NIS2


2024. január 1-én hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet!

A NIS irányelv lényege

A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati- és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.

A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend.

Két nagyobb csoportra oszthatók az érintett szervezetek:

  • Az első csoportba tartoztak az úgynevezett alapvető szolgáltatásokat nyújtó szolgáltatók: digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor szereplői
  • A digitális szolgáltatásokat nyújtó szolgáltatók csoportjába kerültek a pl. az online piactér, keresőmotorok, felhő szolgáltatók.

NIS2 és főbb újdonságai

Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.

Elkerülhetetlenné vált a NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése a következők terén: biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése, valamint a jelentési kötelezettségek.

Megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.

Kibővített hatály

A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is.

Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami, közigazgatási szervezetekre, és magánkézben lévő közép és nagyvállalatokra vonatkozik.

Kiemelten kockázatos ágazatok (alapvető szerveztek):

  • energetika (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
  • Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
  • egészségügy
  • ivóvíz, szennyvíz
  • hírközlési szolgáltatás
  • digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
  • kihelyezett IKT szolgáltatások
  • űralapú szolgáltatás

Kockázatos ágazat (fontos szervezetek):

  • postai és futárszolgáltatások
  • élelmiszer előállítás, feldolgozás, forgalmazás
  • hulladékgazdálkodás
  • vegyszerek előállítása és forgalmazása
  • gyártás:
    – orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
    – számítógépek, elektronikai és optikai termékek
    – villamos berendezések gyártása
    – máshova nem sorolt gépek és berendezések gyártása
    – gépjárművek, pótkocsik, félpótkocsik gyártása
    – egyéb szállítóeszközök gyártása
    – cement- mész- és gipszgyártás
  • digitális szolgáltatók
  • kutatás

Jelentéstételi kötelezettségek és jelentős események

A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) és a felügyeleti hatóságnak.

Egy esemény akkor tekintendő jelentősnek, ha:

  • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
  • pénzügyi veszteséget okozott az érintett szervezetnek
  • az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára

Kockázatkezelési és kiberbiztonsági intézkedések

A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük, amely kiterjed

  • a kockázatelemzési és információbiztonsági szabályzatokra
  • üzletmenet folytonosságra
  • katasztrófa utáni helyreállításra
  • ellátási láncok biztonságának biztosítására
  • kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
  • titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
  • HR biztonságra
  • hitelesítési megoldásokra
  • biztonságos hang-, video- és szöveges kommunikációra
  • illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára

Az ügyvezetés többlet felelőssége

  • A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
  • Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
  • Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.

Szigorodó felügyeleti szabályok

A NIS2 Irányelv alapján, az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak.

  • Az alapvető szervezetekre – az irányadó rendelkezések alapján – 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírság róható ki.
  • A fontos szervezetek pedig 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.

Fontosabb időpontok

Az érintett szervezeteknek :

  • 2024. január 1. – június 30 között kérnie kell a nyilvántartásba vételt, be kell jelentkeznie az SZTFH-hoz (Szabályozott Tevékenységek Felügyeleti Hatósága) és meg kell kezdenie a felkészülést a rendeletben megadott követelményeknek megfelelően.

  • 2024. október 18-tól a védelmi intézkedéseket alkalmazni kell, továbbá a szervezetnél betöltésre kell kerülnie az Információbiztonsági felelősi pozíciónak.

  • 2024. december 31-ig a kialakított védelmi intézkedések kiberbiztonsági auditálására szerződést kell kötni az auditor szervezettel
  • 2025. december 31-ig el kell végezni az auditot

Nyilvántartásba vétel

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni.

A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.

Hazai jogszabályok

A NIS2 irányelv hazai jogharmonizációja folyamatban van.
A jogalkotó az elmúlt időszakban az alábbi jogszabályokat alkotta meg és helyezte hatályba:

  • A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. tv.)
  • 23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról

Hamarosan az adatbiztonsági osztályba sorolás követelményrendszerrel kapcsolatban kerül jogszabály hatályba helyezésre.