Kötelező IT biztonság az EU-ban, NIS2 irányelv összefoglaló
Az Európai Unióban a 2022/2555 NIS2 (Network and Information Systems Directive 2) irányelvet 2021. december 27-én hirdették ki, majd nem sokkal később 2023. január 16-án hatályba is lépett.
Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS2 irányelvet a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak. Bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között biztosan lesznek különbségek. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, mivel a mikro- és kisvállalkozásokra is vonatkozik a NIS2 amennyiben az érintett szervezet:
a) elektronikus hírközlési szolgáltató,
b) bizalmi szolgáltató,
c) DNS-szolgáltatást nyújtó szolgáltató,
d) legfelső szintű domainnév-nyilvántartó vagy
e) domainnév-regisztrációt végző szolgáltató.
Védje meg vállalatát: Hibrid SOC és NIS2 megfelelés című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg.
NIS2 irányelv: Gyakorlati tudnivalók és felkészülési stratégia című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg.
NIS2 irányelv: Ismerje meg a változásokat és készüljön fel időben! című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg.
A NIS2 irányelv lényege
A NIS2 a korábbi (EU) 2016/1148 NIS irányelv továbbfejlesztett változata, mivel hatálybalépése óta jelentős előrelépés történt az Unió kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek.
A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén.
Számítógép-biztonsági incidenskezelő csoport
A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek.
Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani.
A tagállamoknak egy szélesebb körű védelmi stratégia részeként az aktív kiberbiztonság előmozdítására irányuló szakpolitikákat kell elfogadniuk. A reaktív reagálás helyett az aktív kiberbiztonság a hálózatbiztonságot fenyegető betörések aktív módon történő megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és azon kívül telepített képességek igénybevételével kombinálva.
A rendelet továbbá előírja, hogy egy új európai sérülékenység-adatbázist kell létrehozni, amelyben a szervezetek és a hálózati és információs rendszereket biztosító beszállítóik, valamint az illetékes hatóságok és a CSIRT-ek önkéntes alapon közzétehetik és regisztrálhatják a nyilvánosan ismert sérülékenységeket annak érdekében, hogy lehetővé tegyék a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyek kockázatot jelentenek az uniós szervezetek számára.
Érintett ágazatok
Hazánkban várhatóan több mint 3500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.
Kiemelten kritikus ágazatok (alapvető szervezetek):
- energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
- szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
- banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
- egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
- ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
- digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
- közigazgatás
- kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
- világűr, űripar
Egyéb kritikus ágazat (fontos szervezetek):
- postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
- hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
- vegyszerek gyártása, -előállítása és -forgalmazása
- élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
- meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
- digitális szolgáltatások
- kutatóhelyek
Ágazati kritériumok
Az AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE szerint a NIS2 hatálya alá tartozik minden olyan szervezet, amely a 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikke szerint középvállalkozásnak minősül, vagy meghaladja az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amely az ezen irányelv hatálya alá tartozó ágazatokban működik, és az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt vagy tevékenységeket végez.
Jogszabályi környezet
- EU 2022/2555 irányelv
- A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan tv.)
- 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
- A 7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
- 10/2024. (VIII. 8.) SZTFH rendelet az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről
- Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
- Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet
- Információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló 10/2023. (V. 15.) SZTFH rendelet
- A Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló 15/2023. (VII. 31.) SZTFH rendelet
- A kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló 305/2023. (VII. 11.) Korm. Rendelet
- Az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. Rendelet
- Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény
A kibervédelmi tevékenységre irányadó több jogszabály kodifikálása jelenleg is folyamatban van.
Fontosabb határidők
- 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük (a biztonsági osztályba sorolás június 30-ig nem kötelező feladat), illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére).
- 2024. január 1-től június 30-ig az érintett szervezeteket nyilvántartásba vétele.
- 2024. október 18-tól az érintett szervezetek alkalmazzák a kötelezően előírt védelmi intézkedéseket.
- 2024. október 18. és december 31. között szerződni kell egy akkreditált auditorral.
- 2025. december 31-ig első kiberbiztonsági auditálás elvégzése.
Kötelezettségek
- incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
- 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
- 1 hónapon belüli zárójelentés kötelezettség
- információbiztonságért felelős személyt kell kijelölni
- az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
- kiberbiztonság átfogó megközelítése
- el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
- biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
- meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
- kiberhigiéniai szakpolitika biztosítása
- kritikus incidensek azonosítása
- érintett infrastruktúrák fejlesztése
- informatikai biztonsági szabályzat kidolgozása (IBSZ)
- ellátási lánc biztonságának biztosítása (közreműködők)
- incidensekre való reagálási terv kidolgozása
- üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
- katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
- titkosítási megoldások alkalmazása
- többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
- biztonsági kockázatértékelések elvégzése
- biztonságos hang-, video- és szöveges kommunikáció biztosítása
- a hálózat és a teljes rendszer monitorozása, felügyelete
- a munkavállalók és a vezetők képzése
- biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
- sérülékenységi vizsgálatok elvégzése
- nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
- 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
- éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)
Az SZTFH tájékoztatása szerint a Kibertan tv. 28. § (3) bekezdésének j) pontja szerint a kiberbiztonsági felügyelet mértékét, valamint annak megfizetésének módját és időpontját az SZTFH elnöke rendeletben határozza meg. A vonatkozó rendelet kihirdetését követően minden releváns információt közzétesz a Hatóság weboldalán, és tájékoztatja majd az érintetteket a részletekről. Fontos megjegyezni, hogy a rendelet kihirdetését megelőzően a felügyeleti díjjal kapcsolatosan az érintett szervezeteknek nincs teendőjük.
A management felelőssége
A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca kiberbiztonsági megfelelőségéért, azaz rajta kérheti számon a hatóság.
A büntetés mértéke
A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:
- Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
- Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
- További jogkövetkezményként a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.
Nyilvántartás, adatszolgáltatási kötelezettségek és a felügyeleti hatóság
Bizonyos szervezetek (DNS szolgáltatók, adatközpontok, legfelső szintű domain név-nyilvántartók, domain név nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói) kötelesek lesznek bizonyos adatokat kiadni magukról az illetékes tagállami hatóságnak. Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatőság.
Miért válassza a Duna Elektronikát a NIS2 felkészüléséhez?
1. Tapasztalt csapatunk kiválóan ismeri az információbiztonsági szabványokat és rendelkezik az NIS2 irányelvvel kapcsolatos legfrissebb tudással. Segítünk az irányelvben foglalt követelmények pontos azonosításában és a megfelelő intézkedések meghozatalában.
2. Egyedi igényekre szabott megoldásokat kínálunk ügyfeleinknek. Felmérjük a kockázatokat és a kihívásokat, majd kidolgozzuk a NIS2 irányelv által előírt intézkedésekhez szükséges stratégiát.
3. A Duna Elektronika nemcsak a NIS2 irányelvnek való megfelelésben segít, hanem átfogó támogatást is nyújt az informatikai biztonság egyéb területein. Legyen szó hálózatbiztonságról, adatvédelemről vagy kibervédelemről, mi mindent bevonunk a biztonságos üzleti környezet kialakításába.
4. Segítünk a BCP és a DRP felülvizsgálatában vagy kidolgozásában, valamint tanácsot adunk a kibertámadások elleni védekezés terén. Ezenkívül oktatást és tanácsadást is nyújtunk, hogy biztonsági tudatosságát és képességeit javíthassa.
5. Mindig naprakész technológiákat és megközelítéseket alkalmazunk a NIS2 irányelv megfelelőségének biztosítására. Korszerű eszközökkel végezzük a sérülékenységi vizsgálatokat és a SOC (Security Operations Center) szolgáltatásokat, hogy Ön mindig a legmagasabb szintű védelmet élvezhesse.
6. Az ügyfelek elégedettsége a legfontosabb számunkra. Folyamatosan arra törekszünk, hogy partnereinkkel hatékony, hosszú távú együttműködést alakítsunk ki. A legoptimálisabb eredmények elérése érdekében mindig ügyfeleink igényeinek, prioritásainak és üzleti céljainak figyelembevételével kínálunk megoldásokat.
7. A NIS2 megfelelésen túl segítünk Önnek más releváns szabályozásokkal, például a GDPR-ral és az adatvédelmi előírásokkal kapcsolatban.
Ne halogassa tovább a felkészülést! Vegye fel velünk a kapcsolatot még ma, hogy megkezdjük az Ön NIS2 felkészülését és támogatását!
A NIS2 bevezetésének részleteiről folyamatosan frissítjük tájékoztató anyagunkat. Látogassa weboldalunkat rendszeresen vagy kérdését küldje meg közvetlenül szakértőnknek!
Márky Donát
IT Security Director
Duna Elektronika Kft.
+36 70 320 3064