NIS2 Irányelv a kiberbiztonságról

2023 május 23-án lépett hatályba a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, amelynek alapja az EU által 2022 december 27-én kihirdetett ún. NIS2 Irányelv. Az Irányelvet – egyelőre részlegesen – implementáló jogszabály célja a vállalatok informatikai biztonsági megfelelésének előírása, illetve az azt tanúsító, valamint ellenőrző hatósági rendszer kialakítása. Az Irányelv teljes implementációját 2024 október 17-ig kell végrehajtaniuk a tagállamoknak.

A téma különösen aktuális, hiszen a kiberbűnözők által elkövetett kibertámadások egyre gyakoribbak, kifinomultabbak és jövedelmezőbbek lettek, amelyre legszembetűnőbb példa a széleskörű és sikeres zsarolóvírus támadások a közelmúltban, amelynek több ügyfelünk is áldozatul esett. Ráadásul a koronavírus pandémia szinte minden ágazatban felgyorsította a digitalizációt, de ez új fenyegetésekkel, több biztonsági incidenssel, valamint új függőségekkel jár. Továbbá az orosz-ukrán háború a kibertérben is zajlik, ami szintén sok gyenge pontra világított rá az EU-n belül is.

Ha egy vállalkozás nem felel meg az Irányelvben foglalt előírásoknak, a kiszabható bírság maximuma 10 000 000 EUR vagy a szervezet globális éves forgalmának legfeljebb 2%-a, attól függően, hogy melyik összeg a magasabb. Fontos kiemelni, hogy az Irányelv alapján akár az ügyvezetés is felelőssége is megállapítható és az ügyvezető súlyos esetben, akár az ügyvezetéstől el is tiltható, ha az érintett szervezet nem felel meg a NIS2-ben előírt kiberbiztonsági követelményeknek.

Kikre vonatkozik a NIS2?

Elsősorban közép- és nagyvállalkozásokra, konkrétabban a legalább 50 főt foglalkoztató vagy nettó 10 millió EUR összeget meghaladó éves árbevétellel rendelkező szervezetekre, amelyek a következő kiemelt ágazatokban működnek:

• Energetika (villamos energia, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
• Közlekedés (légi, vasúti, vízi és tömegközlekedés)
• Egészségügy
• Ivóvíz, szennyvíz (víziközmű)
• Hírközlési szolgáltatás (elektronikus hírközlési szolgáltató, adatkicserélő szolgáltatást nyújtó)
• Digitális infrastruktúra (felhőszolgáltató, adatközpont szolgáltató, legfelső szintű domainnév nyilvántartó, DNS szolgáltató, tartalomszolgáltató hálózat szolgáltató)
• Kihelyezett infókommunikációs technológiai szolgáltatások
• Postai és futárszolgálatok
• Élelmiszer előállítása, feldolgozása, forgalmazása
• Hulladékgazdálkodás
• Vegyszerek előállítása és forgalmazása
• Gyártás: orvostechnikai és diagnosztikai eszközök; számítógépek; elektronikai, optikai termékek; villamos berendezések; máshova nem sorolt gépek és berendezések; gépjárművek, pótkocsik és félpótkocsik; egyéb szállítóeszközök; cement-, mész-, gipszgyártás
• Digitális szolgáltatók (online piactér, keresőszolgáltató, közösségi média, domainnév regisztrációt végző szolgáltató)
• Kutatás (kutatóhelyek)

Másodsorban, a NIS2 előírásoknak az érintett szervezetek egyes meghatározott IT beszállítóinak is meg kell felelniük, cégmérettől függetlenül.

Továbbá a NIS2 előírások – szintén a vállalkozás méretétől függetlenül – kiterjednek a következő területen tevékenykedő cégekre is:

• Elektronikus hírközlési szolgáltató,
• Bizalmi szolgáltató,
• DNS-szolgáltatást nyújtó szolgáltató,
• Legfelső szintű domainnév-nyilvántartó vagy
• Domainnév-regisztrációt végző szolgáltató

Mi a teendő?

A NIS2 megfelelést a hatóság által akkreditált szervezetek tanúsíthatják és auditálhatják, a hatóság pedig ellenőrizheti. Akár a tanúsításra, akár az ellenőrzésre azonban érdemes házon belül felkészülni elsősorban a következőkkel:

• Információbiztonsági irányítási rendszer (IBIR) bevezetése, vagy a létező rendszer felülvizsgálata kockázatelemzés alapján;
• Proaktív védelmi intézkedések bevezetése (incidensek megelőzése, kezelése);
• Eseménykezelési protokoll bevezetése az esemény bekövetkezése esetén a hatások csökkentése érdekében;
• Üzletmenet folytonosság menedzsment bevezetése (BCM), vagy a létező rendszer felülvizsgálata ( tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés);
• Információtechnológiai biztonsági felelős (IBF) kinevezése;
• Személyes adatokat is érintő incidens esetére a GDPR kapcsolódási pontok azonosítása és az adatkezelési dokumentáció (pl. eljárásrend) szükség szerinti kiegészítése;
• Intézkedések az ellátási lánc biztonsága (ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat) érdekében.