétele meghaladja a 10 millió eurót és több, mint 50 főt foglalkoztatnak, illetve kritikus ágazatokban a kisebb cégeket is, de közvetve az ő beszállítóikat is érinti. Az irányelv célja, hogy azokat a cégeket kényszerítse a kiberbiztonság növelésére, melyek kiesése nagy hatással lenne társadalmunkra. Így az alábbi iparágak szereplőire hatályos:  

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek

  • Energetika (villamos energia, távfűtés- és hűtés, olaj, földgáz, hidrogén) 
  • Közlekedés (légi–, vasúti–, vízi–, közúti– és tömegközlekedés) 
  • Egészségügy 
  • Ivóvíz, szennyvíz 
  • Digitális infrastruktúra 
  • Kihelyezett IKT szolgáltatások 
  • Űralapú szolgáltatás

Kockázatos ágazatokban működő szolgáltatók és szervezetek 

  • Postai és futárszolgáltatások 
  • Élelmiszer előállítása, feldolgozása és forgalmazása 
  • Hulladékgazdálkodás 
  • Vegyszerek gyártása, előállítása és forgalmazása 
  • Gyártás (orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek, villamos berendezések, gépek és gépi berendezések, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása) 
  • Digitális szolgáltatók (online piacterek, online keresőmotorok, közösségimédia-szolgáltatási platform szolgáltatói) 
  • Kutatás (kutatóhelyek) 

NIS2 irányelv legfontosab határidők

Törvények

EU-s irányelv: (EU) 2022/2555

Magyar Törvény: 2023/XXIII.

Magyar Végrehajtási rendelet: Még nem jelent meg

Felügyelet

A NIS2 irányelv egységes szankciós keretet állít fel az Unióban a kiberbiztonsági követelmények megsértésére. A szankciók között szerepelhetnek kötelező érvényű utasítások, figyelmeztetések, közigazgatási bírságok vagy eltiltás. Az illetékes hatóságoknak figyelembe kell venniük az egyes esetek sajátos körülményeit, például a jogsértés jellegét, súlyosságát, időtartamát, okozott kárt vagy veszteséget, valamint a jogsértés szándékosságát vagy gondatlanságát. 

Kiberbiztonsági felügyeletet ellátó hatóságok 

SZTFH, Szabályozott Tevékenységek Felügyeleti Hatósága 

MNB, Magyar MNB Nemzeti Bank 

NBSZ, Nemzetbiztonsági Szakszolgálat 

KNBSZ, Katonai Nemzetbiztonsági Szolgálat 

NIS2 feladatok

A NIS2 irányelv által elvárt kiberbiztonsági kockázatkezelési intézkedések, melyek teljesítését 2 évente kötelező, független audit során kell bizonyítani:

  • Szabályzatok kidolgozása: kockázatelemzésről és az informatikai rendszerek biztonságára vonatkozó területekről 
  • Eseménykezelés: incidensek észlelése, reagálás és helyreállás 
  • Incidensek bejelentése a hatóság felé 
  • Üzletmenet-folytonosság: tervezés, válságkezelés és helyreállítás 
  • Ellátási lánc biztonsága: a szervezet és beszállítói közötti informatikai kapcsolatok biztonságával és a beszállítók működésével kapcsolatosan 
  • Biztonsági szempontok figyelembe vétele a hálózati és informtikai rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek előzetes felmérését 
  • Kiberhigiéniai gyakorlatok és kiberbiztonsági tudatossági képzés tartása 
  • Titkosítás alkalmazása és a titkosítás használatára vonatkozó szabályzatok és eljárások kidolgozása 
  • Humánerőforrás-biztonság és hozzáférés-kezelési szabályozás 
  • Többtényezős hitelesítési megoldások használata 

Milyen követelményeket támaszt a NIS2 az Ön szervezetével szemben?

  1. Management: A vezetésnek tisztában kell lennie az irányelv követelményeivel és a kockázatkezelésével. Közvetlen felelősségük, hogy a követelményeknek való megfelelés érdekében azonosítsák és kezeljék a kiberkockázatokat.  
  2. Jelentés a hatóságok felé: A szervezeteknek folyamatokat kell kialakítaniuk annak érdekében, hogy megfelelő jelentéseket tudjanak adni a hatóságoknak. Ezek a folyamatok biztosítják, hogy például súlyos események esetén a jelentést 24 órán belül el lehessen juttatni.  
  3. Kockázatkezelés: Olyan intézkedéseket kell végrehajtaniuk, amelyek minimalizálják a kockázatokat: Ez magában foglalja az incidenskezelést, az ellátási lánc biztonságának javítását, a hálózati biztonságát, a hozzáférés ellenőrzését és a titkosítást.  
  4. Üzletmenet-folytonosság: A szervezeteknek mérlegelniük kell, hogyan biztosítják az üzletmenet folytonosságát súlyos kibernetikai incidensek esetén. Ez magában foglalja például a rendszer helyreállítását, a vészhelyzeti eljárásokat és egy válságkezelő csoport létrehozását. 

Szankciók 

Az irányelv 2023. január 16-án lépett hatályba, de a rendelkezéseit 2024. október 18-tól kell alkalmazni. Ekkorra a szervezeteknek ki kell jelölniük olyan szakembert, aki ellátja az információbiztonsági felelős pozíciót, akinek fel kell készítenie a szervezetet a 2025.12.31-ig lefolytatandó auditra. Fontos azonban megjegyezni, hogy hazánkban körülbelül 2600 cég esik a törvény hatálya alá, az auditorokból és az auditra felkészítő, információbiztonsági szakemberekből, azonban hiány van, így nem javasolt az utolsó pillanatra hagyni a cselekvést. A felügyeleti hatóság többféle szankciót alkalmazhat a követelményeket nem teljesítő szervezetekkel szemben: 

  • Szervezet figyelmeztetése 
  • Feltárt biztonsági hiányosságok elhárításának elrendelése 
  • Szervezet eltiltása a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől (a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével) 
  • Bírság kiszabása (max. 10 millió euró, vagy ha az magasabb, akkor az árbevétel 2% is lehet, ráadásul ismételhető módon) 
  • Szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatása az őket potenciálisan érintő fenyegetésről 

Összefoglalva, NIS2-re való felkészülés nemcsak kötelezettség, hanem lehetőség is a kiberbiztonság fejlesztésére és az egységes követelmények bevezetésére. A bevált szabványok és keretrendszerek jó példái szolgálhatnak a megfelelésnek. A szigorúbb követelmények javítják a kiberbiztonságot és növelik a szervezetek ellenállóképességét a fenyegetésekkel szemben. Minden érintett szervezetnek érdemes áttekinteni és értékelni a kiberbiztonsági helyzetét, beleértve azokat is, akik partneri kapcsolatban állnak az irányelv hatálya alá tartozó cégekkel. Az ellátási lánc biztonsága érdekében szükség lehet az alvállalkozók megfelelésének ellenőrzésére. A szükséges intézkedések bevezetése és technológiák telepítése szakértelmet igényel, ezért ajánlott külső segítséget kérni, ha belső erőforrás hiányzik. A követelmények alkalmazása, különösen azoknál a cégeknél, ahol korábban nem volt hangsúlyos a kiberbiztonság, hosszabb időt vehet igénybe, ezért javasolt időben elkezdeni a felkészülést. 

Kezdje el időben a felkészülést! Vegye fel szakértőinkkel a kapcsolatot még ma!