A NIS-2 direktíváról röviden:

Az Európai Unióban 2021. december 27-én hirdették ki a NIS-2 (Network and Information Systems Directive 2) irányelvet, amely 2023. január 16-án lépett hatályba. Az irányelv célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben.

Az NIS-2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, pl. a minősített bizalmi szolgáltatók, a legfelső szintű domain név-nyilvántartók, valamint a DNS-szolgáltatókra méretüktől függetlenül vonatkozik majd a NIS-2. A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. Az irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek. Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS-2 irányelvet a saját jogrendszerükbe. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek.

Milyen szankciók vannak az NIS-2 irányelv megsértése esetén?

Az NIS-2 irányelvben foglaltakat nem teljesítő vállalkozások súlyos szankciókkal számolhatnak, amelyek magukban foglalhatják a bírságokat, nyilvános megrovásokat és egyéb adminisztratív szankciókat. Az alapvető szervezetekre - az irányadó rendelkezések alapján - akár 10.000.000 euró vagy a teljes éves világszintű forgalom 2%-nak megfelelő bírság is kiszabható. A fontos szervezetek pedig 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.

Mely iparágak érintettek?

Az NIS-2 irányelv az alapvető szolgáltatásokat biztosító szervezetekre és a digitális szolgáltatókra vonatkozik. Az irányelv meghatározza a biztonsági és ellenállóképességi intézkedéseket, amelyeknek az érintett szervezeteknek meg kell felelniük a kiberbiztonsági felkészültség biztosítása érdekében. Az érintett ágazatok közé tartoznak többek között az energia, a szállítás, a pénzügyi piaci infrastruktúrák, az egészségügy, az ivóvíz ellátás, az információ- és kommunikációtechnológia szolgáltatások, a kutatóhelyek, a közigazgatási szervek, valamint a űripar. Ennek megfelelően a NIS-2 direktíva részletesen meghatározott, állami, közigazgatási szervezetekre, és magánkézben lévő közép és nagyvállalatokra vonatkozik.

Kiemelten kockázatos ágazatok (alapvető szerveztek):

• energetika (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
• Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
• egészségügy
• ivóvíz, szennyvíz
• hírközlési szolgáltatás
• digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
• kihelyezett IKT szolgáltatások
• űralapú szolgáltatás

Kockázatos ágazat (fontos szervezetek):

• postai és futárszolgáltatások
• élelmiszer előállítás, feldolgozás, forgalmazás
• hulladékgazdálkodás
• vegyszerek előállítása és forgalmazása
• gyártás:
  o    orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
  o    számítógépek, elektronikai és optikai termékek
  o    villamos berendezések gyártása
  o    máshova nem sorolt gépek és berendezések gyártása
  o    gépjárművek, pótkocsik, félpótkocsik gyártása
  o    egyéb szállítóeszközök gyártása
  o    cement- mész- és gipszgyártás
• digitális szolgáltatók
• kutatás

Jelentéstételi kötelezettségek és jelentős események

A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) és a felügyeleti hatóságnak.

Egy esemény akkor tekintendő jelentősnek, ha:

• súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
• pénzügyi veszteséget okozott az érintett szervezetnek
• az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára

Kockázatkezelési és kiberbiztonsági intézkedések

A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük, amely kiterjed

• a kockázatelemzési és információbiztonsági szabályzatokra,
• üzletmenet folytonosságra,
• katasztrófa utáni helyreállításra,
• ellátási láncok biztonságának biztosítására,
• kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre,
• titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására,
• HR biztonságra,
• hitelesítési megoldásokra,
• biztonságos hang-, video- és szöveges kommunikációra,
• illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára.

Az Új ISO/IEC 27001:2022 intézkedési listájának teljes körű bevezetése nagymértékben elősegíti a NIS-2 direktívának való megfelelést.

Keresse cégünket!