Nyolc éve él mindannyiunkkal a GDPR, az Európai Unió adatvédelmi rendelete. A gyakran egyértelműen és érezhetően fontos, sok esetben viszont komikusan életszerűtlen jogszabályt követi most egy szintén négykarakteres rövidítéssel emlegetett társa, a NIS2, amely a kiberbiztonság terén hoz újdonságokat, melyekről a vállalatoknak és dolgozóiknak is fontos tudniuk.

Az új irányelv nevének eredete a hálózati és információs rendszerek (Network and Information Systems, NIS) kifejezésben található, a rövidítés végére pedig azért biggyesztettek oda egy kettest, mert a direktíva az Európai Unión belüli kiberbiztonsági szint egységesítését kitűző 2016-is irányelv új verziója, annak aktualizálását jelenti. Hogy miért van szükség ilyen szabályozásra, illetve a korábbi előírások aktualizálásra, azt aligha kell bárkinek is magyarázni: a kiberbűnözés mértéke érezhetően megugrott, már nem néhány spamről, nem évi vagy havi egy-két csalásról van szó, hanem lényegében folyamatosan támadás alatt áll mindenki, aki online felületekre lép.

A NIS2 egy uniós direktíva, és mint ilyen, csak alapként szolgál az egyes országok jogszabályaihoz. Magyarországon a 2023. évi XXIII. törvény szól a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről. Jogi szövegekben ez jellemzően Kibertan. tv. rövid néven bukkan fel.

NIS2-regisztráció

Az új szabályozás már hatályba lépett. Jelenleg a regisztrációs szakasz zajlik. Praktikusan ez azt jelenti, hogy most (június 30-ig) kell nyilvántartásba vételét kérnie az érintett szervezeteknek.

Erre Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) online felületén van mód. (Fontos, hogy csak ott. Regisztrálni sem személyesen, sem postai úton nem lehet.) Az űrlap kitöltésére az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy jogosult.

A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.

Melyik szervezetnek kell regisztrálnia, kire vonatkozik a NIS2?

A Kibertan. tv iparágak szerinti bontásban két kategóriát különböztet meg.

Az elsőbe a kiemelten kockázatos ágazatokban – energetika, közlekedés, egészségügy, ivóvíz és szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett infokommunikáció, űripar – működő szolgáltatók és szervezetek tartoznak.

A második kategóriába a kockázatos ágazatokban működő szolgáltatókat és szervezeteket sorolták:

• postai és futárszolgálatok;
• élelmiszer előállítása, feldolgozása és forgalmazása;
• hulladékgazdálkodás;
• vegyszerek előállítása és forgalmazása;
• gyártás;
• digitális szolgáltatás;
• kutatás.

A 2023. évi XXIII. törvény 1. és 2. melléklete részletesen kifejti, hogy mi alapján dőlnek el besorolások, érdemes átnézni.

A NIS2 irányelvből következő előírásokat az 50 főnél többet foglalkoztató vagy legalább 10 millió eurós éves árbevétellel rendelkező szervezetekre alkalmazzák. Az SZTFH kiemelten hangsúlyozza, hogy a szervezetek minősítése a Kkvtv. 5. § (3) bekezdése szerint változhat, így az aktuális adatok nem biztos, hogy a jogi besorolást tükrözik. A minősítés kapcsán a Nemzeti Adó- és Vámhivatal az illetékes.

Mit ír elő a NIS2?

A regisztráció mellett az érintetteknek biztonsági osztályokba kell sorolniuk informatikai rendszereiket, illetve információbiztonsági felelőst kell kijelölniük.

Ez persze csak a kezdet, a besoroláshoz igazodva célzott intézkedési terveket is elvár a szabályozás: a vállalatoknak meg kell alkotniuk az érintett rendszerekkel kapcsolatos adminisztratív, logikai és fizikai védelmi intézkedési terveket.

A vállalatoknak meg kell határozniuk biztonsági vezetőik és a felhasználók felelősségi köreit.

Mindennek célja a kiberbiztonsági szint növelése, és a szabályozó reményei szerint persze az is, hogy ne csak papíron, hanem a mindennapokban is védettebbek legyenek a vállalatok, munkavállalóik és felhasználóik, ügyfeleik is a különféle kibertámadásoktól. Ha minden jól megy, akkor az előírásoknak megfelelő szervezetek eggyel védettebbnek érezhetik majd magukat a kiberbűnözők támadásaitól, és ha mégis bekövetkezik a baj, akkor már csak egy kész tervet kell elővenniük arra, hogyan minimalizálható a saját és ügyfeleik kára.

A NIS2 2024. október 18-án élesedik, akkor indul EU-szerte a felügyeleti és ellenőrzési tevékenység. A cégeknek év végéig (december 31-ig) kell szerződést kötniük olyan auditorral, amely átvilágítja a kiberbiztonsággal kapcsolatos tevékenységüket. Majd 2025. december 31-ig kell lefolytatni az első kiberbiztonsági auditot.

Mi a veszélye annak, ha valaki csak megúszásra játszik? Milyen előnyei származhatnak a cégeknek, munkavállalóknak, felhasználóknak a NIS2-ből? Milyen határidők és büntetési tételek vannak? Még a héten jövünk a válaszokkal.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.