Kötelező IT biztonság az EU-ban, NIS2 irányelv összefoglaló

Az Európai Unióban a 2022/2555 NIS2 (Network and Information Systems Directive 2) irányelvet 2021. december 27-én hirdették ki, majd nem sokkal később 2023. január 16-án hatályba is lépett.

Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS2 irányelvet a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak. Bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között biztosan lesznek különbségek. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, mivel  a mikro- és kisvállalkozásokra is vonatkozik a NIS2 amennyiben az érintett szervezet:

a) elektronikus hírközlési szolgáltató,

b) bizalmi szolgáltató,

c) DNS-szolgáltatást nyújtó szolgáltató,

d) legfelső szintű domainnév-nyilvántartó vagy

e) domainnév-regisztrációt végző szolgáltató.  

 

NIS2 irányelv: Gyakorlati tudnivalók és felkészülési stratégia című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg. 

NIS2: Ismerje meg a változásokat és készüljön fel időben! című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg.

 

A NIS2 irányelv lényege

A NIS2 a korábbi (EU) 2016/1148 NIS irányelv továbbfejlesztett változata, mivel hatálybalépése óta jelentős előrelépés történt az Unió kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek.

A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén.

 

Számítógép-biztonsági incidenskezelő csoport

A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek.

Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani.

A tagállamoknak egy szélesebb körű védelmi stratégia részeként az aktív kiberbiztonság előmozdítására irányuló szakpolitikákat kell elfogadniuk. A reaktív reagálás helyett az aktív kiberbiztonság a hálózatbiztonságot fenyegető betörések aktív módon történő megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és azon kívül telepített képességek igénybevételével kombinálva.

A rendelet továbbá előírja, hogy egy új európai sérülékenység-adatbázist kell létrehozni, amelyben a szervezetek és a hálózati és információs rendszereket biztosító beszállítóik, valamint az illetékes hatóságok és a CSIRT-ek önkéntes alapon közzétehetik és regisztrálhatják a nyilvánosan ismert sérülékenységeket annak érdekében, hogy lehetővé tegyék a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyek kockázatot jelentenek az uniós szervezetek számára. 

 

Érintett ágazatok

Hazánkban várhatóan több mint 3500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.

Kiemelten kritikus ágazatok (alapvető szervezetek):

  • energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
  • szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
  • banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
  • egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
  • ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
  • digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
  • közigazgatás
  • kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
  • világűr, űripar

Egyéb kritikus ágazat (fontos szervezetek):

  • postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
  • hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
  • vegyszerek gyártása, -előállítása és -forgalmazása
  • élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
  • meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
  • digitális szolgáltatások
  • kutatóhelyek 

Ágazati kritériumok

Az AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE szerint a NIS2 hatálya alá tartozik minden olyan szervezet, amely a 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikke szerint középvállalkozásnak minősül, vagy meghaladja az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amely az ezen irányelv hatálya alá tartozó ágazatokban működik, és az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt vagy tevékenységeket végez. 

 

Jogszabályi környezet

  • EU 2022/2555 irányelv
  • A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan tv.)
  • 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
  • A 7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
  • 10/2024. (VIII. 8.) SZTFH rendelet az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről
  • Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
  • Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet
  • Információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló 10/2023. (V. 15.) SZTFH rendelet
  • A Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló 15/2023. (VII. 31.) SZTFH rendelet
  • A kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló 305/2023. (VII. 11.) Korm. Rendelet
  • Az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. Rendelet
  • Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény

A kibervédelmi tevékenységre irányadó több jogszabály kodifikálása jelenleg is folyamatban van.  

 

Fontosabb határidők

  • 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük (a biztonsági osztályba sorolás június 30-ig nem kötelező feladat), illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére).
  • 2024. január 1-től június 30-ig az érintett szervezeteket nyilvántartásba vétele.
  • 2024. október 18-tól az érintett szervezetek alkalmazzák a kötelezően előírt védelmi intézkedéseket.
  • 2024. október 18. és december 31. között szerződni kell egy akkreditált auditorral.
  • 2025. december 31-ig első kiberbiztonsági auditálás elvégzése.

 

Kötelezettségek

  • incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
  • 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
  • 1 hónapon belüli zárójelentés kötelezettség
  • információbiztonságért felelős személyt kell kijelölni
  • az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
  • kiberbiztonság átfogó megközelítése
  • el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
  • biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
  • meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
  • kiberhigiéniai szakpolitika biztosítása
  • kritikus incidensek azonosítása
  • érintett infrastruktúrák fejlesztése
  • informatikai biztonsági szabályzat kidolgozása (IBSZ)
  • ellátási lánc biztonságának biztosítása (közreműködők)
  • incidensekre való reagálási terv kidolgozása
  • üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
  • katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan) 
  • titkosítási megoldások alkalmazása
  • többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
  • biztonsági kockázatértékelések elvégzése
  • biztonságos hang-, video- és szöveges kommunikáció biztosítása
  • a hálózat és a teljes rendszer monitorozása, felügyelete
  • a munkavállalók és a vezetők képzése
  • biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
  • sérülékenységi vizsgálatok elvégzése
  • nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
  • 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
  • éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)

Az SZTFH tájékoztatása szerint a Kibertan tv. 28. § (3) bekezdésének j) pontja szerint a kiberbiztonsági felügyelet mértékét, valamint annak megfizetésének módját és időpontját az SZTFH elnöke rendeletben határozza meg. A vonatkozó rendelet kihirdetését követően minden releváns információt közzétesz a Hatóság weboldalán, és tájékoztatja majd az érintetteket a részletekről. Fontos megjegyezni, hogy a rendelet kihirdetését megelőzően a felügyeleti díjjal kapcsolatosan az érintett szervezeteknek nincs teendőjük.

 

A management felelőssége

A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca kiberbiztonsági megfelelőségéért, azaz rajta kérheti számon a hatóság.

 

A büntetés mértéke

A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:

  • Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
  • Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
  • További jogkövetkezményként a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.

 

Nyilvántartás, adatszolgáltatási kötelezettségek és a felügyeleti hatóság

Bizonyos szervezetek (DNS szolgáltatók, adatközpontok, legfelső szintű domain név-nyilvántartók, domain név nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói) kötelesek lesznek bizonyos adatokat kiadni magukról az illetékes tagállami hatóságnak. Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatőság.

 

Miért válassza a Duna Elektronikát a NIS2 felkészüléséhez?

1. Tapasztalt csapatunk kiválóan ismeri az információbiztonsági szabványokat és rendelkezik az NIS2 irányelvvel kapcsolatos legfrissebb tudással. Segítünk az irányelvben foglalt követelmények pontos azonosításában és a megfelelő intézkedések meghozatalában.

2. Egyedi igényekre szabott megoldásokat kínálunk ügyfeleinknek. Felmérjük a kockázatokat és a kihívásokat, majd kidolgozzuk a NIS2 irányelv által előírt intézkedésekhez szükséges stratégiát.

3. A Duna Elektronika nemcsak a NIS2 irányelvnek való megfelelésben segít, hanem átfogó támogatást is nyújt az informatikai biztonság egyéb területein. Legyen szó hálózatbiztonságról, adatvédelemről vagy kibervédelemről, mi mindent bevonunk a biztonságos üzleti környezet kialakításába.

4. Segítünk a BCP és a DRP felülvizsgálatában vagy kidolgozásában, valamint tanácsot adunk a kibertámadások elleni védekezés terén. Ezenkívül oktatást és tanácsadást is nyújtunk, hogy biztonsági tudatosságát és képességeit javíthassa.

5. Mindig naprakész technológiákat és megközelítéseket alkalmazunk a NIS2 irányelv megfelelőségének biztosítására. Korszerű eszközökkel végezzük a sérülékenységi vizsgálatokat és a SOC (Security Operations Center) szolgáltatásokat, hogy Ön mindig a legmagasabb szintű védelmet élvezhesse.

6. Az ügyfelek elégedettsége a legfontosabb számunkra. Folyamatosan arra törekszünk, hogy partnereinkkel hatékony, hosszú távú együttműködést alakítsunk ki. A legoptimálisabb eredmények elérése érdekében mindig ügyfeleink igényeinek, prioritásainak és üzleti céljainak figyelembevételével kínálunk megoldásokat.

7. A NIS2 megfelelésen túl segítünk Önnek más releváns szabályozásokkal, például a GDPR-ral és az adatvédelmi előírásokkal kapcsolatban.

 

Ne halogassa tovább a felkészülést! Vegye fel velünk a kapcsolatot még ma, hogy megkezdjük az Ön NIS2 felkészülését és támogatását!

 

A NIS2 bevezetésének részleteiről folyamatosan frissítjük tájékoztató anyagunkat. Látogassa weboldalunkat rendszeresen vagy kérdését küldje meg közvetlenül szakértőnknek!

 

Márky Donát

IT Security Director

Duna Elektronika Kft.

+36 70 320 3064

donat.marky@dunaelektronika.com