A nagy port kavart GDPR és DSA mellett, mintegy fű alatt, 2023-ban hatályba lépett az előző év decemberében kihirdetett kiberbiztonságról szóló, felülvizsgált irányelv (NIS2). A megújított irányelv az egész Európai Unióra kiterjed, és széles körben érinti majd a kibervédelmet. Érdemes már most elkezdeni a tervezést és a szükséges lépések bevezetését, mert az érintett cégeknek 2024-ben már alkalmazniuk kell, a kötelezettségek változatosak, a lehetséges büntetés pedig flettéb fájhat.
Miért volt szükség rá?
Az Európai Unió első átfogó hálózat- és információbiztonsági (NIS) irányelve 2016-ban született meg, amelynek célja a kiberbiztonság magas szintjének közös elérése volt. Az alapvető szolgáltatások üzemeltetőitől és a digitális szolgáltatóktól megkövetelte, hogy megfelelő műszaki és szervezési intézkedéseket hozzanak a hálózataik és rendszereik biztonsága érdekében, és a súlyos incidensekről értesítsék az illetékes nemzeti hatóságokat. A 2020-as Covid-19 járvány és a karantén rávilágítottak arra, hogy egyre inkább globalizálódó társadalmaink kiszolgáltatottak a váratlan, így különösen az egész társadalmat érintő egészségügyi kockázatokkal szemben. A kiberbiztonsági irányelv egyik konkrét módosításaként kiterjesztették a hatályát az egészségügyi ágazat olyan elemeire, mint a gyógyszerkutatási és fejlesztési szervezetek, illetve más területekre, amelyek a karantén alatt fontos szerephez jutottak, valamint a követelményeket ubiós szinten egységesítették.
Kinek kell rá felkészülnie?
Összességében a korábbi irányelvhez képest a NIS2 a következő ágazatok szervezeteire is kiterjed:
Az első NIS által meghatározott „alapvető” szervezetek köre 2016-tól:
- bankszektor és más pénzügyi intézmények;
- egészségügy, beleértve a gyógyszeripart, az orvostechnikai eszközgyártást és a kutatást;
- közúti, légi, vasúti és vízi közlekedés;
- energia: villamosenergia, távfűtés és távhűtés, olaj-, gáz-, hidrogénenergia;
- vízellátás: ivóvíz, szennyvíz;
- digitális szolgáltatók: online piacterek, keresőmotorok, közösségi platformok;
- ICT-szolgáltatásmenedzsment (B2B): MSP-k és menedzselt biztonsági szolgáltatók (MSSP);
- digitális infrastruktúra: IXP szolgáltatók, DNS-szolgáltatók (kivéve a root névszerverek üzemeltetőit), legfelső szintű domain (TLD) névregiszterek, felhőszolgáltatók, adatközpont-szolgáltatók, hálózati tartalomszolgáltatók, bizalmi szolgáltatók (TSP), nyilvános elektronikus hírközlő szolgáltatók;
- központi és regionális közigazgatás;
- űrkutatás.
A fentiekhez képest a NIS2-irányelv kiterjeszti a „nélkülözhetetlen szolgáltatások” fogalmát. Ezek – többek között – a következők:
- élelmiszerek előállítása, feldolgozása és elosztása;
- kritikus termékek gyártása: orvostechnikai eszközök és in vitro diagnosztikai eszközök, számítógépes, elektronikus és optikai termékek, elektromos berendezések, gépek, gépjárművek, pótkocsik, közlekedési eszközök, gyógyszerek és egészségügyi felszerelések;
- posta- és futárszolgálatok;
- hulladékgazdálkodás;
- közösségi oldalak (és egyéb adatközponti szolgáltatások);
- kutatás.
Milyen kötelezettségekre kell készülni?
Az érintett szervezetek körének, a kötelezettségeknek a bővítése, illetve a magasabb bírságok miatti fenyegetettség (összege akár 10 millió euróig, vagy a szervezet teljes forgalmának 2 százalékáig terjedhet) miatt a szervezetek kiberbiztonságra fordított egyszeri és rendszeres kiadásai is várhatóan növekedni fognak.
A szervezetek méretét tekintve a NIS2 hatálya kiterjed a nagyvállalatok mellett a kis és középvállalatokra is, azaz KKV-nak számít egy cég, ha több mint 50, de kevesebb mint 250 főt foglalkoztat, és éves forgalma meghaladja a 10 millió eurót, de nem haladja meg az 50 millió eurót, és/vagy éves mérlegfőösszege meghaladja a 10 millió eurót, de nem haladja meg a 43 millió eurót. Az irányelv kötelezően alkalmazandó a rendelet mellékletében és az 1. cikkben meghatározott típusú szervezetekre, valamint a 2022/2557 irányelv szerinti kritikus szervezetekre is, de a rendelet alapján a tagállamok kiterjeszthetik a rendelet hatályát további szervezetekre (pl. oktatási, kutatási intézményekre) is.
A NIS2 alapján az „alapvető fontosságú” szervezetek biztonsági helyzetéről rendszeres értékelést kell majd készíteni, míg a „fontos” szervezetek esetében ilyen értékelésre valószínűleg csak egy jelentős fenyegetés vagy incidens bekövetkezése után lesz szükség. Egy esetleges incidens által érintett cégnek 24 óra áll majd rendelkezésre, hogy az incidensről az első értesítést, majd legkésőbb 72 órán belül hivatalos incidensjelentést tegyen, és legkésőbb az incidenst követő egy hónapon belül benyújtson egy zárójelentést.
Lényeges, hogy az EU-s szervezetek mellett azokra a nem uniós szervezetekre is kiterjed a NIS2 hatálya, amelyek uniós területre szolgáltatnak. Az érintett szervezeteken kívül a NIS2 kiterjed az ellátási láncra, így az alvállalkozók, a beszállítók, a tanácsadók, a menedzselt (biztonsági) szolgáltatók, valamint az általuk használt szoftverek körére.
A NIS2-irányelvvel az alapvető fontosságú szervezetek vezetőinek a korábbinál nagyobb felelősséget kell vállalniuk a követelmények betartásában, és nem lehet minden felelősség az IT szakterületre hárítani. Rövidebb lesz az értesítési lánc maximális időtartama, és nagyobb átláthatóság kell a felhasználók riasztásában is.
Az új irányelv szigorúbb szankciókat, az eddigieknél sokkal magasabb és uniós szinten egységes bírságokat ír elő a szabályok be nem tartása esetén. Emellett a felsővezetőkre kiszabott bírságok is a reziliencia erősítését célozza.
A reakcióképesség javítása és a hatékonyabb megelőzés érdekében a fenyegetésekkel és sérülékenységekkel kapcsolatos információk megosztását is erősen ösztönzi az új uniós szabályozás.
A tagállamoknak az alábbi feladatokat kell elvégezniük, többek közt:
- a hálózati és információs rendszerek biztonságára vonatkozó NIS1 stratégiára építve egy nemzeti kiberbiztonsági stratégia felépítése;
- kollektív felkészültség és komunikáció: ki kell jelölni a számítógépes biztonsági incidensekre reagáló nemzeti csoportokat (CSIRT), és egy nemzeti kiberbiztonsági hatóságot és egyetlen kapcsolattartó pontot (SPOC), miközben uniós szinten létrejön az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe), amely a nagyszabású kiberbiztonsági események és válságok összehangolt kezelését fogja támogatni;
- a NIS2 irányelv a tagállamok közötti stratégiai együttműködés és információcsere támogatása és megkönnyítése érdekében folytatja a kiberbiztonsági együttműködési csoportot létrehozó NIS1 keretrendszert, valamint a CSIRT-ek hálózatát, amely elősegíti a nemzeti CSIRT-ek közötti gyors és hatékony operatív együttműködést.
Az új irányelv nemzeti jogba való átültetését 2023 januárjától 21 hónapon belül kell végrehajtania a tagállamoknak, amely 2024-ben hatályba fog lépni, ezért a cégeknek is érdemes elkezdeniük a felkészülést.
kép: kjpargeter, Freepik
