Az új EU-s irányelv, a NIS2 alól nincs kibúvó

Talán nem túlzás azt állítani, hogy a cégvezetők TOP 5 rémálma között szerepel egy, a szervezetük ellen irányuló kibertámadás. Így azok a vállalatok, amik megtehetik, a rendeletektől függetlenül próbálnak védekezni ellene. Azonban az Európai Uniós jogalkotókat se hagyja nyugodni a tény, hogy egyre szervezettebb és kifinomultabb eszközökkel próbálkoznak a hackerek, senkit nem kímélve. Így a jogalkotás keretein belül igyekeznek felvértezni a tagállamokban lévő, e fenyegetésnek leginkább kitett intézményeket, ezért született a NIS és a NIS2.

Mi az a NIS (Network and Information Systems) és a NIS2?

Az EU belső piaci működésének védelme érdekében megalkotott kiberbiztonsági irányelv, ami a hálózati- és információs rendszerek biztonságát hivatott magasabb szintre emelni. A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend. Azonban a digitalizációs roham léptei, az egyre gyakoribb és kifinomultabb kibertámadások miatt szükségessé vált a NIS aktualizálása, ez lett a NIS2.

Kiket érint pontosan?

Az EU 2023-ban vezette be a NIS2-t. Ennek adoptációjaként Magyarországon 2024. január 1-jén lépett hatályba az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet. E kiberbiztonsági szabályozás már kiterjed az alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, a jogalkotók szemében kritikus ágazatokhoz tartozó szervezetekre. Mindemellett eddig nem érintett új szektorok is a szabályozás alá kerültek. Az új irányelv két fő kategóriát és azon belül szektorokat különböztet meg. Nagy vonalakban a következőképpen:

Stratégiai szempontból kiemelten kritikus ágazatoknak, azaz alapvető szervezetnek számítanak;

• banki és pénzügyi szolgáltatók,
• digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók, hírközlés, kihelyezett IKT szolgáltatások stb.),
• egészségügy és gyógyszeripar,
• energetikai ellátók (távfűtés és -hűtésgáz, hidrogén, olaj, villamos energia),
• ivóvíz, szennyvíz gazdálkodás,
• közlekedés vagy szállítmányozás (közúti-, légi-, vízi-, tömeg- és vasútiközlekedés),
• közigazgatás,
• űralapú szolgáltatók.

Kritikus ágazatnak, fontos szervezeteknek számítanak;

• digitális szolgáltatók,
• élelmiszer előállítás és forgalmazás,
• gyártás (orvostechnikai, elektronikai, jármű, máshová nem sorolható gépek és berendezések gyártása),
• hulladékgazdálkodás,
• kutatás,
• postai és futárszolgáltatás,
• vegyipar.

A középvállalati szintig szabályoz a jogszabály, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euro éves árbevétellel rendelkező cégekre vonatkozik.

Milyen kötelezettségekkel jár a szabályozás a hatálya alá eső szervezetekre nézve?

Az érintetteknek a kiberbiztonsági-kockázatukhoz arányos biztonsági intézkedéseket és szabályzásokat kell bevezetniük. Sok más kötelezettség mellett például a szervezet tevékenységéhez illeszkedő kockázatelemzési és információbiztonsági szabályzatot, katasztrófa utáni helyreállítási tervet kell készíteni. Hitelesítési és biztonságos kommunikációs csatornákat kell kialakítani. E feladatok komoly informatikai-és üzletfejlesztési stratégiát igényelnek, sőt kritikus esetben teljes szervezeti átalakítást, szervezet- és folyamatfejlesztést is igényelhet, amikhez legjobb IT tanácsadók és szakértők segítségét kérni.

A fentieken túl az előírás szerint a vezetőnek kell gondoskodnia a kollégák oktatásáról a kiberfenyegetés és egyéb információbiztonságot érintő témában, külön munkatársat kell kijelölni az információbiztonság felügyeletére. két évente kiberbiztonsági auditot kell tartani. Mind e mellett felelőssé tehető, a fentiek be nem tartásáért, vagy ha az intézmény nem felel meg.

A fejvesztésen túl, jelentős bírságok is jöhetnek

A NIS2 Irányelv alapján, az előírások megsértése esetén az alapvető és a fontoskategóriába tartozó szervezetekre eltérő szabályok vonatkoznak, így a büntetés mértéke is változik.

• Az alapvető szervezetekre 10 millió euró vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírság róható ki.
• A fontos szervezetek 7 millió euró vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.

Készüljön fel időben!

Ha a NIS2 alá esik a szervezete a következő négy határidőre kell nagyon odafigyelnie:

1. 2024.06.30: nyilvántartásba vételre való jelentkezési határidő
   Regisztrálni SZTFH-hoz (Szabályozott Tevékenységek Felügyeleti Hatósága): >> közvetlen link <<
   A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza. Az űrlap kitöltésére jogosult: az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy.
2. 2024.10.18: ettől a naptól hatályos a NIS2, innentől indul a felügyeleti és ellenőrzési tevékenység, felügyeleti díj megfizetése és lehet bírságolni.
3. 2024.12.31: szerződést kell kötniük a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket.
4. 2025.12.31: eddig a napig minden érintett szervezetnek le kell folytatnia az első kiberbiztonsági auditját.

Kép forrása: canva.com