A 2020-ban bemutatott és 2023. január 16-án hatályba lépő NIS2 irányelv a korábbi uniós
kiberbiztonsági irányelv, a NIS folytatása és kiterjesztése, mely elődjének hiányosságaira
épít, illetve azokat orvosolja.
A NIS2 célja a hálózati és információs rendszerek biztonságának fokozása az Európai Unión
belül azáltal, hogy a létfontosságú infrastruktúrák és alapvető szolgáltatások üzemeltetőit
kötelezi a megfelelő biztonsági intézkedések végrehajtására és az incidensek bejelentésére az
illetékes hatóságok felé.
A tagállamoknak 2024. október 17-ig kell átültetniük az irányelvet a nemzeti jogba, amely
azt jelenti, hogy az irányelv hatálya alá tartozó minden szervezetnek jogilag kötelező lesz
2024 4. negyedévére megfelelni az irányelv követelményeinek.
A NIS2 kibővíti az egész EU-ra kiterjedő biztonsági követelményeket, valamint a hatálya alá
tartozó szervezetek és ágazatok körét, hogy javítsa az ellátási láncok biztonságát,
egyszerűsítse a jelentéstételi kötelezettségeket, és szigorúbb intézkedéseket és szankciókat
léptessen életbe egész Európában.
A NIS2-irányelv négy átfogó területen vezet be új követelményeket és kötelezettségeket a
szervezetek számára: kockázatkezelés, vállalati elszámoltathatóság, jelentéstételi
kötelezettségek és üzletmenet-folytonosság.
A négy átfogó követelményterületen túlmenően a NIS2 előírja, hogy az alapvető és fontos
szervezetek alapvető biztonsági intézkedéseket hajtsanak végre a valószínűsíthető
kiberfenyegetések meghatározott formáinak kezelésére. Ezek a következők lehetnek:
Információs rendszerek kockázatértékelése és biztonsági politikái
A biztonsági intézkedések hatékonyságának értékelésére vonatkozó politikák és
eljárások.
A kriptográfia és adott esetben a titkosítás használatára vonatkozó irányelvek és
eljárások.
A biztonsági incidensek kezelésére vonatkozó terv
A rendszerek beszerzése, fejlesztése és üzemeltetése körüli biztonság. Ez azt jelenti,
hogy a sebezhetőségek kezelésére és jelentésére vonatkozó szabályzatokkal kell
rendelkezni.
Kiberbiztonsági képzés és az alapvető számítógépes higiénia gyakorlata.
Biztonsági eljárások az érzékeny vagy fontos adatokhoz hozzáférő alkalmazottak
számára, beleértve az adathozzáférésre vonatkozó irányelveket. Az érintett
szervezeteknek továbbá áttekintéssel kell rendelkezniük az összes releváns eszközről,
és biztosítaniuk kell azok megfelelő felhasználását és kezelését.
Terv az üzleti műveletek irányítására a biztonsági incidens alatt és után. Ez azt jelenti,
hogy a biztonsági mentéseknek naprakésznek kell lenniük. Tervnek kell lennie az IT-
rendszerekhez és azok működési funkcióihoz való hozzáférés biztosítására is egy
biztonsági incidens alatt és után.
Többfaktoros hitelesítés, folyamatos hitelesítési megoldások, hang-, video- és
szövegtitkosítás, valamint adott esetben titkosított belső vészhelyzeti kommunikáció
alkalmazása.
Az ellátási láncok körüli biztonság, valamint a vállalat és a közvetlen beszállító
közötti kapcsolat. A vállalatoknak olyan biztonsági intézkedéseket kell választaniuk,
amelyek megfelelnek az egyes közvetlen beszállítók sebezhetőségének. Ezután a
vállalatoknak értékelniük kell az összes beszállító általános biztonsági szintjét.
A kiberbiztonsági előírások az 50 főnél több alkalmazottal és 10 millió euró feletti éves
árbevétellel rendelkező cégekre vonatkoznak majd. Továbbá amennyiben egy szervezet NIS2
hatálya alá eső szervezet beszállítója, annak szintén NIS2 minősítéssel kell rendelkeznie.
Kiemelt kritikus fontosságú ágazatok:
az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), közlekedés (légi, vasúti,
vízi, közúti, tömegközlekedés),
egészségügy,
vízközmű (ivóvíz és szennyvíz),
hírközlési szolgáltatások,
digitális infrastruktúra-szolgáltatások (felhőszolgáltató, doménnév-szolgáltató,
tartalomszolgáltató hálózati szolgáltatója),
kihelyezett IKT-szolgáltatások
és az űralapú szolgáltatások.
Alapvető kritikusságú ágazatok:
postai és futárszolgálatok,
élelmiszer előállítása, feldolgozása és forgalmazása,
hulladékgazdálkodás,
vegyszerek előállítása és forgalmazása, gyártása (orvostechnika, gépek, villamos
berendezések, elektronikus eszközök, cement, mészés gipszgyártás),
digitális szolgáltatók (pl. online piactér)
és a kutatás.
A közlemény szerint a szervezeteknek a NIS2 irányelvnek való megfelelés érdekében
kockázatkezelési és a kockázatokkal arányos kiberbiztonsági intézkedéseket kell alkalmazni.
Ezek alapján a cégeknek hamarosan ügyelniük kell többek között a kiberbiztonsági kockázat
elemzésére és az információbiztonságra, az üzletmenet folytonosságra, katasztrófa-
helyreállításra, az ellátási láncok biztonságára, kiberhigéniai gyakorlatokra, titkosítási
megoldások alkalmazására, hitelesítési megoldások használatára, kommunikációs csatornák
(szöveg, hang, videó) biztosítására, illetve a szervezeten belüli kiberbiztonsági oktatások
megtartására.
Ezenkívül a szervezeteknek bejelentési kötelezettségük lesz a nemzeti hatóságok felé a súlyos
működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek
számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.
A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek
- június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott
Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható
határideje 2024. december 31., és a szervezeteknek 2025. december 31-ig a NIS2
szabályozásnak valómegfelelést igazoló auditot kell lefolytatniuk.
Ezen követelmények nagy részét ki lehet váltani ISO/IEC 27001:2014 (új kiadás: ISO/IEC
27001:2022) szabvány akkreditált tanúsíttatásával, melyhez cégünk a felkészítést is vállalja.