NIS2

NIS2

 

Kötelező IT biztonság az EU-ban

Az Európai Unióban a 2022/2555 NIS2 (Network and Information Systems Directive 2) irányelvet 2021. december 27-én hirdették ki, majd nem sokkal később 2023. január 16-án hatályba is lépett.

Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS2 irányelvet a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak. Bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között biztosan lesznek különbségek. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, pl. a minősített bizalmi szolgáltatók, a legfelső szintű domain név-nyilvántartók, valamint a DNS-szolgáltatókra méretüktől függetlenül vonatkozik majd a NIS2.

 

A NIS2 irányelv lényege

A NIS2 a korábbi (EU) 2016/1148 NIS irányelv továbbfejlesztett változata, mivel hatálybalépése óta jelentős előrelépés történt az Unió kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek.

A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén. A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek. 

Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani. A tagállamoknak egy szélesebb körű védelmi stratégia részeként az aktív kiberbiztonság előmozdítására irányuló szakpolitikákat kell elfogadniuk. A reaktív reagálás helyett az aktív kiberbiztonság a hálózatbiztonságot fenyegető betörések aktív módon történő megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és azon kívül telepített képességek igénybevételével kombinálva.

A rendelet továbbá előírja, hogy egy új európai sérülékenység-adatbázist kell létrehozni, amelyben a szervezetek és a hálózati és információs rendszereket biztosító beszállítóik, valamint az illetékes hatóságok és a CSIRT-ek önkéntes alapon közzétehetik és regisztrálhatják a nyilvánosan ismert sérülékenységeket annak érdekében, hogy lehetővé tegyék a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyek kockázatot jelentenek az uniós szervezetek számára.

 

Érintett ágazatok

Hazánkban várhatóan több mint 2500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.

Kiemelten kritikus ágazatok (alapvető szervezetek):

  • energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)

  • szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti)

  • banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)

  • egészségügy

  • ivóvíz, szennyvíz

  • digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók)

  • közigazgatás

  • világűr, űripar

Egyéb kritikus ágazat (fontos szervezetek):

  • postai és futárszolgáltatások

  • hulladékgazdálkodás

  • vegyszerek gyártása, -előállítása és -forgalmazása

  • élelmiszer előállítás, -feldolgozás, -forgalmazás

  • meghatározott termékek gyártói (pl. orvostechnikai és diagnosztikai eszközök, számítógépek, járművek és pótkocsik gyártói, elektronika gyártás, optikai termékek)

  • kutatóhelyek

 

NIS2 deactive

Kötelezettségek

-    24 órán belüli első értesítési kötelezettség a hatóságok felé
-    72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
-    1 hónapon belüli zárójelentés kötelezettség
-    kiberbiztonság átfogó megközelítése
-    kiberhigiéniai szakpolitika biztosítása
-    kritikus incidensek azonosítása
-    érintett infrastruktúrák fejlesztése
-    informatikai biztonsági szabályzat kidolgozása (IBSZ)
-    ellátási lánc biztonságának biztosítása
-    incidensekre való reagálási terv kidolgozása
-    üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
-    katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
-    titkosítási megoldások alkalmazása
-    többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
-    biztonsági kockázatértékelések elvégzése
-    biztonságos hang-, video- és szöveges kommunikáció biztosítása
-    a hálózat és a teljes rendszer monitorozása, felügyelete
-    a munkavállalók és a vezetők képzése
-    biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
-    sérülékenységi vizsgálatok elvégzése

 

A management felelőssége

A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek.

 

A büntetés mértéke

A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:

  • Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.

  • Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.

 

 

 

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE

 

 

EU NIS2 IRÁNYELVEK MEGNYITÁS

Legutóbbi frissítés: 2023. 08. 25. 08:19