fbpx
+36 1 781 4842 info@fortix.hu

Hálózat- és információbiztonság – Network and Information Security: Itt van a NIS 2!

Mi is az a NIS?

A 2016-ban elfogadott és azóta alkalmazott NIS (hálózat- és információbiztonságról szóló) irányelv az első uniós szintű kiberbiztonsági jogszabály, amelynek konkrét célja a kiberbiztonság magas szintjének közös elérése volt a tagállamokban. Az alapvető szolgáltatások (például energia, közlekedés és egészségügy) üzemeltetőire és a digitális szolgáltatókra (például keresőmotorok és felhőszolgáltatások) vonatkozott. A NIS megkövetelte a szervezetektől, hogy megfelelő műszaki és szervezési intézkedéseket hozzanak a hálózataik és rendszereik biztonságának biztosítása érdekében, és a súlyos eseményekről értesítsék az illetékes nemzeti hatóságokat.

Annak ellenére, hogy a NIS növelte a tagállamok kiberbiztonsági képességeit, a végrehajtása nehéznek bizonyult, mert például a különböző tagállamok eltérő módon értelmezték az irányelvet, ami megnehezítette a több országban működő szervezetek számára, hogy biztosítsák a megfelelést minden olyan joghatóságban, amelyben működnek.

NIS 2 irányelv

Az ilyen nehézségek kiküszöbölésére és a kiberbiztonság tovább erősítésére az Európai Parlament és az Európai Unió Tanácsa 2022. december 27-én kihirdette a NIS 2 irányelvet.

Hálózat- és információbiztonság – Network and Information Security: Itt van a NIS 2!

Az új irányelv megteremtette a jogi koherenciát más szektorspecifikus szabályokkal. A személyi hatálya a kiterjesztetésre került a közepes és nagyobb, a legalább 50 főt foglalkoztató és legalább 10 millió eurós éves árbevétellel rendelkező vállalkozásokra is, az irányelv kötelezően alkalmazandó a rendelet mellékletében és az 1. cikkben meghatározott típusú szervezetekre, valamint a 2022/2557 irányelv szerint kritikus szervezetként azonosítottakra is. A rendelet azt a lehetőséget meghagyta a tagállamoknak, hogy a rendelet hatályát további szervezetekre (pl. oktatási, kutatási intézményekre) is kiterjeszthesse.

A NIS 2 létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely a nagyszabású kiberbiztonsági események és válságok összehangolt kezelését fogja támogatni. Az együttműködési csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Minden tagállam kijelöl vagy létrehoz egy vagy több CSIRT-et. A CSIRT-ek kijelölhetők vagy létrehozhatók egy illetékes hatóságon belül. A CSIRT-eknek meg kell felelniük a 11. cikk (1) bekezdésében meghatározott követelményeknek, legalább az I. és II. mellékletben említett ágazatokra, alágazatokra és szervezettípusokra ki kell terjedniük, és az események egy jól meghatározott folyamat szerinti kezeléséért kell felelniük. A rendelet előírja, hogy a hatálya alá eső szervezeteknek értesíteniük kell a tagállamok által kijelölt, számítógép-biztonsági eseményekre reagáló csoportokat (CSIRT-et) vagy az illetékes, a hálózati és információs rendszerek biztonságáért felelős nemzeti hatóságot minden jelentős eseményről.

Sérülékenységek összehangolt közzététele és egy európai sérülékenység-adatbázis is létrehozásra kerül.

A NIS 2 értelmében a tagállamok biztosítják, hogy az alapvető és fontos szervezetek megfelelő és arányos technikai, operatív és szervezési intézkedéseket hozzanak annak érdekében, hogy kezeljék azokat a kockázatokat, amelyek a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegetik, és megelőzzék vagy minimalizálják az eseményeknek a szolgáltatásaik igénybe vevőire és más szolgáltatásokra gyakorolt hatásait.

Az irányelv 20 nappal a kihirdetés után, 2023. január 16-án lépett életbe és innen számolva a tagállamoknak 21 hónap áll rendelkezésre, hogy beépítsék azt a nemzeti jogukba.

Szerző: Ráczpali István

Források:

L_2022333HU.01008001.xml (europa.eu): AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv)

EUR-Lex – 32003H0361 – EN (europa.eu): Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (Text with EEA relevance) (notified under document number C(2003) 1422)

L_2022333HU.01016401.xml (europa.eu): AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2557 IRÁNYELVE (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről

Iratkozzon fel hírlevelünkre!

    (*)