Fejezetek 08 Hatályos: 2024. október 18.

NIS2 Irányelv

Az hálózati és információs rendszerek biztonságáról szóló irányelv

Áttekintés

A NIS2 felváltja és jelentősen kibővíti az eredeti NIS irányelvet, magas közös kiberbiztonsági szintet állítva fel az EU-ban. Sokkal szélesebb körű ágazatokra és szervezetekre vonatkozik, szigorúbb felügyeleti intézkedéseket vezet be, és harmonizálja a szankciókat a tagállamok között.[1]

Irányelvként a NIS2-t 2024. október 17-ig kellett átültetni a nemzeti jogba. A végrehajtás tagállamonként eltérő.

Hatály: Alapvető vs Fontos szervezetek

Alapvető szervezetek (szigorúbb ellenőrzés)[2]

ÁgazatPéldák
EnergiaVillamos energia, olaj, gáz, hidrogén, távfűtés
SzállításLégi, vasúti, vízi, közúti
Banki szektorHitelintézetek
Pénzügyi piacokKereskedési helyszínek, központi elszámolóházak
EgészségügyEgészségügyi szolgáltatók, laborok, gyógyszeripar, orvosi eszközök
IvóvízVízelosztók
SzennyvízSzennyvízkezelés
Digitális infrastruktúraIXP-k, DNS, TLD nyilvántartók, felhő, adatközpontok, CDN-ek, TSP-k
ICT szolgáltatásmenedzsmentMenedszelt szolgáltatók, menedszelt biztonsági szolgáltatók
KözigazgatásKözponti kormányzati szervek
ŰrkutatásFöldi infrastruktúra üzemeltetők

Fontos szervezetek (enyhébb ellenőrzés)

ÁgazatPéldák
Postai szolgáltatásokPostai és futárszolgálatok
HulladékgazdálkodásHulladékgyűjtés és kezelés
KémiaiparGyártás és forgalmazás
ÉlelmiszerTermelés és forgalmazás
GyártásOrvosi eszközök, elektronika, gépek, járművek
Digitális szolgáltatókOnline piacterek, keresőmotorok, közösségi hálózatok
KutatásKutató szervezetek

Méretküszöbök

A NIS2 általában közepes és nagy szervezetekre vonatkozik:

  • Közepes: 50+ alkalmazott VAGY 10 millió euró feletti árbevétel/mérlegfőösszeg
  • Nagy: 250+ alkalmazott VAGY 50 millió euró feletti árbevétel VAGY 43 millió euró feletti mérlegfőösszeg

Néhány szervezet mérettől függetlenül alkalmazandó (DNS, TLD nyilvántartók, felhőszolgáltatók, adatközpontok stb.).

Fő követelmények

Kockázatkezelési intézkedések (21. cikk)[3]

A szervezeteknek megfelelő műszaki, működési és szervezeti intézkedéseket kell bevezetniük:

  1. Szabályzatok: Kockázatelemzés és információs rendszer biztonsági szabályzatok
  2. Eseménykezelés: Észlelési, reagálási és helyreállítási eljárások
  3. Üzletmenet-folytonosság: Biztonsági mentés, katasztrófa utáni helyreállítás, válságkezelés
  4. Ellátási lánc biztonsága: Beszállítók biztonsági követelményei
  5. Hálózatbiztonság: Beszerzés, fejlesztés és karbantartás biztonsága
  6. Hatékonyság értékelése: Szabályzatok a biztonsági intézkedések hatékonyságának értékelésére
  7. Alapvető kiberhigiénia: Képzési és tudatosság-növelő programok
  8. Kryptográfia: Szabályzatok a kriptográfiai kontrollokról és titkosításról
  9. Humán erőforrások: Személyzeti biztonság és hozzáférés-ellenőrzés
  10. Többfaktoros hitelesítés: MFA és biztonságos kommunikációs rendszerek

Eseménybejelentés (23. cikk)[4]

HatáridőKövetelmény
24 óraKorai figyelmeztetés a CSIRT-nek/illetékes hatóságnak
72 óraEsemény bejelentése kezdeti értékeléssel
1 hónapVégleges jelentés a kiváltó okról és a mérséklésről

Jelentős eseményeket be kell jelenteni, ha súlyos működési zavarokat vagy pénzügyi veszteséget okoznak vagy okozhatnak, illetve ha más természetes vagy jogi személyeket érintenek.

Vezetői felelősség

A vezető testületeknek a következőket kell tenniük:

  • Jóváhagyni a kiberbiztonsági kockázatkezelési intézkedéseket
  • Felügyelni a biztonsági intézkedések végrehajtását
  • Személyes felelősséget vállalni a nem megfelelésért
  • Kiberbiztonsági képzésen részt venni

Szankciók

  • Alapvető szervezetek: Akár 10 millió euró vagy a globális árbevétel 2%-a
  • Fontos szervezetek: Akár 7 millió euró vagy a globális árbevétel 1,4%-a[5]

A tagállamok további szankciókat is kiszabhatnak, beleértve az ideiglenes vezetői eltiltásokat.

Fejlesztői és ICT szolgáltató kötelezettségek

Ha ICT szolgáltatásokat vagy termékeket nyújt:

  1. Menedszelt szolgáltatók: Közvetlenül hatály alá tartoznak, mint alapvető szervezetek
  2. Felhőszolgáltatók: Közvetlenül hatály alá tartoznak, mint alapvető szervezetek
  3. Szoftverfejlesztők: Ellátási lánc kötelezettségek az ügyfél szervezetek részéről
  4. Biztonsági beszállítók: Fontos szervezetként kijelölhetők

Források és hivatkozások

[1]
(EU) 2022/2555 irányelv a magas közös kiberbiztonsági szintről. EUR-Lex: NIS2 hivatalos szöveg
[2]
NIS2 I. és II. melléklet: Alapvető és fontos szervezeti ágazatok. NIS2-Directive.com: Ágazatok
[3]
NIS2 21. cikk: Kiberbiztonsági kockázatkezelési intézkedések. NIS2-Directive.com: 21. cikk
[4]
NIS2 23. cikk: Eseménybejelentési kötelezettségek. NIS2-Directive.com: 23. cikk
[5]
NIS2 34. cikk: Közigazgatási bírságok. NIS2-Directive.com: 34. cikk