A NIS2 (Network and Information Security) irányelv az egész EU-ra kiterjedő kiberbiztonsági jogszabály, amely jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére.
A 2016-ban bevezetett uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2-irányelv frissítette. Korszerűsítette a meglévő jogi keretet, hogy lépést tudjon tartani a digitalizációval és a kiberbiztonsági fenyegetések alakulásával.
Az EU-tagállamoknak 2024-től teljes mértékben be kell tartaniuk a NIS2 szabályozást.
Az irányelv hatálya alá tartoznak azok a szervezetek, amelyek társadalmi és gazdasági tevékenységekhez elengedhetetlen szolgáltatásokat nyújtanak, úgy, mint az energiaellátás, a közlekedési rendszerek, a bankok, a távközlési rendszerek és az egészségügyi szolgáltatások számára. A NIS2 ezek számára magas szintű biztonságot próbál elérni.
Az irányelv alapján biztonsági kockázatértékelést és megfelelő biztonsági intézkedéseket kell elvégezniük a szervezeteknek annak érdekében, hogy megvédjék a kritikus infrastruktúrájukat. Emellett folyamatosan ellenőrizniük kell a rendszereik biztonságát a NIS2 hatálya alá tartozó szervezeteknek.
Az irányelv a tagállamok számára is előírja a nemzeti szintű biztonsági stratégiák kidolgozását, amelyek a kritikus infrastruktúrák védelmére irányulnak.
Az EU-szintű kiberbiztonsági politika kidolgozása és végrehajtása fontos lépés az EU-ban, mivel az egyre inkább digitalizálódó világban a kiberfenyegetések egyre nagyobb veszélyt jelentenek a társadalomra és az üzleti szektorra. Az EU szervezeteinek és tagállamainak együtt kell működniük annak érdekében, hogy hatékonyan megvédjék a kritikus infrastruktúrákat és az emberek biztonságát. A NIS2 irányelv hatékony eszköz lehet a kiberfenyegetésekkel szembeni védekezésben és a magas szintű kiberbiztonság elérésében.
Mi a különbség a NIS és a NIS2 között?
A NIS2 egy átfogóbb és egyértelműbb irányítást nyújt az EU kiberbiztonsági előírásaival kapcsolatban. A frissített változat kiterjeszti a fontos szereplők köreit, meghatározza a vezetési kötelezettségeket, részletesen bemutatja az ellenőrzések végrehajtásának módját, valamint kitér a jogsértések jelentésének folyamatára.
A két direktíva közötti legnagyobb különbség az, hogy milyen területekre terjednek ki a kötelezettségek. A NIS elsősorban a digitális szektorban működő vállalkozásokra és szervezetekre vonatkozó kötelezettségeket határozta meg, míg a NIS2 sokkal szélesebb körre vonatkozóan írja elő a bejelentési és felelősségvállalási kötelezettséget, illetve a nagyvállalatokat célozza.
Kikre vonatkozott az eredeti NIS?
Az eredeti NIS irányelv a következő szektorok szervezeteire vonatkozott:
Egészségügy, Digitális infrastruktúra, Szállítás, Vízellátás, Digitális szolgáltatók, Banki és pénzügyi piaci infrastruktúra, Energia
Az új NIS2 irányelv hozzáteszi: Nyilvános elektronikus hírközlő hálózatok vagy szolgáltatások szolgáltatói, Szennyvíz és hulladékgazdálkodás, Bizonyos kritikus termékek (pl. gyógyszerek, orvosi eszközök és vegyszerek) gyártása, Étel, Digitális szolgáltatások (pl. közösségi hálózati platformok és adatközponti szolgáltatások), Űr (pl. repülés), Postai és futárszolgálat, Közigazgatás, Gyártó cégek
Fontos megjegyezni, hogy a NIS2 az EU-n belüli szervezetekre vonatkozik, de az EU-n kívüli szervezeteknek is meg kell felelniük az irányelvnek.
Milyen hatással lesz a NIS2 a kiberbiztonsági környezetre az EU-ban és azon kívül?
A NIS2 irányelv jelentős hatást gyakorol majd a kiberbiztonsági környezetre az EU-ban és azon kívül is. Az irányelv célja a kritikus szervezetek és infrastruktúrák kiberfenyegetésektől való védelme, és a magas szintű kiberbiztonság elérése. A NIS2 elősegíti a közép és nagyvállalatok kiberbiztonságának növelését, és a kisvállalkozásoknál is hozhat javulást kiberbiztonság téren.
A tagállamok nemzeti kiberbiztonsági stratégiájának elfogadása, valamint az összehangolt sérülékenységközzététel elősegíti a sérülékenységek kijavítását, és az európai sérülékenység-adatbázis létrehozása segíti az együttműködést a tagállamok és a szervezetek között.
A NIS2 előmozdítja az aktív és proaktív kiberbiztonságot, ami biztonságosabb szolgáltatásokat eredményez az EU-ban és azon kívül is. Összességében a NIS2 irányelvnek számos pozitív hatása van a kiberbiztonsági környezetre, amelynek köszönhetően a felhasználók, a vállalatok és a szervezetek egyaránt jobban védettek lesznek a kiberfenyegetések ellen.
Mi az, amit az új irányelv előír?
Az új NIS2 irányelv számos előírást tartalmaz, amelyeket a cégeknek és szervezeteknek be kell tartaniuk, hogy megfeleljenek a magas szintű kiberbiztonsági követelményeknek, ezt Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) fogja ellenőrizni. A tanúsításhoz 2 évente auditot kell végezni.
A cégeknek be kell vezetniük kiberbiztonsági kockázatkezelési intézkedéseket, ellenőrizniük kell a beszállítókat, illetve a kiberbiztonsági incidenseket be kell jelenteniük a helyi CSIRT-nek/hatóságnak.
Képzett kiberbiztonsági szakembereket kell kijelölniük a cégekhez (IBF/CISO) és proaktív vizsgálatokat kell végrehajtaniuk, ilyen lehet például a penetrációs teszt és a bug bounty is. Szükséges az incidens kezelés szabályozása, és az ehhez kapcsolódó megfelelő folyamat kialakítása. Az irányelv előírja a biztonsági rések nyilvánosságra hozatalának szabályozását is, amelynek megfelelően a cégeknek VDP-t (Vulnerability Disclosure Program) kell kialakítaniuk.
Milyen lehetséges következményei lehetnek a NIS2-nek való meg nem felelésnek?
„A tagállamok biztosítják, hogy az alapvető szervezeteket – amennyiben megsértik a 21. vagy a 23. cikket – e cikk (2) és (3) bekezdésével összhangban legalább 10 000 000 EUR vagy, ha ez magasabb, legalább azon vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő maximális összegű közigazgatási bírsággal sújtsák, amelyhez az alapvető szervezet tartozik.”
„A tagállamok biztosítják, hogy a fontos szervezeteket – amennyiben megsértik a 21. vagy a 23. cikket – e cikk (2) és (3) bekezdésével összhangban legalább 7 000 000 EUR vagy, ha ez magasabb, legalább azon vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő maximális összegű közigazgatási bírsággal sújtsák, amelyhez a fontos szervezet tartozik.”
Forrás: AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE
Hogyan készülhetnek fel a szervezetek a NIS2-nek való megfelelésre?
– Penetrációs teszt elvégzése: A penteszt célja a rendszer biztonsági réseinek feltárása és azok javítása.
– Biztonsági rések nyilvánosságra hozatala: Az ehhez kapcsolódó VDP szolgáltatásunk lehetővé teszi a szervezetek számára, hogy folyamatot hozzanak létre a biztonsági rések bejelentésére.
– Tanácsadás: Tanácsadás szolgáltatásunk keretein belül segítünk a szervezeteknek felkészülni az éves auditra, hogy biztosan megfeleljenek a NIS2 előírásainak.
A szolgáltatásokról itt tudhatsz meg többet.
