Mi várható a NIS2 kibervédelmi irányelv hazai implementációjával kapcsolatosan?

A 2016-ban megjelent NIS kibervédelmi irányelv felülvizsgálata lezárult és az EU kihirdette a
NIS2 kibervédelmi irányelvet, amely a tagállamoknak 2024. október 17-ig biztosít határidőt
arra, hogy átültessék a bennne foglalt rendelkezéseket a tagállami jogba.
Ennek egyik eleme a 2023. évi XXIII. kibervédelmi törvény.
A NIS2 igazából az elmúlt időszak információbiztonsági incidens trendjeinek, incidens
vizsgálati eredményeinek felhasználásával készült és információbiztonsági, adatkezelési és
adatvédelmi oldalról semmi olyat nem mond, amit egyébként az adatkezelő, adatgazda
szervezeteknek a saját biztonságuk érdekében, saját maguktól meg kellene lépniük. Nyilván
más a jogi kötelezés és más a saját, jól felfogott érdekfelimeréséből fakadó megfelelés. Más a
szándék, akarat és költségviszony az önkéntesség és a kötelezettség között. Azt nem
mondhatjuk, hogy a NIS2 nem igényel majd humán és pénzügyi erőforrást a megfelelési útra
lépő szervezetektől.
A kritikus, létfontosságú infrastruktúrák és a „fontos” infrastruktúrák kibervédelmének európia
harmonizációja, tekintettel az újfajta kibervédelmi kihívásokra, kiemelten fontos feladat és
emellett ugyanilyen fontos a megfelelés és az ellenőrzés, esetlegesen a szankcionálás
harmonizálása is.
Nagyon fontos új eleme a korábbi szabályozási irányokhoz képest, hogy nemcsak a kritikus
rendszerelemek, hanem ezen szervezetek ellátási láncainak védelmét is előírja a rendelkezés.
Az új szabályozás elősegíti, hogy egyes országok kibervédelmi szervei, különös tekintettel a
cég hálózatokra és azok ellátási láncainak nemzetköziségére, együttműködjenek a
kibertámadások felderítésében, illetve azt is eldöntsék. hogy melyik ország hatósága legyen az
adott vizsgálat vezetője, valamint, hogy melyik ország bírósága kapja az ügyet.

Kikre vonatkozik a NIS2?
A NIS2 a kritikus, létfontosságú és „fontos” szektorokban tevékenykedő közepes méretű és
nagyvállalatokra vonatkozik. Az irányelvben a küszöbérték 50 alkalmazott és a 10 millió eurót
meghaladó éves árbevétel.
A kislétszámú cégek sem feltétlenül mentesülnek, ha a tevékenységük kapcsán ágazati
besorolás alá kerülnek, mint az adott tagállam gazdasági életében fontosnak tekintendő szerepet
betöltő feladatot ellátó társaság.
Az érintett szervezetek 2 kategóriában kerülnek besorolásra:
 kritikus, létfontosságú szervezetek:
o Energia: villamos energia, olaj és gáz
o Közlekedés: légi, vasúti, vízi és közúti közlekedés
o Bankszektor: hitelintézetek
o Pénzügyi piaci infrastruktúrák: kereskedési helyszínek
o Egészségügyi ágazat: kórházak, magánklinikák, alapellátási létesítmények.
o Ivóvízellátás és -elosztás
o Digitális infrastruktúra: internetes cserepontok, domainnévrendszerszolgáltatók,
felső szintű domainnév-nyilvántartások.
o Közigazgatás: a polgárok vagy vállalkozások számára alapvető szolgáltatásokat
nyújtó közigazgatási szervek.
 „fontos” szervezetek:
o Postai és futárszolgálatok
o Hulladékgazdálkodás
o Vegyi anyagok
o Élelmiszer-előállítás, -feldolgozás és -forgalmazás
o Gyógyszergyártás, orvosi eszközök és egyéni védőeszközök gyártása
o Digitális szolgáltatók: felhőalapú számítástechnikai szolgáltatások, online
piacterek, online keresőmotorok, közösségi hálózatok, adatközpontszolgáltatók.
o Közigazgatás: a polgároknak vagy vállalkozásoknak fontos szolgáltatásokat
nyújtó közigazgatási szervek.

Területi hatály:
Ha egy cég több tagállamban is tevekénységet végez, az összes érintett tagállam kibervédelmi
hatósága jogosult eljárni vele szemben és az adott állam joghatósága rendelkezhet felette.
Létrehoznak egy európai sebezhetőségi adatbázist, amelyben minden jelentős támadást
regisztrálni, jelenteni kell. A rendelkezés a tagállami jogban megjelenítendő jelentési
kötelezettség előírását tartalmazza. Minden tagállami felügyeleti szerv 3 havonta az európai
kibervédelmi szervezetnek, az ENISA-nak, jelentést küldd az incidensekről. Az ENISA 6
havonta jelenti, majd közzéteszi az Uniós incidensekről szóló jelentését.
A rendelet megköveteli az érintett szervezetektől a biztonsági rendszerek kidolgozását,
létrehozását, fenntartását az információbiztonsági incidensek megelőzésére,
megakadályozására (incident response).
A védelmi irányelveket, szabályozásokat a társaságoknál nem csak létre kell hozni, hanem
hatályba kell léptetni, le kell oktatni, illetve alkalmanként, szituációs gyakorlat keretében el kell
gyakorolni hasonlóan, mint az egyéb szabályozások szerinti tűzriadót.
Az érintett vállalatoknak az ellátási láncukra is figyelmet kell fordítaniuk. A digitális ellátási
láncok, számos a szervezetek hálózataihoz hozzáférést biztosító kapcsolati pontot
tartalmazhatnak. Hiába rendelkezünk jól szabályozott és kiépített belső kiberbiztonsági
rendszerrel, ha a támadóink egy sérülékenységtől hemzsegő rendszerű beszállítón keresztül
megkerülhetik védelmi vonalaink.
A NIS2 értelmében a hatóság által felügyelt szervezet beszállítói láncát nem a nemzeti hatóság,
hanem maga a nemzeti hatoság által felügyelt szervezet felügyeli majd. Ez újabb erőforrás
igényt, újabb felelősséget, újabb eljárásrend készítést igényel majd.
A beszállítói lánc folyamatos monitororzása, a felmerülő kockázati rangsorolás elengedhetetlen
feladata lesz az érintett szervezeteknek.