fbpx
+36 1 781 4842 info@fortix.hu
Hálózat- és információbiztonság – Network and Information Security: Itt van a NIS 2!

Hálózat- és információbiztonság – Network and Information Security: Itt van a NIS 2!

Hálózat- és információbiztonság – Network and Information Security: Itt van a NIS 2!

Mi is az a NIS?

A 2016-ban elfogadott és azóta alkalmazott NIS (hálózat- és információbiztonságról szóló) irányelv az első uniós szintű kiberbiztonsági jogszabály, amelynek konkrét célja a kiberbiztonság magas szintjének közös elérése volt a tagállamokban. Az alapvető szolgáltatások (például energia, közlekedés és egészségügy) üzemeltetőire és a digitális szolgáltatókra (például keresőmotorok és felhőszolgáltatások) vonatkozott. A NIS megkövetelte a szervezetektől, hogy megfelelő műszaki és szervezési intézkedéseket hozzanak a hálózataik és rendszereik biztonságának biztosítása érdekében, és a súlyos eseményekről értesítsék az illetékes nemzeti hatóságokat.

Annak ellenére, hogy a NIS növelte a tagállamok kiberbiztonsági képességeit, a végrehajtása nehéznek bizonyult, mert például a különböző tagállamok eltérő módon értelmezték az irányelvet, ami megnehezítette a több országban működő szervezetek számára, hogy biztosítsák a megfelelést minden olyan joghatóságban, amelyben működnek.

NIS 2 irányelv

Az ilyen nehézségek kiküszöbölésére és a kiberbiztonság tovább erősítésére az Európai Parlament és az Európai Unió Tanácsa 2022. december 27-én kihirdette a NIS 2 irányelvet.

Hálózat- és információbiztonság – Network and Information Security: Itt van a NIS 2!

Az új irányelv megteremtette a jogi koherenciát más szektorspecifikus szabályokkal. A személyi hatálya a kiterjesztetésre került a közepes és nagyobb, a legalább 50 főt foglalkoztató és legalább 10 millió eurós éves árbevétellel rendelkező vállalkozásokra is, az irányelv kötelezően alkalmazandó a rendelet mellékletében és az 1. cikkben meghatározott típusú szervezetekre, valamint a 2022/2557 irányelv szerint kritikus szervezetként azonosítottakra is. A rendelet azt a lehetőséget meghagyta a tagállamoknak, hogy a rendelet hatályát további szervezetekre (pl. oktatási, kutatási intézményekre) is kiterjeszthesse.

A NIS 2 létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely a nagyszabású kiberbiztonsági események és válságok összehangolt kezelését fogja támogatni. Az együttműködési csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Minden tagállam kijelöl vagy létrehoz egy vagy több CSIRT-et. A CSIRT-ek kijelölhetők vagy létrehozhatók egy illetékes hatóságon belül. A CSIRT-eknek meg kell felelniük a 11. cikk (1) bekezdésében meghatározott követelményeknek, legalább az I. és II. mellékletben említett ágazatokra, alágazatokra és szervezettípusokra ki kell terjedniük, és az események egy jól meghatározott folyamat szerinti kezeléséért kell felelniük. A rendelet előírja, hogy a hatálya alá eső szervezeteknek értesíteniük kell a tagállamok által kijelölt, számítógép-biztonsági eseményekre reagáló csoportokat (CSIRT-et) vagy az illetékes, a hálózati és információs rendszerek biztonságáért felelős nemzeti hatóságot minden jelentős eseményről.

Sérülékenységek összehangolt közzététele és egy európai sérülékenység-adatbázis is létrehozásra kerül.

A NIS 2 értelmében a tagállamok biztosítják, hogy az alapvető és fontos szervezetek megfelelő és arányos technikai, operatív és szervezési intézkedéseket hozzanak annak érdekében, hogy kezeljék azokat a kockázatokat, amelyek a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegetik, és megelőzzék vagy minimalizálják az eseményeknek a szolgáltatásaik igénybe vevőire és más szolgáltatásokra gyakorolt hatásait.

Az irányelv 20 nappal a kihirdetés után, 2023. január 16-án lépett életbe és innen számolva a tagállamoknak 21 hónap áll rendelkezésre, hogy beépítsék azt a nemzeti jogukba.

Szerző: Ráczpali István

Források:

L_2022333HU.01008001.xml (europa.eu): AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv)

EUR-Lex – 32003H0361 – EN (europa.eu): Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (Text with EEA relevance) (notified under document number C(2003) 1422)

L_2022333HU.01016401.xml (europa.eu): AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2557 IRÁNYELVE (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről

Iratkozzon fel hírlevelünkre!

    (*)

    FORTIX | Hungarian Business Awards Díj

    FORTIX | Hungarian Business Awards Díj

    Hungarian business awards díjat nyert a fortix

    AZ ÉV INFORMÁCIÓBIZTONSÁGI ÉS ADATVÉDELMI SZOLGÁLTATÓJA A FORTIX CONSULTING KFT.

     

    Hatalmas megtiszteltetés ért minket, elnyertük az Év Információbiztonsági és Adatvédelmi Szolgáltatója kitüntető címet. A Hungarian Business Awards díjat Rónaszéki Péter (a FORTIX ügyvezetője) és Farkas Imre (a FORTIX cégvezetője) vette át ünnepélyes keretek között a Matild Palotában.

    Még a nyár folyamán nyerte el a cég a Business Superbrands díjat, most pedig tovább bővítette elismeréseinek listáját.

    Hungarian Business Awards díjat nyert a FORTIX

     

    A Hungarian Business Awards az a rangos üzleti díj, mely a hazai cégeknek, cégvezetőknek szól. Három korábbi díj, a nagymúltú Hungarian CEO Awards, a FINTECH Awards és a WiB – Women in Business Hungary Awards egyesüléseként jött létre. A zsűri tagjai a Magyarországon több mint 20 éve nagy sikerrel működő Vezérigazgató Találkozó résztvevői, ágazatukban kiemelt elismerésnek örvendő szaktekintélyek.

    Köszönjük a szakmai elismerést, amellyel a FORTIX lett az Év Információbiztonsági és Adatvédelmi Szolgáltatója. Emellet pedig szívből gratulálunk a többi díjazottnak is! 

    Iratkozzon fel hírlevelünkre!

      (*)

      DORA rendelet: Kik azok az IKT szolgáltatók? (4. rész)

      DORA rendelet: Kik azok az IKT szolgáltatók? (4. rész)

      DORA rendelet: Kik azok az IKT szolgáltatók?

      DORA rendelet sorozat 4. része

      A cikksorozat előző két részében azzal foglalkoztunk, hogy a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA rendelet) pontosan kikre is fog vonatkozni. Ebben a részben befejezzük ezt a témát az utolsó nagy érintetti körrel, amely nincs olyan pontosan körülírva a rendeletben, mint a nevesített pénzügyi szervezetek.

      Az előző részekben nevesített pénzügyi szolgáltatókon túl a rendelet egy elég tág kört is érint, ezek az IKT, azaz az információs és kommunikációs technológiák szolgáltatói. A jogalkotói elképzelés érthető, hiszen a harmadik félnek minősülő IKT szolgáltatók által nyújtott digitális és adatszolgáltatások potenciális gyenge pontként jelenhetnek meg információbiztonsági szempontból, ezért célszerű őket is bevonni a DORA rendelet hatálya alá.

      DORA rendelet: Kik azok az IKT szolgáltatók?

      Arra talán nem is kell külön kitérni, manapság elképzelhetetlen, hogy egy pénzügyi szervezet ne vegyen igénybe ilyen külső szolgáltatókat. A külső szolgáltatók alatt elsősorban a felhőszolgáltatókat kell érteni. A rendelet megfogalmazása szerint:

      „Harmadik félnek minősülő IKT-szolgáltatók:

      Digitális és adatszolgáltatásokat nyújtó vállalkozás, többek között a felhőszolgáltató, a szoftverszolgáltató, az adatelemzési szolgáltatást nyújtó és az adatközpont, kivéve a hardverösszetevő szállítóját, valamint az uniós jog szerint engedélyezett olyan vállalkozást, amely az (EU) 2018/1972 európai parlamenti és tanácsi irányelv 2. cikkének 4. pontjában meghatározott elektronikus hírközlési szolgáltatást nyújt;”

      A megfogalmazás annyi támpontot ad, hogy példálózó jelleggel megemlít bizonyos szolgáltatásokat (felhőszolgáltatás, szoftver szolgáltatás, adatelemzés és adatközpont), amik egyértelműen ebbe a körbe tartoznak. Tehát egy pénzügyi szervet által használt felhős file megosztás, vagy egyéb szolgáltatás mindenképpen a jogszabálya alanya lesz.

      A meghatározás kivételként említi a hardver beszállítót, akire ilyen szempontból nem vonatkozik a DORA.  A kivételeknél fent hivatkozott uniós irányelv ide sorolja tovább az internet szolgáltatókat, a gépek közötti jelátvitel szolgáltatásokat és a személyközi hírközlési szolgáltatásokat, akik szintén nem lesznek alanyai a rendeletnek.

      Az IKT szolgáltatók definíciója mellett meg kell ismerkednünk egy újabb fogalommal is, ez pedig a harmadik félnek minősülő kulcsfontosságú IKT-szolgáltató, akire több és szigorúbb szabályok vonatkoznak.

      Kulcsfontosságú szolgáltatók a DORA rendeletben

       

      Az európai felügyeleti hatóságok (EFH-k) a DORA rendeletben meghatározott kritériumok alapján, egy külön szervezet (felvigyázási fórum) ajánlása alapján döntenek arról, mely szolgáltatók tartoznak ebbe a körbe. Az alábbi szempontok alapján minősül valaki kulcsfontosságú szolgáltatónak:

      1. A rendszerszintű hatás vizsgálata alapján, amely a pénzügyi szervezetek részére nyújtott szolgáltatás folytonosságára vonatkozik egy üzemzavar esetén (figyelembe véve a szolgáltatást igénybe vevő pénzügyi szervezetek számát). Rendszerszintű a hatás, ha a szolgáltató szolgáltatásait jelentős intézmények vagy jelentős számú intézmény veszi igénybe, illetve, ha ezen intézmények kölcsönös függése jelentős (akkor is, ha ezen intézmények más pénzügyi szervezetek részére nyújtanak infrastrukturális szolgáltatást).

      2. A nyújtott szolgáltatás kulcsfontosságú vagy lényeges funkció kapcsán merül fel, akkor is, ha nem közvetlenül, hanem közvetetten veszi igénybe azt a pénzügyi szervezet.

      3. A helyettesíthetőség a piaci viszonyok miatt nem lehetséges, vagy nehéz (kevés szolgáltató vagy speciális technológia), vagy szolgáltató szervezeti felépítése, esetleg egyedi tevékenysége miatt problémás, illetve az adatok vagy a munkamennyiség miatt másik szolgáltatóhoz történő migrálás nehézségekbe ütközik (ez lehet magas költség vagy a migrálás magas kockázata).

      4. A tagállamok száma, ahol a szolgáltató szolgáltatást nyújt.

      5. A tagállamok száma, ahol az adott szolgáltató szolgáltatásait igénybe vevő pénzügyi szervezetek tevékenységet folytatnak.

        Összegzés

        Mint a fentiekből is látszik, kulcsfontosságú jelzőt azok a szereplők kapnak majd, akik uniós szinten is nagyobb szolgáltatónak minősülnek.

        A feltételrendszer még biztosan alakulni fog, maga a DORA rendelet is lehetőséget biztosít a Bizottság részére, hogy a feltételrendszert kiegészítse.

        A kulcsfontosságú szolgáltatók listája mindenki számára elérhető lesz és arra is van lehetőség, hogy ezen körbe felvételüket kérjék azok, akik egyébként nem szerepelnek benne.

        E körben érdemes megemlíteni, hogy a rendelet a harmadik félnek minősülő IKT szolgáltatókra is kiterjeszti a felvigyázási keretet, illetve egy másik új intézménnyel, a vezető felvigyázóval is meg kell majd ismerkedni (a vezető felvigyázó hatáskörének, feladatának bemutatására egy külön cikket rendelünk majd).

        (A sorozat következő részében a DORA rendelethez kapcsolódó kockázatkezeléssel foglalkozunk.)

        Szerző: Dr. Simon Norbert

        Iratkozzon fel hírlevelünkre!

          (*)

          DORA RENDELET: KIRE VONATKOZIK A DORA 3. rész

          DORA RENDELET: KIRE VONATKOZIK A DORA 3. rész

          DORA rendelet: Kire vonatkozik a DORA? (3. rész)

          A Tanács elfogadta a digitális működési rezilienciáról szóló rendeletet

          2022. november 28-án az Európai Unió Tanácsa elfogadta a digitális működési rezilienciáról szóló rendeletet.

          Az előző részben elkezdtük annak tárgyalását, hogy a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA) pontosan kikre is fog vonatkozni. Ebben a részben folytatjuk a rendelet alanyainak ismertetését.

          Alternatív befektetési alap-kezelők (ABAK): A 2011/61/EU irányelv 4. cikke (1) bekezdésének b) pontja alapján a következőt kell érteni alatta: „minden olyan jogi személy, amely rendszeres gazdasági tevékenységként egy vagy több ABA-t kezel;”. Ugyanezen cikk meghatározása szerint az ABA: „bármilyen kollektív befektetési vállalkozás, annak befektetési részalapjait is beleértve, amely: több befektetőtől kap tőkét azért, hogy meghatározott befektetési politikának megfelelően befektesse azt ezen befektetők javára; továbbá a 2009/65/EK irányelv 5. cikke alapján nem engedélyköteles;”. Itthon sok vállalkozás folytat ilyen tevékenységet, a DORA nevesített alanyai közül a biztosításközvetítők után itt található a legtöbb hazai vállalkozás.

          Alapkezelő társaságok: A 2009/65/EK irányelv 2. cikke (1) bekezdésének b) pontja alapján a következőt kell érteni alatta: „olyan társaság, amelynek alaptevékenysége a közös alap vagy befektetési társaság formájában tevékenykedő ÁÉKBV kezelése (az ÁÉKBV kollektív portfóliókezelése);”. Az ÁÉKBV pedig nem más, mint az átruházható értékpapírokkal foglalkozó kollektív befektetési vállalkozás rövidítése.

          Adatszolgáltatók: A 2014/65/EU irányelv 4. cikke (1) bekezdésének 63. pontja alapján a következőt kell érteni alatta: „bármely APA, CTP vagy ARM”.  Ezen irányelv szerint a „jóváhagyott közzétételi mechanizmus vagy „APA”: olyan személy, aki ezen irányelv szerint fel van hatalmazva azon szolgáltatás nyújtására, hogy a befektetési vállalkozások nevében közzé tegye a kereskedési jelentéseket, a 600/2014/EU rendelet 20. és 21. cikke alapján;”. Az „összesített adat-szolgáltató vagy „CTP”: olyan személy, aki ezen irányelv szerint fel van hatalmazva azon szolgáltatás nyújtására, hogy összegyűjtse a szabályozott piacokról, az MTF-ektől, az OTF-ektől és a jóváhagyott közzétételi mechanizmusoktól a 600/2014/EU rendelet 6., 7., 10., 12., 13., 20. és 21. cikkében felsorolt pénzügyi eszközökről szóló kereskedési jelentéseket, és azokat olyan, folyamatos és élő elektronikus adatfolyamba vonja össze, amely pénzügyi eszközönként árfolyam- és volumen-adatokat biztosít;”. A „jóváhagyott jelentési mechanizmus vagy „ARM”: olyan személy, aki ezen irányelv szerint fel van hatalmazva azon szolgáltatás nyújtására, hogy a befektetési vállalkozások nevében bejelentse az ügyletek adatait az illetékes hatóságoknak vagy az ESMA-nak;”. Az ESMA pedig az Európai Értékpapír és Piaci Hatóságot jelenti.

          A DORA a biztosítókat és a viszontbiztosítókat is egy pontban kezeli, ezeket a jobb áttekinthetőség érdekében külön említjük.

          Biztosítók: A 2009/138/EK irányelv 13. cikkének 1. pontja alapján a következőt kell érteni alatta: „olyan közvetlen életbiztosító vagy nem-életbiztosító, amely a 14. cikkel összhangban engedéllyel rendelkezik;”.

          Viszontbiztosítók: A 2009/138/EK irányelv 13. cikkének 4. pontja alapján a következőt kell érteni alatta: „olyan vállalkozás, amely a 14. cikkel összhangban engedélyt kapott viszontbiztosítási tevékenység folytatására;”.

          A biztosítás közvetítőket szintén nézzük meg külön-külön.

          Biztosításközvetítők: Az (EU) 2016/97 irányelv 2. cikkének 3. pontja alapján a következőt kell érteni alatta: „bármely, a biztosítótól vagy viszontbiztosítótól, vagy ezek alkalmazottaitól eltérő, továbbá a kiegészítő biztosításközvetítői tevékenységet végző személytől eltérő természetes vagy jogi személy, aki vagy amely javadalmazás ellenében kezd vagy folytat biztosítási értékesítési tevékenységet;”.

          Viszontbiztosítás-közvetítők: Az (EU) 2016/97 irányelv 2. cikkének 5. pontja alapján a következőt kell érteni alatta: „bármely, a viszontbiztosítótól vagy annak alkalmazottaitól eltérő természetes vagy jogi személy, aki vagy amely javadalmazás ellenében kezd vagy folytat viszontbiztosítási értékesítési tevékenységet;”.

          Kiegészítő biztosításközvetítői tevékenységet végző személyek: Az (EU) 2016/97 irányelv 2. cikkének 4. pontja alapján a következőt kell érteni alatta: „ bármely, az 575/2013/EU európai parlamenti és tanácsi rendelet 4. cikke (1) bekezdésének 1. és 2. pontjában meghatározott hitelintézettől vagy befektetési vállalkozástól eltérő természetes vagy jogi személy, aki vagy amely javadalmazás ellenében kiegészítő jelleggel kezd vagy folytat biztosítási értékesítési tevékenységet, amennyiben az alábbi feltételek mindegyike teljesül:

          1. e természetes vagy jogi személy fő szakmai tevékenysége nem a biztosítási értékesítés;
          2. a természetes vagy jogi személy csak bizonyos biztosítási termékeket értékesít, amelyek kiegészítő jellegűek valamely áruhoz vagy szolgáltatáshoz;
          3. az érintett biztosítási termékek nem tartalmaznak életbiztosítást vagy felelősségi kockázatot, kivéve, ha az ilyen fedezet kiegészíti a közvetítő által fő szakmai tevékenységeként kínált árut vagy szolgáltatást;”

          Foglalkoztatói nyugellátást szolgáltató intézmények: Az (EU) 2016/2341 irányelv 6. cikkének 1. pontja alapján a következőt kell érteni alatta: “olyan intézmény, amely, jogi formájától függetlenül, tőkefedezeti alapon működik, bármilyen támogató vállalkozástól vagy szakmai szervezettől elkülönítetten hozták létre, és amelynek célja a keresőtevékenységgel összefüggésben történő nyugellátás biztosítása:

          1. a munkáltató(k) és munkavállaló(k) vagy ezek képviselői között megkötött egyéni vagy kollektív megállapodás vagy szerződés; vagy
          2. önálló vállalkozókkal, egyénileg vagy kollektív módon, a székhely szerinti és a fogadó tagállam jogának megfelelően megkötött megállapodás vagy szerződés alapján,

          és amely ebből közvetlenül származó tevékenységeket folytat;”.

          Hitelminősítő intézetek: Az 1060/2009/EK rendelet 3. cikke (1) bekezdésének b) pontja alapján a következőt kell érteni alatta: “az a jogi személy, amelynek tevékenysége magában foglalja a hitelminősítések szakmai alapon történő kiadását;”. Ez kategória a hazai viszonylatban nem releváns.

          Kritikus referenciamutatók kezelői: Ennek a pontos meghatározása a később elfogadásra kerülő referencia mutató rendeletben lesz benne.

          Közösségi finanszírozási szolgáltatók: A pontos szabályozás a később elfogadásra kerülő közösségi finanszírozási rendeletben várható.

          Értékpapírosítási adattárak: Az (EU) 2017/2402 rendelet 2. cikkének 23. pontja alapján a következőt kell érteni alatta: “olyan jogi személy, amely központilag összegyűjti és kezeli az értékpapírosítások adatait;”.

          (A sorozat következő részeben az IKT szolgáltatókkal, mint szintén a rendelettervezet alanyaival kapcsolatos tudnivalókat járjuk körbe részletesebben.)

          Szerző: Dr. Simon Norbert

          Iratkozzon fel hírlevelünkre!

            (*)