ABT blog

A
Új kiberbiztonsági szabályok az EU-ban – Megjelent a NIS 2 irányelv / New cybersecurity rules in the EU - NIS 2 Directive is introduced

Új kiberbiztonsági szabályok az EU-ban – Megjelent a NIS 2 irányelv

Bejegyzésünkben a nemrég megjelent NIS 2 irányelv hatálya alá tartozó szervezetekre vonatkozó lényeges szabályokat ismertetjük, amelyek korábbi irányelvhez képest számos változást hoznak.

Mi az a NIS 2 irányelv?

Az Európai Unió Tanácsa a tavalyi év végén[1] elfogadta az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló NIS 2 irányelvet. A kiberbiztonság magas szintjének eléréséhez az irányelv különböző minimumszabályokat rögzít, és meghatározott ágazatokban tevékenykedő szervezetekre vonatkozik.

Az új jogszabály a 2018 óta hatályos NIS irányelv[2] helyébe lép, ám annál szigorúbb szabályokat tartalmaz és szélesebb körben lesz alkalmazandó.

Mikortól lesz alkalmazandó?

A NIS 2 irányelv 2023. január 16-án lépett hatályba. Az irányelvi típus miatt az átültetéshez, vagyis ahhoz, hogy nemzeti szinten hatályba lépjen, a hazai jogalkotóknak jogszabályt kell elfogadniuk. Az irányelv kiköti, hogy a tagállamoknak 2024. október 17-ig kell elfogadniuk és kihirdetniük az irányelvnek való megfeleléshez szükséges rendelkezéseket.

A részletes, nemzeti szintű szabályokra tehát még várni kell, azonban a szervezeteknek mindenképpen javasolt már ezen szakaszban felmérni, hogy a NIS 2 hatálya alá tartozhatnak-e és mérlegelni a megfelelés előkészítéséhez szükséges szervezeti, anyagi és technikai követelményeket.

Kikre vonatkozik a NIS 2?

A NIS 2 irányelv alá tartozáshoz a szervezeteknek három együttes feltételnek kell megfelelniük:

  • Specifikus ágazatba tartozás
  • Méretbeli küszöbérték elérése
  • Európai Unión belüli szolgáltatásnyújtás, tevékenység

Az alábbiakban az első két feltételt ismertetjük részletesebben.

Specifikus ágazat

A NIS 2 irányelv I. és II. melléklete sorolja fel az összes olyan állami- vagy magánszervezetet, amely hatókörébe tartozik. A korábbi irányelvhez képest a NIS 2 jelentősen bővítette az alkalmazása alá tartozó ágazatok körét, így kiterjed a következőkre:

I. melléklet szerinti ágazatok II. melléklet szerinti ágazatok
Energia, Szállítás, Banki szolgáltatások, Pénzügyi piaci infrastruktúrák, Egészségügy, Ivó- Szennyvíz, Digitális infrastruktúra, IKT-szolgáltatások, Közigazgatás Postai és futárszolgáltatások, Gyártás, Hulladékgazdálkodás; Vegyszerek; Élelmiszer, Digitális szolgáltatók, Kutatás

Az egyes ágazatokon belüli szervezetek típusait is meghatározza az irányelv, az Energia, Szállítás és Gyártás esetében több alágazatra bontva.

A NIS 2 alapvető- és fontos szervezetekre bontja mindezen ágazatokat. Az irányelv 3. cikkének (1) bekezdése határozza meg, hogy mely szervezeteket kell alapvető szervezetnek tekinteni, míg a fontos szervezetek azok, amelyek ezen követelmények alá nem tartoznak. Ezen megkülönböztetés befolyásolja például azt, hogy milyen intézkedések alkalmazhatóak a szervezettel szemben az irányelv megsértése esetén.

Méretbeli kritérium

A korábbi irányelv esetében a tagállamok kötelezettsége volt az alapvető szolgáltatásokat nyújtó szereplők azonosítása, viszont a NIS 2 egy küszöbértéket határoz meg, amelybe az Európai Uniós meghatározás[3] szerinti legalább középvállalkozások tartoznak. A középvállalkozási küszöbérték elérésének két együttes feltétele van ezen meghatározás szerint:

  • A szervezet több, mint 50 főt foglalkoztat.
  • A szervezet éves forgalma és/vagy éves mérlegfőösszege a 10 millió eurót meghaladja.

Fontos felhívni a figyelmet arra, hogy mérettől függetlenül a NIS 2 hatálya alá esnek azon specifikus ágazatba tartozó szervezetek is, amelyek megfelelnek a 2. cikk (2)-(4) bekezdésében foglalt különleges követelményeknek.

Milyen főbb változásokat hoz a NIS 2?

Kiberbiztonsági kockázatkezelési intézkedések

A NIS 2 előírja mind az alapvető, mind a fontos szervezetek számára, hogy a szolgáltatásaik nyújtása során legalább a következő intézkedéseket hozzák meg a kiberbiztonsági kockázatok csökkentése érdekében:

  • Kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok kidolgozása
  • Eseménykezelés
  • Üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés biztosítása
  • Az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat
  • Biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét
  • Szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére
  • Alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés
  • Kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások
  • Humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás
  • Adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül

Eseményekre vonatkozó jelentéstételi kötelezettség

Az eseménykezelésre vonatkozó követelmény tekintetében fontos számításba venni, hogy a NIS 2 a jelentős események tekintetében jelentéstételi kötelezettséget ír elő a szervezetek számára. Mind az események meghatározását, mind a jelentősnek tekintendő események feltételeit rögzíti az irányelv[4].

A NIS 2 ún. szakaszos jelentési kötelezettséget határoz meg, amely alapján az eseménybejelentést meg kell előznie egy korai előjelzésnek. Már a bejelentésre is igen szoros a határidő – a tudomásszerzéstől számított 72 óra -, azonban a korai előrejelzés megtételére mindössze 24 óra áll rendelkezésre. Az eseménybejelentéstől számítva 1 hónapon belül pedig még egy zárójelentést is szükséges benyújtani. Mindezek tartalmi elemeit is tartalmazza az irányelv.

A részletes követelmények ismeretében ajánlott az események észlelésére és bejelentésére vonatkozó belső folyamatok kialakítását megkezdeni a NIS 2 hatálya alá tartozó szervezeteknek.

Ellátási lánc biztonsága

A NIS 2 megköveteli a szervezetektől, hogy mérsékeljék a biztonsági kockázatokat a beszállítói ill. szolgáltatói ellátási láncban. Ez azt jelenti, hogy fel kell mérniük és figyelembe kell venniük beszállítóiknál és szolgáltatóiknál a termékekre, szolgáltatásokra vonatkozó kiberbiztonsági kockázatkezelési intézkedéseket, valamint kiberbiztonsági gyakorlatok általános minőségét és rezilienciáját.[5]  Azt, hogy milyen formában és feltételekkel szükséges biztosítani mindezeket, a tagállami szabályozás hiányában nem határozható meg pontosan, azonban irányelv preambuluma felveti jó gyakorlatként, hogy a szervezetek kiberbiztonsági kockázatkezelési intézkedéseket építsenek be a közvetlen beszállítóikkal és szolgáltatóikkal kötött szerződéses megállapodásokba.

Ilyen formában végső soron a NIS 2 érintheti majd a közvetlen hatályán kívül eső szervezeteket is. Ennélfogva érdemes felkészülniük arra, hogy a NIS 2 hatálya alá tartozó ügyfeleik fokozott figyelmet fordítanak majd erre a témakörre és kikérdezik őket kiberbiztonsági gyakorlatukról.

Milyen következményekkel jár az irányelv megsértése?

A NIS 2 közvetlen kötelezettségeket ró a vezető testületekre a szervezetük jogszabályoknak való megfelelésének végrehajtása és felügyelete tekintetében, és lehetővé teszi, hogy felelősségre vonhatóak legyenek a szabályok megsértéséért.

Bár a részletes szabályok kidolgozása szintén a nemzeti jogalkotó feladata lesz, az már most látható, hogy az alapvető- és fontos szervezetekre eltérő szabályok fognak vonatkozni. Előbbiek esetében ugyanis a NIS 2 szigorúbb szankciók kiszabását helyezi kilátásba.

Az illetékes hatóságnak az alapvető szervezetek esetében akár:

  • szervezet által nyújtott vonatkozó szolgáltatások vagy végzett tevékenységek egy részét vagy egészét érintő tanúsítást vagy engedélyt ideiglenesen felfüggesztheti (vagy az illetékes szervtől kérheti, hogy ideiglenesen függessze fel),
  • a vezetői feladatok ellátásáért felelős természetes személyt a vezérigazgatói vagy jogi képviselői szintű vezetői feladatok ellátásától való ideiglenes eltiltását kérheti az illetékes szervtől.

A NIS 2 alapján az illetékes hatóság közigazgatási bírságot is kiszabhat, a kiberbiztonsági kockázatkezelési intézkedésekre[6] és a jelentéstételi kötelezettségre[7] vonatkozó szabályok megsértése esetén.

Az irányelv a tagállamok részére mérlegelési jogkört ad a bírság mértékének meghatározására, így a kiszabható maximális bírságok összege elérheti akár:

  • az alapvető szervezetek esetében a 10 millió eurót vagy a globális éves forgalom 2%-át,
  • a fontos szervezetek esetében a 7 millió eurót vagy a globális éves forgalom 1,4%-át.

 

[1]https://www.consilium.europa.eu/hu/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/

[2] A NIS irányelv volt az első európai szintű kiberbiztonsági jogszabály, amely a hálózati és információs rendszerek biztonságának egységesen magas szintjét biztosítására törekedett az egész Unióban.

[3] 2003/361/EK ajánlás mellékletének 2. cikke

[4] NIS 2 irányelv 6. cikk 6. pont és 23. cikk (3) bekezdés

[5] NIS 2 irányelv preambulum (85)

[6] NIS 2 irányelv 21. cikke

[7] NIS 2 irányelv 23. cikke

Címkék: , ,

Megjelent: 2023. március 31. | Témakör: Adatvédelem

Szerző
dr. Szalai Vanda
Junior tanácsadó, kockázatmenedzsment
[email protected]

A fenti összefoglaló tájékoztatás és figyelemfelhívás céljából készült. Bármilyen ebből következő döntés előtt javasoljuk, hogy konzultáljon szakértőinkkel.

Az ABT Treuhand Csoport 2005 óta a NEXIA International tagja. A Nexia International a világ több mint 100 országában működő mintegy 320 független adótanácsadó és könyvvizsgáló cég szaktudását és tapasztalatát egyesítő, 1971 óta létező hálózat.

Hulladék- és környezetvédelmi termékdíj-szabályok változása 2023.07.01
Veszélyes láncban táncot járni – a számlabefogadás kockázatai