Mi is az a NIS2 és kinek van dolga vele?
A NIS2 irányelv célja az EU kibervédelmi képességeinek megerősítése a folyamatosan növekvő kiberfenyegetésekkel szemben. A NIS2, vagyis a felülvizsgált kibervédelmi irányelv a 2016-os hálózat és információbiztonsági irányelvet (NIS) váltotta fel. Az irányelv 2023. január 16-án lépett hatályba, és az Európai Unió tagállamainak 2024. október 17-ig kellett (vagy kellett volna) átültetniük a benne foglalt intézkedéseket a nemzeti jogba.
Magyarországon nemrégiben, az év végén jelent meg az a törvény, amely a NIS2 szabályokat a hazai jogrendszerbe átülteti, egyúttal egységesítette a kiberbiztonságra vonatkozó alapvető jogszabályokat egyetlen jogszabályban. Ez a kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt, mert a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani. A kiberbiztonsági felügyeletet Nemzetbiztonsági Szakszolgálat és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el.
A NIS2 által szabályozott cégek felügyeleti díjat is fizetnek, ez az adott cég előző évi árbevételének 0,015%-ka, de legfeljebb 10 millió forint.
A NIS2-es előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre, és minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából kritikus funkciót látnak el. Méretüktől függetlenül a törvény hatálya alá tartoznak az elektronikus hírközlési szolgáltatók, a bizalmi szolgáltatók, a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartó és a doménnév-regisztrációt végző szolgáltatók is.
A NIS2-irányelv hatálya alá tartozó ágazatok a következők:
Alapvető fontosságú szervezetek: Energia: villamos energia, olaj és gáz Közlekedés: légi, vasúti, vízi és közúti közlekedés Bankszektor: hitelintézetek Pénzügyi piaci infrastruktúrák: kereskedési helyszínek Egészségügyi ágazat: kórházak, magánklinikák, alapellátási létesítmények. Ivóvízellátás és -elosztás Digitális infrastruktúra: internetes cserepontok, domainnévrendszer-szolgáltatók, felső szintű domainnév-nyilvántartások. Közigazgatás: a polgárok vagy vállalkozások számára alapvető szolgáltatásokat nyújtó közigazgatási szervek.
Fontos szervezetek: Postai és futárszolgálatok Hulladékgazdálkodás Vegyi anyagok Élelmiszer-előállítás, -feldolgozás és -forgalmazás Gyógyszergyártás, orvosi eszközök és egyéni védőeszközök gyártása Digitális szolgáltatók: felhőalapú számítástechnikai szolgáltatások, online piacterek, online keresőmotorok, közösségi hálózatok, adatközpont-szolgáltatók. Közigazgatás: a polgároknak vagy vállalkozásoknak fontos szolgáltatásokat nyújtó közigazgatási szervek.
Közel 4000 cég érintett
Magyarországon a becslések szerint mintegy 3500-4000 cégnek ír elő kötelezettségeket a NIS2. Az érintett vállalkozásoknak
2025 december 31-ig el kell végezniük egy auditvizsgálatot, illetve ennek nyomán – ha szükséges – meg kell erősíteniük a kibervédelmi képességeiket.
Az auditot kétévente szükséges újra elvégezni, az audit-jelentéseket a megrendelő cég és a hatóság is megkapja. Tavaly év végéig kellett volna a cégeknek szerződést kötni az auditorokkal, akik jelentést készíthetnek a cégek kiberbiztosági állapotáról. Ez azonban azért nem történhetett még meg, mert egyrészt az auditálási folyamat részletszabályait még nem alkották meg, másrészt a díjakról is zajlanak az egyeztetések.
Szerencsére az SZTFH – amely szankciókat is alkalmazhatna azoknál, akik határidőre nem kötötték meg a szerződést valamelyik auditorral - december végén közleményt adott ki arról, hogy a körülmények miatt a határidő elmulasztása egyelőre nem jár következményekkel számukra. Jelenleg kilenc olyan auditor cég szerepel az SZTFH oldalán, amelyeket a hatóság már elbírált kérelem alapján vett nyilvántartásba.
Az ISACA (Information Systems Audit and Control Association) nemzetközi szövetség nyilvántartása szerint egyébként körülbelül 500 szakember rendelkezik itthon IT-biztonsági auditor képzettséggel, de nem mindenki foglalkozik ilyen jellegű auditációval.
Incidensjelentés és szankciók
Ha egy vállalatnál kibervédelmi incidens – például egy hackertámadás, adatszivárgás - történik,
a szabályok szerint 24 órán belül be kell jelenteni az esetet a Nemzeti Kibervédelmi Intézetnek.
Ezt követően, de legfeljebb 72 órán belül egy ennél bővebb eseményjelentést kell benyújtani. Az incidens kezelését a megfelelő képesítéssel rendelkező belső alkalmazottak vagy egy arra jogosult szervezet végezheti, utóbbiról az auditor cégekhez hasonlóan az SZTFH egy listát vezet majd. Ha személyes adatokat is érint az incidens, akkor a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) is jelenteni kell az esetet.
Vári Csaba, a Baker McKenzie ügyvédje, adatvédelmi és technológiai szakértője lapunknak elmondta, hogy ha a cégek nem felelnek a szabályoknak, akkor számos jogkövetkezménnyel nézhetnek szembe: első körben a hatóság nem bírságol, hanem felszólítja a szervezetet az információbiztonsági követelmények teljesítésére, illetőleg súlyos incidensfenyegetés esetén azonnali intézkedés megtételére kötelezheti a céget. Ezt követően súlyosabb szankció, bírság kiszabása is következhet. A kiberbiztonsági hatóság információbiztonsági felügyelőt is kirendelhet a céghez az érintett szervezet költségére, vagy kötelezheti a jogszabálysértés tényének és körülményeinek nyilvánosságra hozatalára. Ezen túl a hatóság akár a szervezet vezetőjével szemben is kiszabhat bírságot.
A bírság legmagasabb összege fontos szervezetek esetén 7 millió euró, vagy ha ez magasabb, a cég előző pénzügyi éve világszintű árbevételének 1,4 százaléka, alapvető szervezetek esetén pedig 10 millió euró vagy az előző éves árbevétel 2 százaléka.
Újdonság az is, hogy magánszemélyeket, a szervezet vezetőjét is bírságolhatják, ebben az esetben a bírság maximális összege 15 millió forint lehet.
Mi jön most?
Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője lapunknak elmondta, hogy a cégeknek számos feladatot el kell végezniük ahhoz, hogy megfeleljenek a NIS2 követelményeknek. Ezek közé tartozik a kiberbiztonsági hiányosságokat feltáró GAP analízis, adathalász-, illetve kibertámadás-szimulációk, az információbiztonsági irányítási rendszer kiépítése és auditálása.
Fontos új eleme a NIS2-nek, hogy az érintett vállalatoknak már nem csak a saját rendszereik védelmére kell figyelmet fordítaniuk, hanem az ellátási láncukra is. A digitális ellátási láncok ugyanis számos, a szervezet hálózatához hozzáférést biztosító pontot tartalmazhatnak. Hiába rendelkezik egy szervezet fejlett belső kiberbiztonsági rendszerekkel, ha a támadók egy beszállítóján keresztül megkerülik azokat.
A szakértő lapunkak leszögezte, hogy tapasztalatai szerint
a cégek nagy része jelenleg nincs felkészülve az új szabályokra, sok dolguk van még, a rendszereiket meg kellene erősíteni a kiberfenyegetésekkel szemben.
Címlapkép forrása: dusanpetkovic via Getty Images