Mi az a NIS 2 irányelv?
Az Európai Unió Tanácsa a tavalyi év végén[1] elfogadta az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló NIS 2 irányelvet. A kiberbiztonság magas szintjének eléréséhez az irányelv különböző minimumszabályokat rögzít, és meghatározott ágazatokban tevékenykedő szervezetekre vonatkozik.
Az új jogszabály a 2018 óta hatályos NIS irányelv[2] helyébe lép, ám annál szigorúbb szabályokat tartalmaz és szélesebb körben lesz alkalmazandó.
Mikortól lesz alkalmazandó?
A NIS 2 irányelv 2023. január 16-án lépett hatályba. Az irányelvi típus miatt az átültetéshez, vagyis ahhoz, hogy nemzeti szinten hatályba lépjen, a hazai jogalkotóknak jogszabályt kell elfogadniuk. Az irányelv kiköti, hogy a tagállamoknak 2024. október 17-ig kell elfogadniuk és kihirdetniük az irányelvnek való megfeleléshez szükséges rendelkezéseket.
A részletes, nemzeti szintű szabályokra tehát még várni kell, azonban a szervezeteknek mindenképpen javasolt már ezen szakaszban felmérni, hogy a NIS 2 hatálya alá tartozhatnak-e és mérlegelni a megfelelés előkészítéséhez szükséges szervezeti, anyagi és technikai követelményeket.
Kikre vonatkozik a NIS 2?
A NIS 2 irányelv alá tartozáshoz a szervezeteknek három együttes feltételnek kell megfelelniük:
- Specifikus ágazatba tartozás
- Méretbeli küszöbérték elérése
- Európai Unión belüli szolgáltatásnyújtás, tevékenység
Az alábbiakban az első két feltételt ismertetjük részletesebben.
Specifikus ágazat
A NIS 2 irányelv I. és II. melléklete sorolja fel az összes olyan állami- vagy magánszervezetet, amely hatókörébe tartozik. A korábbi irányelvhez képest a NIS 2 jelentősen bővítette az alkalmazása alá tartozó ágazatok körét, így kiterjed a következőkre:
I. melléklet szerinti ágazatok |
II. melléklet szerinti ágazatok |
Energia, Szállítás, Banki szolgáltatások, Pénzügyi piaci infrastruktúrák, Egészségügy, Ivó- Szennyvíz, Digitális infrastruktúra, IKT-szolgáltatások, Közigazgatás |
Postai és futárszolgáltatások, Gyártás, Hulladékgazdálkodás; Vegyszerek; Élelmiszer, Digitális szolgáltatók, Kutatás |
Az egyes ágazatokon belüli szervezetek típusait is meghatározza az irányelv, az Energia, Szállítás és Gyártás esetében több alágazatra bontva.
A NIS 2 alapvető- és fontos szervezetekre bontja mindezen ágazatokat. Az irányelv 3. cikkének (1) bekezdése határozza meg, hogy mely szervezeteket kell alapvető szervezetnek tekinteni, míg a fontos szervezetek azok, amelyek ezen követelmények alá nem tartoznak. Ezen megkülönböztetés befolyásolja például azt, hogy milyen intézkedések alkalmazhatóak a szervezettel szemben az irányelv megsértése esetén.
Méretbeli kritérium
A korábbi irányelv esetében a tagállamok kötelezettsége volt az alapvető szolgáltatásokat nyújtó szereplők azonosítása, viszont a NIS 2 egy küszöbértéket határoz meg, amelybe az Európai Uniós meghatározás[3] szerinti legalább középvállalkozások tartoznak. A középvállalkozási küszöbérték elérésének két együttes feltétele van ezen meghatározás szerint:
- A szervezet több, mint 50 főt foglalkoztat.
- A szervezet éves forgalma és/vagy éves mérlegfőösszege a 10 millió eurót meghaladja.
Fontos felhívni a figyelmet arra, hogy mérettől függetlenül a NIS 2 hatálya alá esnek azon specifikus ágazatba tartozó szervezetek is, amelyek megfelelnek a 2. cikk (2)-(4) bekezdésében foglalt különleges követelményeknek.
Milyen főbb változásokat hoz a NIS 2?
Kiberbiztonsági kockázatkezelési intézkedések
A NIS 2 előírja mind az alapvető, mind a fontos szervezetek számára, hogy a szolgáltatásaik nyújtása során legalább a következő intézkedéseket hozzák meg a kiberbiztonsági kockázatok csökkentése érdekében:
- Kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok kidolgozása
- Eseménykezelés
- Üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés biztosítása
- Az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat
- Biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét
- Szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére
- Alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés
- Kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások
- Humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás
- Adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
Eseményekre vonatkozó jelentéstételi kötelezettség
Az eseménykezelésre vonatkozó követelmény tekintetében fontos számításba venni, hogy a NIS 2 a jelentős események tekintetében jelentéstételi kötelezettséget ír elő a szervezetek számára. Mind az események meghatározását, mind a jelentősnek tekintendő események feltételeit rögzíti az irányelv[4].
A NIS 2 ún. szakaszos jelentési kötelezettséget határoz meg, amely alapján az eseménybejelentést meg kell előznie egy korai előjelzésnek. Már a bejelentésre is igen szoros a határidő – a tudomásszerzéstől számított 72 óra -, azonban a korai előrejelzés megtételére mindössze 24 óra áll rendelkezésre. Az eseménybejelentéstől számítva 1 hónapon belül pedig még egy zárójelentést is szükséges benyújtani. Mindezek tartalmi elemeit is tartalmazza az irányelv.
A részletes követelmények ismeretében ajánlott az események észlelésére és bejelentésére vonatkozó belső folyamatok kialakítását megkezdeni a NIS 2 hatálya alá tartozó szervezeteknek.
Ellátási lánc biztonsága
A NIS 2 megköveteli a szervezetektől, hogy mérsékeljék a biztonsági kockázatokat a beszállítói ill. szolgáltatói ellátási láncban. Ez azt jelenti, hogy fel kell mérniük és figyelembe kell venniük beszállítóiknál és szolgáltatóiknál a termékekre, szolgáltatásokra vonatkozó kiberbiztonsági kockázatkezelési intézkedéseket, valamint kiberbiztonsági gyakorlatok általános minőségét és rezilienciáját.[5] Azt, hogy milyen formában és feltételekkel szükséges biztosítani mindezeket, a tagállami szabályozás hiányában nem határozható meg pontosan, azonban irányelv preambuluma felveti jó gyakorlatként, hogy a szervezetek kiberbiztonsági kockázatkezelési intézkedéseket építsenek be a közvetlen beszállítóikkal és szolgáltatóikkal kötött szerződéses megállapodásokba.
Ilyen formában végső soron a NIS 2 érintheti majd a közvetlen hatályán kívül eső szervezeteket is. Ennélfogva érdemes felkészülniük arra, hogy a NIS 2 hatálya alá tartozó ügyfeleik fokozott figyelmet fordítanak majd erre a témakörre és kikérdezik őket kiberbiztonsági gyakorlatukról.
Milyen következményekkel jár az irányelv megsértése?
A NIS 2 közvetlen kötelezettségeket ró a vezető testületekre a szervezetük jogszabályoknak való megfelelésének végrehajtása és felügyelete tekintetében, és lehetővé teszi, hogy felelősségre vonhatóak legyenek a szabályok megsértéséért.
Bár a részletes szabályok kidolgozása szintén a nemzeti jogalkotó feladata lesz, az már most látható, hogy az alapvető- és fontos szervezetekre eltérő szabályok fognak vonatkozni. Előbbiek esetében ugyanis a NIS 2 szigorúbb szankciók kiszabását helyezi kilátásba.
Az illetékes hatóságnak az alapvető szervezetek esetében akár:
- szervezet által nyújtott vonatkozó szolgáltatások vagy végzett tevékenységek egy részét vagy egészét érintő tanúsítást vagy engedélyt ideiglenesen felfüggesztheti (vagy az illetékes szervtől kérheti, hogy ideiglenesen függessze fel),
- a vezetői feladatok ellátásáért felelős természetes személyt a vezérigazgatói vagy jogi képviselői szintű vezetői feladatok ellátásától való ideiglenes eltiltását kérheti az illetékes szervtől.
A NIS 2 alapján az illetékes hatóság közigazgatási bírságot is kiszabhat, a kiberbiztonsági kockázatkezelési intézkedésekre[6] és a jelentéstételi kötelezettségre[7] vonatkozó szabályok megsértése esetén.
Az irányelv a tagállamok részére mérlegelési jogkört ad a bírság mértékének meghatározására, így a kiszabható maximális bírságok összege elérheti akár:
- az alapvető szervezetek esetében a 10 millió eurót vagy a globális éves forgalom 2%-át,
- a fontos szervezetek esetében a 7 millió eurót vagy a globális éves forgalom 1,4%-át.
[1]https://www.consilium.europa.eu/hu/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/
[2] A NIS irányelv volt az első európai szintű kiberbiztonsági jogszabály, amely a hálózati és információs rendszerek biztonságának egységesen magas szintjét biztosítására törekedett az egész Unióban.
[3] 2003/361/EK ajánlás mellékletének 2. cikke
[4] NIS 2 irányelv 6. cikk 6. pont és 23. cikk (3) bekezdés
[5] NIS 2 irányelv preambulum (85)
[6] NIS 2 irányelv 21. cikke
[7] NIS 2 irányelv 23. cikke