A Network and Information Security (NIS) Directive 2 irányelv (a hálózati és információs rendszerek biztonságáról szóló irányelv) az egyik legújabb európai szintű jogszabály-frissítés. Az irányelv az EU kiberbiztonsági stratégiájának része, és számos jelentéstételi és kockázatkezelési intézkedést vezet be a kiberbiztonsággal kapcsolatban.
Mi az NIS2?
Ahogy az uniós jogszabályok jelentős részében megszokott, ez az irányelv is hivatkozik a GDPR-ra. Bár a jogszabályok eltérő célokat szolgálnak (a GDPR általában a személyes adatokra, a NIS2 pedig a rendszerek biztonságára vonatkozik), a kettő között jelentős átfedés van, mivel valószínűsíthető, hogy a NIS2 hatálya alá tartozó szervezetek közül sokan egyben GDPR adatkezelők is.
A NISD 2016-os első verziója már 2016 óta minden az Európai Unióban, hálózat- és információbiztonsági munkakörhöz köthető szakmabeli életének részét képezi, a tagállamoknak pedig 2024. október 17-ig kell elfogadniuk és kihirdetniük azokat a rendelkezéseket, amelyek szükségesek ahhoz, hogy az új NIS2 irányelvnek megfeleljenek.
A NIS2 bemutatása
Az új uniós szintű kiberbiztonsági jogszabály alanyai két csoportra oszthatóak: az első csoportba az alapvető szolgáltatást nyújtó vállalatok, digitális infrastruktúrák, energetika, közlekedés, banki, pénzügyi, és egészségügyi szolgáltatások tartoznak. A második csoportba a digitális szolgáltatásokat nyújtó szolgáltatók, például a felhős szolgáltatók, online piacok, keresőmotorok tartoznak.
A szigorúbb kiberbiztonsági, beszámolási és incidensekkel kapcsolatos információ-megosztási kötelezettségek elengedhetetlenek a biztonsági szint emelése érdekében. A jogalkotó fő célja mind a köz-, mind a magánszektorban az incidensekre való reagálási képesség javítása, méghozzá az egész Unió kiberrezilienciáját tekintve. Az érintett területek a fontos és alapvető ágazatokban: postai és futárszolgálatok, elektronikai-, és járműgyártás, kutatóhelyek, hulladékgazdálkodás, élelmiszer előállítás és forgalmazás, digitális szolgáltatások (online piacterek, keresőmotorok, közösségimédia-szolgáltatási platformok), vegyipari gyártás és forgalmazás, a komplett energiaszektor (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), természetesen a banki és pénzügyi szolgáltatások, vízellátás, digitális infrastruktúrák (hírközlés, internet kicserélő pontok, bizalmi szolgáltatók, domain nyilvántartók, publikus DNS-szolgáltatások), űripar, szállítási szolgáltatások, egészségügy, közigazgatás, gyógyszeripar valamint a menedzselt biztonsági szolgáltatások. Végül de nem utolsósorban, ami talán kiemelt figyelmet igényel: a felhő és adatközpont szolgáltatók.
Az új irányelv többek között ígérete szerint segít a vállalatoknak megérteni és értékelni a kiberbiztonsági kockázatokat. A kockázatbecslés alapján a vállalatok kialakíthatnak egy védekezési tervet, amely leírja a vállalat biztonsági céljait és a védekezési intézkedéseket, amelyeket végre kell hajtani a kockázatok kezelésére. Előírás, hogy a védekezés folyamatos legyen, amelyet monitorozással, értékeléssel és frissítéssel kell fenntartani. Ennek érdekében a vállalatoknak kockázatbecsléseket kell végezniük, védekezési terveket kell készíteniük és olyan üzemeltetési folyamatokat kell kialakítaniuk, amelyek segítenek megfelelni a biztonsági követelményeknek.
Ezeken kívül is rengeteg témát érint a NIS2, de alapjában véve az érintettek körének bővülésén túl sokkal részletesebb lett az előző verzióhoz képest. Fontos kiemelni, hogy azon szervezetek számára is komoly feladatokat jelenthet, akik úgy gondolják nem lehet problémájuk a minősítéssel, hiszen élenjárók az említett témákban. A CSIRT, azaz a Computer Security Incident Response Team (számítógép-biztonsági incidenskezelő csoport) működésének taglalása mellett, például az üzletmenet-folytonossági kérdésekben (Business Continuity) és katasztrófahelyreállítási tervezésben is (Disaster Recovery) szintet lép. Kézzel fogható konkrétumok terén kiemelendő a tartalékrendszerek menedzselésének témaköre, a kiberbiztonsági gyakorlatok és a több faktoros hitelesítés témaköre is. Fontos célkitűzés a kis- és közép-vállalatok felkészültségi szintjének növelése.
Egy ide vonatkozó aspektus a DORA (Digital Operational Resilience Act), mely az Európai Bizottság által előkészítés alatti fázisban lévő, a kibertámadások elleni védekezés összehangolásának érdekében definiált törvényi szabályozás. A 2025 januárjától érvényes szabályozás a pénzügyi kibertérben hivatott rendet tenni. A DORA főbb feladatai a digitális reziliencára vonatkozó stratégia megalkotása, valamint annak tesztelésére szolgáló program kialakítása. Szintén feladat a rendszeres (havi) vezetői jelentés a harmadik félnek minősülő információs, kommunikációs technológiai szolgáltatók kapcsán, valamint a harmadik félnek minősülő szolgáltatókkal kötött megállapodások kulcsfontosságú vagy lényeges funkcióira vonatkozó tervek elkészítése. Feladat még a pontos és széleskörű, nem csak a kiszervezések és a felhőszolgáltatások értelmében vett nyilvántartások és kockázatok elemzése. Ügyfelek, partnerek, valamint a nyilvánosság felelős tájékoztatását lehetővé tevő kommunikációs eljárásrend kialakítása, valamint ehhez kapcsolódóan a nyilvános és médiaszóvivő szerepkör kialakítása. Kiber-fenyegetettségek és incidensek azonosításának, nyomon követésének és elemzésének (riportolásának) rendelet szerint megkövetelt érettségi szintjének elérése. Gyakorlatban ültetve mindez a már jól ismert hatóságok ajánlásain túl elvégzett gapelemzések során feltárt eltérések megszüntetésére, precíz, roadmap-be ültetett részletes tervek készítését és végrehajtását foglalja magában.
Visszakanyarodva, a felsorolásból egyértelműen következik, hogy az érintettek köre igencsak széles, és egyelőre nem pontosan definiált. Az előzetes felmérések kissé ellentmondásosak, mivel a tevékenységi köröktől függően változó lehet a érintettség, azonban az kijelenthető, hogy több ezer olyan vállalatra vonatkozik majd a rendelet, akiknek még komoly lépéseket kell tenni a sikeres megfelelésig. Ezen szemüvegen át nézve, sokak számára már nem is olyan távoli a fent említett dátum. A szóban forgó vállalatoknak alap- vagy magas szintű kiberbiztonsági tanúsításon kell megfelelniük önértékeléses, vagy akkreditált harmadik fél (auditor) által végzett tanúsítás során.
Végül, de nem utolsósorban: a bírság. A GDRP „idejében” már kellő mennyiségű pánikkeltésben volt részünk a bírságok méretére vonatkozóan, és itt is tény, hogy a kiszabási keretek komolyak. Alapvető szervezetek esetében legalább 10.000 EUR, fontos szervezetek esetében pedig legalább 70.000 EUR lehet a bírság, amennyiben megsértik a kiberbiztonsági kockázatkezelési intézkedéseket vagy a jelentésbeli kötelezettségeiket. De a vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 2%-ának (alapvető ágazatok), 1,4%-ának (fontos ágazatok) megfelelő maximális összeg is lehet. Némi enyhítés, hogy ugyanazon magatartásból eredendően, amennyiben GDPR alapján közigazgatási bírságot szabnak ki egy vállalatra, az illetékes hatóságok nem szabhatnak ki a NIS2 irányelv szerinti bírságot.
Összefoglalás
Nyilvánvaló tehát, hogy rengeteg vállalat néz komoly feladatok elébe a közeljövőben, mindazonáltal az is, hogy az irányelv – gyakorlati tapasztalatok híján, még jelentősen a szürkezónában van, azonban ahogy a mondás tartja „Jobb félni, mint megijedni.”
A blogbejegyzés az IT Business cikkének átdolgozott változata.