MI IS AZ A NIS?

A 2016-ban elfogadott és azóta alkalmazott NIS (hálózat- és információbiztonságról szóló) irányelv az első uniós szintű kiberbiztonsági jogszabály, amelynek konkrét célja a kiberbiztonság magas szintjének közös elérése volt a tagállamokban. Az alapvető szolgáltatások (például energia, közlekedés és egészségügy) üzemeltetőire és a digitális szolgáltatókra (például keresőmotorok és felhőszolgáltatások) vonatkozott. A NIS megkövetelte a szervezetektől, hogy megfelelő műszaki és szervezési intézkedéseket hozzanak a hálózataik és rendszereik biztonságának biztosítása érdekében, és a súlyos eseményekről értesítsék az illetékes nemzeti hatóságokat.

Annak ellenére, hogy a NIS növelte a tagállamok kiberbiztonsági képességeit, a végrehajtása nehéznek bizonyult, mert például a különböző tagállamok eltérő módon értelmezték az irányelvet, ami megnehezítette a több országban működő szervezetek számára, hogy biztosítsák a megfelelést minden olyan joghatóságban, amelyben működnek.

NIS 2 IRÁNYELV

Az ilyen nehézségek kiküszöbölésére és a kiberbiztonság tovább erősítésére az Európai Parlament és az Európai Unió Tanácsa 2022. december 27-én kihirdette a NIS 2 irányelvet.

Az új irányelv megteremtette a jogi koherenciát más szektorspecifikus szabályokkal. A személyi hatálya a kiterjesztetésre került a közepes és nagyobb, a legalább 50 főt foglalkoztató és legalább 10 millió eurós éves árbevétellel rendelkező vállalkozásokra is, az irányelv kötelezően alkalmazandó a rendelet mellékletében és az 1. cikkben meghatározott típusú szervezetekre, valamint a 2022/2557 irányelv szerint kritikus szervezetként azonosítottakra is. A rendelet azt a lehetőséget meghagyta a tagállamoknak, hogy a rendelet hatályát további szervezetekre (pl. oktatási, kutatási intézményekre) is kiterjeszthesse.

A NIS 2 létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely a nagyszabású kiberbiztonsági események és válságok összehangolt kezelését fogja támogatni. Az együttműködési csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Minden tagállam kijelöl vagy létrehoz egy vagy több CSIRT-et. A CSIRT-ek kijelölhetők vagy létrehozhatók egy illetékes hatóságon belül. A CSIRT-eknek meg kell felelniük a 11. cikk (1) bekezdésében meghatározott követelményeknek, legalább az I. és II. mellékletben említett ágazatokra, alágazatokra és szervezettípusokra ki kell terjedniük, és az események egy jól meghatározott folyamat szerinti kezeléséért kell felelniük. A rendelet előírja, hogy a hatálya alá eső szervezeteknek értesíteniük kell a tagállamok által kijelölt, számítógép-biztonsági eseményekre reagáló csoportokat (CSIRT-et) vagy az illetékes, a hálózati és információs rendszerek biztonságáért felelős nemzeti hatóságot minden jelentős eseményről.

Sérülékenységek összehangolt közzététele és egy európai sérülékenység-adatbázis is létrehozásra kerül.

A NIS 2 értelmében a tagállamok biztosítják, hogy az alapvető és fontos szervezetek megfelelő és arányos technikai, operatív és szervezési intézkedéseket hozzanak annak érdekében, hogy kezeljék azokat a kockázatokat, amelyek a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegetik, és megelőzzék vagy minimalizálják az eseményeknek a szolgáltatásaik igénybe vevőire és más szolgáltatásokra gyakorolt hatásait.

Az irányelv 20 nappal a kihirdetés után, 2023. január 16-án lépett életbe és innen számolva a tagállamoknak 21 hónap áll rendelkezésre, hogy beépítsék azt a nemzeti jogukba.