A NIS2 irányelv a kor követelményeinek megfelelő kiberbiztonsági intézkedéseket ír elő, hogy kivédjék a kibertámadások hatásait. A NIS2 irányelv hatálya alá tartozó szervezeteknek olyan intézkedéseket kell alkalmazniuk, melyekkel meg lehet előzni vagy minimalizálni lehet a különböző támadások hatását. Az irányelv nagyvonalakban fogalmazza meg az elvárás rendszerét, a részletszabályozást a tagállamokra bízza. Magyarországon a 2023. évi XXIII. törvény (Kibertan. tv.) tartalmazza a kiberbiztonsági tanúsításról szóló szabályokat.

Javítások és változások a NIS2 irányelvben 

A NIS2 célja az előző irányelv hiányosságainak kijavítása és modernizálása a jelen kihívásoknak megfelelően. Biztosítja, hogy az irányelv a jövőben is releváns maradjon. A legfontosabb változások: 

• Kiterjeszti az alkalmazási területet, bevonva több ágazatot és vállalkozást a szabályozás hatálya alá. 
• Előírja a biztonsági kockázatok felügyeletét és elszámoltathatóságát. 
• Részletesebb iránymutatásokat nyújt az incidensek jelentésére vonatkozóan. 
• Szigorít a szabályok be nem tartása esetén kiszabott bírságok és szankciók tekintetében. 
• Kötelezi az egyes vállalkozásokat a beszállítói láncok kiberbiztonsági kockázatainak kezelésére. 
• Igényel szigorúbb végrehajtási normákat és szabályokat a nemzeti ügynökségek felügyelete és a tagállamok büntetési politikáinak összehangolása tekintetében. 
• Létrehoz egy uniós nyilvántartást a sérülékenységek összehangolt közzétételére. 

Érintett ágazatok

Az irányelv közvetlenül azokat a cégeket érinti, amiknek az éves nettó árbevétele meghaladja a 10 millió eurót és több, mint 50 főt foglalkoztatnak, illetve kritikus ágazatokban a kisebb cégeket is, de közvetve az ő beszállítóikat is érinti. Az irányelv célja, hogy azokat a cégeket kényszerítse a kiberbiztonság növelésére, melyek kiesése nagy hatással lenne társadalmunkra. Így az alábbi iparágak szereplőire hatályos:  

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek

• Energetika (villamos energia, távfűtés- és hűtés, olaj, földgáz, hidrogén) 
• Közlekedés (légi–, vasúti–, vízi–, közúti– és tömegközlekedés) 
• Egészségügy 
• Ivóvíz, szennyvíz 
• Digitális infrastruktúra 
• Kihelyezett IKT szolgáltatások 
• Űralapú szolgáltatás

Kockázatos ágazatokban működő szolgáltatók és szervezetek 

• Postai és futárszolgáltatások 
• Élelmiszer előállítása, feldolgozása és forgalmazása 
• Hulladékgazdálkodás 
• Vegyszerek gyártása, előállítása és forgalmazása 
• Gyártás (orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek, villamos berendezések, gépek és gépi berendezések, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása) 
• Digitális szolgáltatók (online piacterek, online keresőmotorok, közösségimédia-szolgáltatási platform szolgáltatói) 
• Kutatás (kutatóhelyek) 

NIS2 irányelv legfontosab határidők

Törvények

EU-s irányelv: (EU) 2022/2555

Magyar Törvény: 2023/XXIII.

Magyar Végrehajtási rendelet: Még nem jelent meg

Felügyelet

A NIS2 irányelv egységes szankciós keretet állít fel az Unióban a kiberbiztonsági követelmények megsértésére. A szankciók között szerepelhetnek kötelező érvényű utasítások, figyelmeztetések, közigazgatási bírságok vagy eltiltás. Az illetékes hatóságoknak figyelembe kell venniük az egyes esetek sajátos körülményeit, például a jogsértés jellegét, súlyosságát, időtartamát, okozott kárt vagy veszteséget, valamint a jogsértés szándékosságát vagy gondatlanságát. 

Kiberbiztonsági felügyeletet ellátó hatóságok 

SZTFH, Szabályozott Tevékenységek Felügyeleti Hatósága 

MNB, Magyar MNB Nemzeti Bank 

NBSZ, Nemzetbiztonsági Szakszolgálat 

KNBSZ, Katonai Nemzetbiztonsági Szolgálat 

NIS2 feladatok

A NIS2 irányelv által elvárt kiberbiztonsági kockázatkezelési intézkedések, melyek teljesítését 2 évente kötelező, független audit során kell bizonyítani:

• Szabályzatok kidolgozása: kockázatelemzésről és az informatikai rendszerek biztonságára vonatkozó területekről 
• Eseménykezelés: incidensek észlelése, reagálás és helyreállás 
• Incidensek bejelentése a hatóság felé 
• Üzletmenet-folytonosság: tervezés, válságkezelés és helyreállítás 
• Ellátási lánc biztonsága: a szervezet és beszállítói közötti informatikai kapcsolatok biztonságával és a beszállítók működésével kapcsolatosan 
• Biztonsági szempontok figyelembe vétele a hálózati és informtikai rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek előzetes felmérését 
• Kiberhigiéniai gyakorlatok és kiberbiztonsági tudatossági képzés tartása 
• Titkosítás alkalmazása és a titkosítás használatára vonatkozó szabályzatok és eljárások kidolgozása 
• Humánerőforrás-biztonság és hozzáférés-kezelési szabályozás 
• Többtényezős hitelesítési megoldások használata 

Milyen követelményeket támaszt a NIS2 az Ön szervezetével szemben?

1. Management: A vezetésnek tisztában kell lennie az irányelv követelményeivel és a kockázatkezelésével. Közvetlen felelősségük, hogy a követelményeknek való megfelelés érdekében azonosítsák és kezeljék a kiberkockázatokat.  
2. Jelentés a hatóságok felé: A szervezeteknek folyamatokat kell kialakítaniuk annak érdekében, hogy megfelelő jelentéseket tudjanak adni a hatóságoknak. Ezek a folyamatok biztosítják, hogy például súlyos események esetén a jelentést 24 órán belül el lehessen juttatni.  
3. Kockázatkezelés: Olyan intézkedéseket kell végrehajtaniuk, amelyek minimalizálják a kockázatokat: Ez magában foglalja az incidenskezelést, az ellátási lánc biztonságának javítását, a hálózati biztonságát, a hozzáférés ellenőrzését és a titkosítást.  
4. Üzletmenet-folytonosság: A szervezeteknek mérlegelniük kell, hogyan biztosítják az üzletmenet folytonosságát súlyos kibernetikai incidensek esetén. Ez magában foglalja például a rendszer helyreállítását, a vészhelyzeti eljárásokat és egy válságkezelő csoport létrehozását. 

Szankciók 

Az irányelv 2023. január 16-án lépett hatályba, de a rendelkezéseit 2024. október 18-tól kell alkalmazni. Ekkorra a szervezeteknek ki kell jelölniük olyan szakembert, aki ellátja az információbiztonsági felelős pozíciót, akinek fel kell készítenie a szervezetet a 2025.12.31-ig lefolytatandó auditra. Fontos azonban megjegyezni, hogy hazánkban körülbelül 2600 cég esik a törvény hatálya alá, az auditorokból és az auditra felkészítő, információbiztonsági szakemberekből, azonban hiány van, így nem javasolt az utolsó pillanatra hagyni a cselekvést. A felügyeleti hatóság többféle szankciót alkalmazhat a követelményeket nem teljesítő szervezetekkel szemben: 

• Szervezet figyelmeztetése 
• Feltárt biztonsági hiányosságok elhárításának elrendelése 
• Szervezet eltiltása a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől (a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével) 
• Bírság kiszabása (max. 10 millió euró, vagy ha az magasabb, akkor az árbevétel 2% is lehet, ráadásul ismételhető módon) 
• Szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatása az őket potenciálisan érintő fenyegetésről 

Összefoglalva, NIS2-re való felkészülés nemcsak kötelezettség, hanem lehetőség is a kiberbiztonság fejlesztésére és az egységes követelmények bevezetésére. A bevált szabványok és keretrendszerek jó példái szolgálhatnak a megfelelésnek. A szigorúbb követelmények javítják a kiberbiztonságot és növelik a szervezetek ellenállóképességét a fenyegetésekkel szemben. Minden érintett szervezetnek érdemes áttekinteni és értékelni a kiberbiztonsági helyzetét, beleértve azokat is, akik partneri kapcsolatban állnak az irányelv hatálya alá tartozó cégekkel. Az ellátási lánc biztonsága érdekében szükség lehet az alvállalkozók megfelelésének ellenőrzésére. A szükséges intézkedések bevezetése és technológiák telepítése szakértelmet igényel, ezért ajánlott külső segítséget kérni, ha belső erőforrás hiányzik. A követelmények alkalmazása, különösen azoknál a cégeknél, ahol korábban nem volt hangsúlyos a kiberbiztonság, hosszabb időt vehet igénybe, ezért javasolt időben elkezdeni a felkészülést. 

Kezdje el időben a felkészülést! Vegye fel szakértőinkkel a kapcsolatot még ma!