GDPR

Adatvédelem mindenkinek / Data protection for everyone

A GDPR árnyékában: a hálózati és információs rendszerek biztonságára vonatkozó új szabályok

2018. május 14. 11:30 - poklaszlo

A GDPR május 25-től válik alkalmazandóvá, így az utóbbi időszakban egyre nagyobb figyelmet kap a Rendeletre való felkészülés. Ugyanakkor szép csendben május 10-től alkalmazandóvá váltak azok az új, a hálózati és információs rendszerek biztonságára vonatkozó szabályok, amelyeket az EU 2016/1148. sz. irányelve (NIS Irányelv) alapján kellett a tagállamoknak a jogrendszerükbe átültetniük. 

Mi az a NIS Irányelv?

Az irányelv a hálózati és információs rendszerek és szolgáltatások megfelelő szintű védelmét hívatott megteremteni az EU-n belül. Ezek a rendszerek ugyanis kiemelkedő jelentőséggel bírnak számos gazdasági és társadalmi tevékenységgel kapcsolatban, és jelentős szerepet játszanak a belső piac működése szempontjából (különös tekintettel a digitális gazdaság növekvő szerepére is). 

A hálózati és információs rendszerek, és mindenekelőtt az internet, alapvető szerepet játszanak az áruk, a szolgáltatások és a személyek határokon átnyúló mozgásának elősegítésében. Transznacionális jellegük miatt e rendszerek jelentős zavara érinthet egyes tagállamokat, de akár az Unió egészét is, függetlenül attól, hogy azt szándékosan vagy nem szándékosan okozták-e, illetve tekintet nélkül az előfordulás helyére. (NIS Irányelv, Preambulum 3. pont)

A hálózati és információs rendszerek összekapcsoltsága és határokon átnyúló jellege igényli, hogy a szabályozás minél összehangoltabb legyen és egységesen magas szintű védelem kerüljön megvalósításra. 

Az EU-n belül működik egy ügynökség is, az ENISA (European Union Agency for Network and Information Security), amely fontos szerepet tölt be az egységesülő európai kibervédelem megteremtésében, így a NIS Irányelvben foglaltak végrehajtásában is

Kikre vonatkozik? 

A NIS Irányelvből kötelezettségek fakadnak a tagállamokra nézve, illetve ezen túlmenően a NIS Irányelvben meghatározott követelmények alapvetően két csoportot érintenek: 

  • alapvető szolgáltatásokat nyújtó szereplők,
  • digitális szolgáltatók.

Az alapvető szolgáltatást nyújtó szereplők csoportjába az alábbi ágazatokban működő szolgáltatók tartoznak: energia, közlekedés, banki szolgáltatások, pénzügyi piaci infrastruktúrák, egészségügy, ívóvízellátás és -elosztás, digitális infrastruktúra. A tagállamoknak 2018. november 9-ig kell valamennyi fenti ágazat vonatkozásában azonosítaniuk a területükön letelepedett, alapvető szolgáltatásokat nyújtó szereplőket. 

A digitális szolgáltatások körébe tartoznak: online piactér, online keresőprogram, felhőlapú számítástechnikai szolgáltatás.

(Online piactér: fogyasztók, illetve kereskedők számára lehetővé teszi, hogy az online piactér weboldalán vagy valamely kereskedőnek az online piactér által nyújtott számítástechnikai szolgáltatásokat felhasználó weboldalán keresztül online adásvételi vagy szolgáltatási szerződéseket kössenek; online keresőprogram: az információs társadalommal összefüggő szolgáltatást nyújtó szolgáltató, amely információk megtalálását elősegítő segédeszközöket biztosít az igénybe vevő számára; felhőalapú számítástechnikai szolgáltatás: távoli hozzáférést tesz lehetővé a többek között hálózati funkciókat, adattárolást, alkalmazások, szolgáltatások futtatását biztosító számítástechnikai megoldásokhoz.)

Digitális szolgáltatók esetében a NIS Irányelvben meghatározott követelmények a mikro- és kisvállalkozásokra nem alkalmazandók. A kötelezettségek viszont kiterjednek azokra a digitális szolgáltatókra is, amelyek nem telepedtek le az EU-n belül, de uniós polgárok számára irányulóan nyújtanak szolgáltatást (hasonlóan a GDPR-ban is alkalmazott megoldáshoz). Azon digitális szolgáltatóknak, amelyek az Unióban nincsenek letelepedve, azonban az Unión belül kínálják a szolgáltatásokat, az EU-ban képviselőt kell kijelölniük. A képviselőnek le kell telepednie a szolgáltatásnyújtás által érintett valamely tagállamban. A digitális szolgáltató annak a tagállamnak a joghatósága alá tartozik, amelyben a képviselő letelepedett.

Mit kell tenniük a tagállamoknak?

1. Mindenekelőtt át kellett ültetniük a NIS Irányelv rendelkezéseit a nemzeti jogukba.

Magyarországon többek között az alábbi jogszabályokat érintette az implementáció: 

  • Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény
  • A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény
  • A víziközmű-szolgáltatásról szóló 2011. évi CCIX. törvény
  • Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
  • A bejelentés-köteles szolgáltatást nyújtókról szóló 410/2017. (XII. 15.) Korm. rendelet 
  • A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról szóló 65/2013. (III. 8.) Korm. rendelet
  • Az energetikai létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 360/2013. (X. 11.) Korm. rendelet
  • A létfontosságú vízgazdálkodási rendszerelemek és vízilétesítmények azonosításáról, kijelöléséről és védelméről szóló 541/2013. (XII. 30.) Korm. rendelet
  • A kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendelet
  • Az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet
  • Az egészségügyi létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 246/2015. (IX. 8.) Korm. rendelet
  • A pénzügyi ágazathoz tartozó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 330/2015. (XI. 10.) Korm. rendelet
  • Az infokommunikációs technológiák ágazathoz kapcsolódó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 249/2017. (IX. 5.) Korm. rendelet

2. Minden tagállamnak el kell fogadnia egy hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégiát

3. Minden tagállam kijelöl egy vagy több, a hálózati és információs rendszerek biztonságáért felelős nemzeti illetékes hatóságot.

Magyarországon a Kormány a Nemzeti Elektronikus Információbiztonsági Hatóságként a Nemzetbiztonsági Szakszolgálatot jelölte ki, amely - többek között - a hálózati és információs rendszerek biztonságáért felelős nemzetközi szervezetekben képviseli Magyarországot, és ellátja a NIS Irányelv szerinti egyedüli kapcsolattartó pont feladatait, amelynek keretében biztosítja a hatóságok és az érintett EGT tagállamok hatóságai között folytatott együttműködést. (Egyes részfeladatok tekintetében más hatóságoknak is lehet feladata ezen a területen, pl. létfontosságú rendszerelemek kijelölése kapcsán.)

4. Minden tagállam – legalább az alapvető szolgáltatásokat nyújtó ágazatokra és a digitális szolgáltatókra vonatkozóan – kijelöl egy vagy több CSIRT-et (Computer Security Incident Response Team = Teamszámítógép-biztonsági eseményekre reagáló csoport; amerikai szóhasználat szerint CERT, azaz Computer Emergency Response Team), amelyek a kockázatoknak és a biztonsági eseményeknek egy jól meghatározott eljárással összhangban történő kezeléséért felelősek. 

Magyarországon kormányzati eseménykezelő központként a Nemzetbiztonsági Szakszolgálatot került kijelölésre. ki (Gov-Cert). A honvédelmi célú elektronikus információs rendszereket érintő biztonsági események és fenyegetések kezelésére a Katonai Nemzetbiztonsági Szolgálatot, míg a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszereit érintő biztonsági események és fenyegetések kezelésére az Információs Hivatalt jelölték ki. A kijelölt létfontosságú létesítmény, rendszer elektronikus információs rendszereit érintő biztonsági események és fenyegetések kezelésére a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot jelölte ki a Kormány (az Elkertv. szerint bejelentés-köteles szolgáltatást nyújtók tekintetében is a BM OKF minősül eseménykezelő központnak). 

A kormányzati eseménykezelő központ és a további eseménykezelő központok CSIRT-nek minősülnek a 187/2015. (VII. 13.) Korm. rendelet alapján. 

5. Egy együttműködési csoport kerül létrehozásra a tagállamok közötti stratégiai együttműködés és információcsere támogatása és megkönnyítése, a bizalom megteremtése, valamint a hálózati és információs rendszerek egységesen magas szintű biztonságának Unión belüli megvalósítása érdekében.

6. A tagállamok a gyors és hatékony operatív együttműködés előmozdítása érdekében együttműködnek a nemzeti CSIRT-ek hálózata keretében.

Milyen kötelezettségeket jelent a szolgáltatókra nézve?

1. Az alapvető szolgáltatásokat nyújtó szereplők/digitális szolgáltatók megfelelő és arányos műszaki és szervezési intézkedéseket tesznek a működésük során általuk használt hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése érdekében. A hálózati és információs rendszerek tekintetében az említett intézkedéseknek – tekintettel a tudomány és a technika mindenkori állására – a felmerülő kockázatnak megfelelő biztonsági szintet kell biztosítaniuk.

2.  Az alapvető szolgáltatásokat nyújtó szereplők/digitális szolgáltatók a szolgáltatás nyújtása során megfelelő intézkedéseket tesznek az alkalmazott hálózati és információs rendszerek biztonságát érintő biztonsági események megelőzésére és azok hatásainak csökkentésére annak céljából, hogy biztosítsák az említett szolgáltatások folytonosságát.

3. Az alapvető szolgáltatásokat nyújtó szereplők/digitális szolgáltatók indokolatlan késedelem nélkül bejelentik az illetékes hatóságnak vagy a CSIRT-nek az általuk nyújtott alapvető szolgáltatások folytonosságára jelentős hatást gyakorló biztonsági eseményeket.

Milyen következményekkel jár a digitális szolgáltatókra nézve, ha nem felelnek meg a kötelezettségeiknek?

A digitális szolgáltatók (mint bejelentés-köteles szolgáltatást nyújtók) tekintetében a 410/2017. (XII. 15.) Korm. rendelet határozza meg a kötelezettségek elmulasztása esetén alkalmazandó szankciókat. A bírságok - a jogsértés súlyától függően - 50.000 Ft-tól 5.000.000 Ft-ig terjedhetnek. 

(Magyarország viszonylag alacsony bírságtételeket alkalmaz ahhoz képest, hogy például Nagy-Britanniában a bírság legmagasabb összege - a GDPR-ban is alkalmazott bírságplafonhoz hasonlóan - 17 millió font vagy a világpiaci forgalom 4%-a is lehet. Franciaországban pedig az érintett társaságok vezetőire is kiszabható bírság 120 ezer euró összeghatárig.) 

Hasonlóságok és különbségek a NIS Irányelv és a GDPR között

1. A NIS Irányelvet át kell ültetniük a tagállamoknak a belső jogukba, a GDPR viszont közvetlenül alkalmazandó. 

2. A NIS Irányelv csak bizonyos ágazatokra vonatkozik, míg a GDPR ágazatoktól függetlenül, széles körben alkalmazandó. 

3. A NIS Irányelv nem kizárólag a személyes adatok védelmét célozza, hanem a hálózatokra, infrastruktúrára koncentrál, így a szolgáltatókat célozza elsősorban a szabályozás, a GDPR a személyes adatok védelmét szolgálja és a szolgáltatók (adatkezelők) mellett az érintetteknek is jelentős szerepet biztosít.  

4. Mindkét szabályozás érint az Unión kívül letelepedett, de az EU területére szolgáltatást nyújtó szolgáltatókat. 

5. Bizonyos incidenseket mindkét szabályozás alapján be kell jelenteni az illetékes hatóságoknak, a GDPR alapján az adatvédelmi incidenseket (személyes adatokat érintő incidenseket) a NAIH-nak, míg a NIS Irányelv alapján biztonsági események bejelentését írják elő a tagállami szabályok (biztonsági esemény: minden olyan esemény, amely ténylegesen kedvezőtlen hatást gyakorol a hálózati és információs rendszerek biztonságára) a BM OKF-nak.