A NIS 2 irányelv implementálásával kapcsolatos koncepcionális javaslatok
NIS2 - A NIS 2 2023. január 16-án lépett hatályba
A NIS 2 irányelv 2023. január 16-án lépett hatályba, és a NIS 1 irányelvet váltja fel. Az új irányelvnek való megfelelést a tagállamoknak 2024. október 17-ig kell biztosítaniuk.
A NIS2 Direktíva - Mi is valójában ez az irányelv?
Az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv.
NIS 1 és NIS 2 - Főbb eltérések
A NIS 1 irányelv vitathatatlan előrelépést hozott az Európai Unió kiberrezilienciájának növelésében, ennek ellenére a többéves alkalmazás megmutatta a hiányosságokat, illetve a fejlesztés irányait. Irányelvről lévén szó, a tagállamok eltérő módon implementálták a saját jogrendjükbe, ami nehézségeket okoz a határon átnyúló együttműködésben.
Az egyik legnagyobb különbség a hatály terén keletkezett: a NIS 1 tág jogkört biztosított a tagállamoknak abban, hogy az adott ágazatokban szolgáltatást nyújtó szervezetek közül melyeket, és milyen kritériumok mentén vonják a kiberbiztonsági szabályozásuk alá. A NIS 2 kiküszöböli ezt a problémát, a tagállami azonosítás helyett méretkorlátot vezet be, azaz főszabályként a hatálya alá kerülnek az adott tevékenységet végző közép- és nagyvállalatok, illetve az ilyen paraméterekkel bíró egyéb szervezetek.
Megváltozott a szervezetek csoportosítása is, a NIS 1 irányelvben az alapvető szolgáltatást nyújtó szervezetekre és a digitális szolgáltatásokra (a magyar jogrendben: bejelentés-köteles szolgáltatás) vonatkoztak különböző mértékű elvárások és felügyelet, míg a NIS 2 irányelvben a két fő csoportot az alapvető és a fontos szervezetek képezik. Bővült a szabályozás hatálya alá vont tevékenységek köre is: míg a NIS 1 7 ágazat, 12 alágazat, 30 szolgáltatására terjed ki, addig a NIS 2 18 ágazat, 30 alágazat, 67 szolgáltatására.
Az eddigiekben is elvárás volt a nemzeti kiberbiztonsági stratégia elkészítése, azonban ennek tartalmi elemeit a NIS 2 jelentősen kibővíti, és a részeként több területen szakpolitikák elfogadására hívja fel a tagállamokat.
Teljesen új elemként jelenik meg a NIS 2 irányelvben a válságkezelés, mely az uniós kiberválság-kezelés keretében folytatott együttműködést szabályozza, megalapítja ennek szervezetét az EU-CyCLONe-t, és a tagállamoknak előírja a nemzeti válságkezelési keretekbe illeszkedő kiberválság kezelésével foglalkozó entitás létrehozását, illetve a nagyszabású kiberbiztonsági események és válságok kezelésére vonatkozó nemzeti terv elkészítését.
A jelenlegihez képest a NIS 2-ben megnőtt a CSIRT-ek feladatköre, és szigorodtak a velük kapcsolatos követelmények.
A CSIRT-et érintő egyik új feladat a sérülékenységek összehangolt közzétételének koordinálása, és ehhez kapcsolódik az európai sérülékenység-adatbázis létrehozása, amibe a CSIRT adatokat továbbít.
Mindkét irányelv kulcseleme, hogy a hatálya alá tartozó szervezetek kockázatarányos intézkedéseket tesznek a hálózati és információs rendszereik védelmére, azonban a NIS 2 részletezi is, hogy ezeknek az intézkedéseknek minimálisan mely témakörökre kell kiterjedniük. Új elemként vezeti be a NIS 2 a kritikus ellátási láncok biztonságát, ezek azonosítása, a kockázatok felmérése és kezelése is beépül az elvárások közé.
A biztonsági események bejelentését több változás érinti: bővülnek, szigorodnak az események kezelésével kapcsolatos követelmények, a NIS 2 bevezeti a majdnem bekövetkezett esemény fogalmát, és az ezzel kapcsolatos teendőket, illetve elvárja az önkéntes bejelentések kezelését.
A NIS 2 új előírása szerint az ENISA kialakítja a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói nyilvántartását, amihez a nemzeti hatóságok szolgáltatják az adatokat.
A DNS biztonság erősítése céljából a NIS 2 előírásokat tesz a doménnév-nyilvántartások adattartalma, biztonsága és hozzáférhetősége vonatkozásában.
A hatósági tevékenység vonatkozásában a NIS 2 részletesebben leírja a felügyeleti intézkedéseket, hatósági jogköröket, valamint az irányelv megsértése kapcsán kiszabható szankciókat.
Az eddigiekben is elvárás volt a nemzeti kiberbiztonsági stratégia elkészítése, azonban ennek tartalmi elemeit a NIS 2 jelentősen kibővíti, és a részeként több területen szakpolitikák elfogadására hívja fel a tagállamokat.
1. Hatály, ügyfélkör
A NIS 2 az érintett szervezeteket új kategóriákba sorolja: alapvetőésfontos szervezetek
(NIS 1: alapvető szolgáltatást nyújtó szereplők és digitális szolgáltatók)
A NIS 2 hatálya alá tartozó érintett ágazatok köre jelentősen kibővült, amely jelentős ügyfélszám növekedést eredményez.
a) Közigazgatási szervek
A NIS 2 a központi és regionális szintű közigazgatási szervekre is alkalmazandó lesz. A központi közigazgatási szervek mindenképpen alapvető szervezetek közé tartoznak. Ugyanakkor helyi szintű közigazgatási szervek vonatkozásában a tagállamok dönthetnek, hogy az irányelvet alkalmazni rendelik-e.
b) Állam többségi tulajdonában álló gazdasági társaságok
Fentieken túl minimum a NIS 2 méretkritériumai mentén (középvállalkozások vagy a feletti méretű vállalkozások) a kidolgozásra kerülő kiberbiztonsági jogszabályok hatályát– ágazattól függetlenül – az állam többségi tulajdonában álló gazdasági társaságokra is ki fogják terjeszteni. Az állam elemi érdeke ugyanis, hogy az általa létrehozott szervezetek információbiztonsága az állami szervekhez hasonló szinten rendezett legyen.
Az eddigiekben is elvárás volt a nemzeti kiberbiztonsági stratégia elkészítése, azonban ennek tartalmi elemeit a NIS 2 jelentősen kibővíti, és a részeként több területen szakpolitikák elfogadására hívja fel a tagállamokat.
2. Illetékes hatóságok kijelölése
Jelenleg kiberbiztonsági hatóságként kijelölt szereplők:
Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI)
Katonai Nemzetbiztonsági Szolgálat (KNBSZ).
Mindemellett a banki, pénzügyi szektor felügyeletében részt vesz a Magyar Nemzeti Bank (MNB) is.
A NIS2 irányelv egyes részterületeinek implementációja irányuló, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: SZTFH-törvény) elfogadásával megkezdődött. Az SZTFH-törvény értelmében a hatósági feladatok ellátásában új szereplőként – a fent említett hatóságok mellett – belép a Szabályozott Tevékenységek Felügyeleti Hatósága.
Mindemellett a NIS 2-höz képest lex specialis DORA rendelet alapján a banki, pénzügyi szektort érintően várhatóan az MNB hatóságként kijelölésre kerül.
A DORA rendelet a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, az Európai Parlament és a Tanács 2022. december 14-i (EU) 2022/2554 rendelete (DORA)
3. Hatósági felügyeleti eszközök
a) Szigorúbb felügyelet
Várhatóan a fontos szervezetek esetében is az utókövetés helyett egy szigorúbb hatósági felügyeleti lehetőséget fogja a jogalkotó megteremteni.
b) Bírságok rendszere
Felülvizsgálatra kerül a kiszabható bírságok jogalapja és mértéke is.
Az eddigiekben is elvárás volt a nemzeti kiberbiztonsági stratégia elkészítése, azonban ennek tartalmi elemeit a NIS 2 jelentősen kibővíti, és a részeként több területen szakpolitikák elfogadására hívja fel a tagállamokat
4. Szervezetekkel szembeni követelményrendszer
a) Intézkedések megteremtése
A NIS 2 irányelv alapján a szervezeteknek a kockázatokkal arányos technikai, operatív és szervezési intézkedéseket kell alkalmazniuk abból a célból, hogy kezeljék a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegető kockázatokat. Ezek az intézkedések a gazdaság és a társadalom működésére gyakorolt hatás miatt eltérő szintűek lehetnek az alapvető, illetve fontos szervezetek tekintetében. A kétféle követelményrendszernek mind az elvárások szintjében, mind a mélységében el kellene térniük.
Ennek során a jelenleg is érvényes rendszer valamennyi főbb sajátosságát megtartásra kerül annak érdekében, hogy az elmúlt évtized intézkedései könnyen értelmezhető keretek között maradjanak:
az Informatikai Biztonsági Szabályzat (IBSZ),
az Informatikai Biztonsági Felelős (IBF),
az osztályba és szintbe sorolások rendszere,
az alapelvek változatlanul hagyása.
b) EIR felügyelete
A hatályos rendelkezések alapján a költségvetési vagy uniós forrásból történő elektronikus információs rendszerfejlesztése – bizonyos védelmi igény felett – az első lépésektől hatósági felügyelet alatt fog állni.
c) Felhő használata
A közigazgatási ágazat vonatkozásában egyértelmű kormányzati döntés szükséges a közigazgatási adatok, a nemzeti adatvagyon felhőben történő kezelése kapcsán.
A hatályos szabályok szerint Magyarországon kívül csak a hatóság engedélyével, kizárólag az EGT-tagállamok területén belül kezelhetőek ilyen adatok. Ugyanakkor a hatóság gyakorlati tapasztalatai alapján a közigazgatás további digitalizálása érdekében nagymértékben kívánnak a felhőszolgáltatások alkalmazására támaszkodni.
Kiberfelügyeti hatósági tevékenység ellátása
Az alábbi táblázatban további információt talál, ágazatok szerint.
A legjobb élmény biztosítása érdekében olyan technológiákat használunk, mint a cookie-k az eszközadatok tárolására és/vagy eléréséhez. Ha beleegyezik ezekbe a technológiákba, akkor olyan adatokat dolgozhatunk fel ezen az oldalon, mint például a böngészési viselkedés vagy az egyedi azonosítók. A hozzájárulás elmulasztása vagy visszavonása bizonyos funkciókat és funkciókat hátrányosan érinthet.
Funkcionális
Always active
A technikai tárolás vagy hozzáférés feltétlenül szükséges az előfizető vagy felhasználó által kifejezetten kért meghatározott szolgáltatás igénybevételének lehetővé tételéhez, vagy kizárólag a kommunikáció elektronikus hírközlő hálózaton történő továbbításának végrehajtásához.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statisztika
Az a technikai tárhely vagy hozzáférés, amelyet kizárólag statisztikai célokra használnak.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
A technikai tárhely vagy hozzáférés szükséges ahhoz, hogy felhasználói profilokat hozzunk létre reklámküldéshez, vagy hasonló marketing célból követjük a felhasználót egy webhelyen vagy több webhelyen.