Kötelező IT biztonság az EU-ban, NIS2 irányelv összefoglaló
Az Európai Unióban a 2022/2555 NIS2 (Network and Information Systems Directive 2) irányelvet 2021. december 27-én hirdették ki, majd nem sokkal később 2023. január 16-án hatályba is lépett.
Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS2 irányelvet a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak. Bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között biztosan lesznek különbségek. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, pl. a minősített bizalmi szolgáltatók, a legfelső szintű domain név-nyilvántartók, valamint a DNS-szolgáltatókra méretüktől függetlenül vonatkozik majd a NIS2.
A NIS2 irányelv lényege
A NIS2 a korábbi (EU) 2016/1148 NIS irányelv továbbfejlesztett változata, mivel hatálybalépése óta jelentős előrelépés történt az Unió kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek.
A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén.
A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek.
Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani.
A tagállamoknak egy szélesebb körű védelmi stratégia részeként az aktív kiberbiztonság előmozdítására irányuló szakpolitikákat kell elfogadniuk. A reaktív reagálás helyett az aktív kiberbiztonság a hálózatbiztonságot fenyegető betörések aktív módon történő megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és azon kívül telepített képességek igénybevételével kombinálva.
A rendelet továbbá előírja, hogy egy új európai sérülékenység-adatbázist kell létrehozni, amelyben a szervezetek és a hálózati és információs rendszereket biztosító beszállítóik, valamint az illetékes hatóságok és a CSIRT-ek önkéntes alapon közzétehetik és regisztrálhatják a nyilvánosan ismert sérülékenységeket annak érdekében, hogy lehetővé tegyék a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyek kockázatot jelentenek az uniós szervezetek számára.
Érintett ágazatok
Hazánkban várhatóan több mint 2500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.
Kiemelten kritikus ágazatok (alapvető szervezetek):
- energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
- szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
- banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
- egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
- ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
- digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
- közigazgatás
- világűr, űripar
Egyéb kritikus ágazat (fontos szervezetek):
- postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
- hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
- vegyszerek gyártása, -előállítása és -forgalmazása
- élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
- meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás)
- kutatóhelyek
Ágazati kritériumok
Az AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE szerint a NIS2 hatálya alá tartozik minden olyan szervezet, amely a 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikke szerint középvállalkozásnak minősül, vagy meghaladja az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amely az ezen irányelv hatálya alá tartozó ágazatokban működik, és az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt vagy tevékenységeket végez.
Fontosabb határidők
- 2024. január 1-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére).
- 2024. január 1-től június 1-ig az érintett szervezeteket nyilvántartásba vétele.
- 2024. október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket.
- 2025. december 31-ig első kiberbiztonsági auditálás elvégzése.
Kötelezettségek
- incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
- 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
- 1 hónapon belüli zárójelentés kötelezettség
- kiberbiztonság átfogó megközelítése
- kiberhigiéniai szakpolitika biztosítása
- kritikus incidensek azonosítása
- érintett infrastruktúrák fejlesztése
- informatikai biztonsági szabályzat kidolgozása (IBSZ)
- ellátási lánc biztonságának biztosítása
- incidensekre való reagálási terv kidolgozása
- üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
- katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
- titkosítási megoldások alkalmazása
- többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
- biztonsági kockázatértékelések elvégzése
- biztonságos hang-, video- és szöveges kommunikáció biztosítása
- a hálózat és a teljes rendszer monitorozása, felügyelete
- a munkavállalók és a vezetők képzése
- biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
- sérülékenységi vizsgálatok elvégzése
- 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
- éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)
A management felelőssége
A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek.
A büntetés mértéke
A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:
- Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
- Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
Nyilvántartás, adatszolgáltatási kötelezettségek és a felügyeleti hatóság
Bizonyos szervezetek (DNS szolgáltatók, adatközpontok, legfelső szintű domain név-nyilvántartók, domain név nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói) kötelesek lesznek bizonyos adatokat kiadni magukról az illetékes tagállami hatóságnak. Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatőság.
Miért válassza a Duna Elektronikát a NIS2 felkészüléséhez?
1. Tapasztalt csapatunk kiválóan ismeri az információbiztonsági szabványokat és rendelkezik az NIS2 irányelvvel kapcsolatos legfrissebb tudással. Segítünk az irányelvben foglalt követelmények pontos azonosításában és a megfelelő intézkedések meghozatalában.
2. Egyedi igényekre szabott megoldásokat kínálunk ügyfeleinknek. Felmérjük a kockázatokat és a kihívásokat, majd kidolgozzuk a NIS2 irányelv által előírt intézkedésekhez szükséges stratégiát.
3. A Duna Elektronika nemcsak a NIS2 irányelvnek való megfelelésben segít, hanem átfogó támogatást is nyújt az informatikai biztonság egyéb területein. Legyen szó hálózatbiztonságról, adatvédelemről vagy kibervédelemről, mi mindent bevonunk a biztonságos üzleti környezet kialakításába.
4. Segítünk a BCP és a DRP felülvizsgálatában vagy kidolgozásában, valamint tanácsot adunk a kibertámadások elleni védekezés terén. Ezenkívül oktatást és tanácsadást is nyújtunk, hogy biztonsági tudatosságát és képességeit javíthassa.
5. Mindig naprakész technológiákat és megközelítéseket alkalmazunk a NIS2 irányelv megfelelőségének biztosítására. Korszerű eszközökkel végezzük a sérülékenységi vizsgálatokat és a SOC (Security Operations Center) szolgáltatásokat, hogy Ön mindig a legmagasabb szintű védelmet élvezhesse.
6. Az ügyfelek elégedettsége a legfontosabb számunkra. Folyamatosan arra törekszünk, hogy partnereinkkel hatékony, hosszú távú együttműködést alakítsunk ki. A legoptimálisabb eredmények elérése érdekében mindig ügyfeleink igényeinek, prioritásainak és üzleti céljainak figyelembevételével kínálunk megoldásokat.
7. A NIS2 megfelelésen túl segítünk Önnek más releváns szabályozásokkal, például a GDPR-ral és az adatvédelmi előírásokkal kapcsolatban.
Ne halogassa tovább a felkészülést! Vegye fel velünk a kapcsolatot még ma, hogy megkezdjük az Ön NIS2 felkészülését és támogatását!
A NIS2 bevezetésének részleteiről folyamatosan frissítjük tájékoztató anyagunkat. Látogassa weboldalunkat rendszeresen vagy kérdését küldje meg közvetlenül szakértőnknek!
Márky Donát
IT Security Director
Duna Elektronika Kft.
+36 70 320 3064