GDPR

Adatvédelem mindenkinek / Data protection for everyone

Megjelent a magas szintű uniós kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS 2)

2023. január 02. 11:00 - poklaszlo

A kiberbiztonságot érintő környezet gyors változását mutatja - többek között - az a jogalkotási sebesség, amely hat évvel a NIS irányelv elfogadását és mindössze 4 és fél évvel az átültetését követően máris a 2022/2555. sz. irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) elfogadásához és kihirdetéséhez vezetett.

A NIS 2 irányelv preambuluma is kiemeli:

[a] hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek. Az események száma, nagysága, kifinomultsága, gyakorisága és hatása növekszik, és komoly veszélyt jelentenek a hálózati és információs rendszerek működésére.[...] (Preambulum (3) bekezdés)

Miben különbözik a NIS 2 irányelv a NIS 1 irányelvtől? 

1. Eltérő, tágabb hatály 

Az egyik alapvető különbségként kiemelhető, hogy a NIS 2 irányelv hatálya jóval több ágazatra terjed ki, mint az elődje. A korábban is fókuszban lévő ágazatok (energetika, közlekedés, ívóvíz-ellátás, pénzügyi infrastruktúra, stb.) mellett jelentősen kibővült az érintett szolgáltatások köre, amelyeket az irányelv két csoportra bont: (i) kiemelten kritikus ágazatok és (ii) egyéb kritikus ágazatok (lásd NIS 2 irányelv 1. és 2. sz. mellékletek).

A kiemelten kritikus ágazatok körében számos egyezést találhatunk a NIS 1 irányelvvel, ugyanakkor például kibővült a digitális infrastruktúra körében érintett szolgáltatások köre, továbbá megjelentek olyan ágazatok is, mint a közigazgatás, az IKT-szolgáltatások irányítása (vállalkozások között) és a világűr. Az egyéb kritikus ágazatok között pedig olyanokat találhatunk, mint a postai és futárszolgáltatások, a vegyszerek gyártása, előállítása és forgalmazása, élelmiszer-termelés, -feldolgozás és -forgalmazás, továbbá egyes gyártási tevékenységek (pl. orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, stb.), valamint digitális szolgáltatók (online piacterek szolgáltatói, online keresőmotorok szolgáltatói, a közösségimédia-szolgáltatási platform szolgáltatói), kutatás.

Az irányelvben foglalt kötelezettségek alkalmazásának - az adott ágazatba tartozás mellett - egyéb feltételei is lehetnek, például az, hogy egy bizonyos méretet elérjenek az érintett szolgáltatók (azaz olyan vállalkozások legyenek amelyek "[...] középvállalkozásoknak minősülnek vagy meghaladják az említett cikkben a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amelyek az Unión belül nyújtják szolgáltatásaikat vagy végzik tevékenységeiket", lásd 2. cikk (1) bek.), ugyanakkor - az irányelvben meghatározott feltételek esetén - az adott ágazatba tartozó vállalkozásokra méretüktől függetlenül kiterjednek (vö. 2. cikk (2)-(4) bek.).

A NIS 2 irányelv különbséget tesz ún. alapvető és fontos szervezetek között.

Alapvető szervezetek az alábbiak:  

  • a kiemelten kritikus ágazatokba tartozó azon szervezetek, amelyek meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket;
  • a minősített bizalmi szolgáltatók és a legfelső szintű doménnév-nyilvántartók, valamint a DNS-szolgáltatók, méretüktől függetlenül;
  • a nyilvános elektronikus hírközlő hálózatok szolgáltatói vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók, amelyek középvállalkozásoknak minősülnek;
  • bizonyos közigazgatási szervek;
  • a NIS 2 irányelv I. vagy II. mellékletében említett típusú bármely egyéb szervezet, amelyet egy tagállam  alapvető szervezetekként azonosított;
  • a 2022/2557 irányelv értelmében kritikus szervezetként azonosított szervezetek;
  • amennyiben a tagállam úgy rendelkezik, azon szervezetek, amelyeket az adott tagállam 2023. január 16. előtt a 2016/1148 irányelvvel (NIS 1 irányelv) vagy a nemzeti joggal összhangban alapvető szolgáltatásokat nyújtó szereplőként azonosított.

A fontos szervezetek a NIS 2 irányelv I. vagy II. mellékletben említett típusú összes olyan szervezetek, amelyek nem minősülnek alapvető szervezetnek. 

2. Tagállamokat terhelő kötelezettségek

Tekintettel arra, hogy irányelvi szabályozásról van szó, a tagállamoknak természetesen át kell ültetniük az irányelv rendelkezéseit a nemzeti jogukba. 

Az átültetésen túl, a NIS 2 irányelv alapján is - hasonlóan a NIS 1 irányelvhez - a tagállamoknak számos további kötelezettségnek kell eleget tenniük:

  • nemzeti kiberbiztonsági stratégia és - ennek részeként - szakpolitikák elfogadása, 
  • illetékes hatóságok és egyedüli kapcsolattartó pontok létrehozása vagy kijelölése,
  • nemzeti kiberbiztonsági válságkezelési keretek kialakítása (ennek keretében a nagyszabású kiberbiztonsági események és válságok kezeléséért felelős hatóságok kijelölése vagy létrehozása, a nagyszabású kiberbiztonsági események és válságok elhárítására szolgáló nemzeti terv elfogadása, stb.),
  • számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek)  létrehozása vagy kijelölése, amelyek közül minden tagállam kijelöli egyik CSIRT-jét koordinátorként a sérülékenységek összehangolt közzététele céljából.

Továbbra is fontos eleme a szabályozásnak az uniós és nemzetközi szintű együttműködés, amelynek keretében: 

  • a tagállamok közötti stratégiai együttműködés és információcsere támogatása és megkönnyítése, valamint a bizalom erősítése érdekében együttműködési csoport kerül létrehozásra,
  • a bizalom fejlődéséhez való hozzájárulás és a tagállamok közötti gyors és hatékony operatív együttműködés előmozdítása érdekében létrehozásra kerül a nemzeti CSIRT-hálózat,
  • a nagyszabású kiberbiztonsági események és válságok operatív szintű összehangolt kezelésének támogatása, valamint a releváns információk tagállamok és az Unió intézményei, szervei, hivatalai és ügynökségei közötti rendszeres cseréjének biztosítása érdekében létrehozásra kerül az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe).

3. Az ENISA feladatai

Természetesen az EU kiberbiztonsági ügynökségének, az ENISA-nak is jut feladat a NIS 2 irányelv alapján, így többek között az ENISA

  • kidolgozza és fenntartja az európai sérülékenység-adatbázist,
  • kétéves jelentést ad ki az Unió kiberbiztonságának helyzetéről,
  • létrehozza és fenntartja a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói nyilvántartását.

4. Az egyes érintett ágazati szereplő kötelezettségei

Az érintett alapvető és fontos szervezetek számára is számos kötelezettség rajzolódik ki az irányelv alapján, amely a tagállami átültetés alapján jelenik majd meg a nemzeti jogokban. Ilyen kötelezettségek például az alábbiak: 

  • megfelelő és arányos technikai, operatív és szervezési intézkedések meghozatala annak érdekében, hogy kezeljék azokat a kockázatokat, amelyek a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegetik, és megelőzzék vagy minimalizálják az eseményeknek a szolgáltatásaik igénybe vevőire és más szolgáltatásokra gyakorolt hatásait,
  • az alapvető és fontos szervezeteknek indokolatlan késedelem nélkül értesíteniük kell a CSIRT-jüket vagy adott esetben az illetékes hatóságukat minden olyan eseményről, amely jelentős hatással van a szolgáltatásaik nyújtására (jelentős esemény), illetve adott esetben a szolgáltatásukat igénybe vevők értesítése is szükséges lehet. (Egy esemény akkor tekintendő jelentősnek, ha: a) súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban, vagy pénzügyi veszteséget okozott az érintett szervezetnek; b) az esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett vagy képes érinteni.)

A fenti kötelezettségek köre ugyan alapvető hasonlóságot mutat a NIS 1 irányelvben meghatározott kötelezettségekkel, de a NIS 2 irányelv jóval részletesebb szabályokat határoz meg. 

A megfelelő és arányos technikai, operatív és szervezési intézkedéseknek például egy minden veszélyre kiterjedő megközelítésen kell alapulniuk, amelynek célja a hálózati és információs rendszerek, valamint e rendszerek fizikai környezetének védelme az eseményekkel szemben, és legalább a következőket kell magukban foglalniuk:

  • kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
  • eseménykezelés;
  • üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés;
  • az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
  • biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
  • szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
  • alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
  • a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
  • humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
  • adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.

A tagállamok - a fentieken túlmenően - biztosítják, hogy a NIS 2 irányelv hatálya alá tartozó szervezetek és adott esetben az ezen irányelv hatálya alá nem tartozó egyéb szervezetek önkéntes alapon megoszthassák egymással a vonatkozó kiberbiztonsági információkat. 

6. Közigazgatási bírság

A NIS 2 irányelv komoly bírságkiszabási kereteket is teremt a tagállamok számára. A tagállamoknak ugyanis biztosítaniuk kell, hogy az alapvető szervezeteket – amennyiben megsértik a kiberbiztonsági kockázatkezelési intézkedéseket (21. cikk) vagy a jelentéstételi kötelezettségeket (23. cikk) – legalább 10 000 000 EUR vagy, ha ez magasabb, legalább a vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő maximális összegű közigazgatási bírsággal sújtsák. A fontos szervezetek esetében a 21. és 23. cikkek megsértése esetén a bírság legalább 7 000 000 EUR vagy, ha ez magasabb, legalább a vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő maximális összeg lehet.

Amennyiben a GDPR szerinti (lásd GDPR 55. vagy 56. cikk) felügyeleti hatóságok a GDPR alapján (58. cikk (2) bek. i) pont) közigazgatási bírságot szabnak ki, az illetékes hatóságok nem szabhatnak ki a NIS 2 irányelv szerinti közigazgatási bírságot olyan jogsértésért, amely ugyanazon magatartásból ered, mint amely a GDPR szerinti közigazgatási bírság tárgyát képezte. Az illetékes hatóságok azonban előírhatják a NIS irányelv szerinti egyéb végrehajtási intézkedéseket.

Átültetés 

A tagállamoknak 2024. október 17-ig kell elfogadniuk és kihirdetniük azokat a rendelkezéseket, amelyek szükségesek ahhoz, hogy a NIS 2 irányelvnek megfeleljenek. Frissítés (2023.06.13.): Magyarországon elfogadásra és 2023. május 15-én kihirdetésre került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.), amely átülteti a NIS 2 irányelv rendelkezéseit.

Fontos kiemelni, hogy a NIS 2 irányelv elfogadása mellett sor került a pénzügyi ágazat digitális működési rezilienciájáról szóló rendelet (2022/2554. sz. rendelet; DORA rendelet) elfogadására is, amelyet 2025. január 17-től kell alkalmazni. Ezen túlmenően folyamatban van az ún. kiber-reziliencia rendelet (Cyber Resilience Act) elfogadása is. Ennek megfelelően számos területen akad majd az érintett szervezeteknek teendőjük a kiberbiztonsági követelményeknek való megfelelés kapcsán az elkövetkező években is.  

Szólj hozzá!
Címkék: bírság információbiztonság jogalkotás portfolioblogger kiberbiztonság Európai Unió HU Rendelet NIS Irányelv CSIRT digitális szolgáltatások eseménykezelő központ ENISA DORA rendelet

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr9718014634

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása