Egységes európai kiberbiztonság alakulóban

Az Európai Unió már 2016-ban elfogadta a Network and Information Security (NIS) első verzióját, ám a GDPR-rel szinte egy időben elfogadott irányelv gyakorlati alkalmazása nem érte el a kívánt hatást. Ezért döntöttek úgy az európai törvényhozók, hogy frissítik ezt az irányelvet.

A NIS1 módosításán még 2021-ben elkezdtek dolgozni a jogalkotók, az Ipari, Kutatás és Energia Bizottság 2021. október 28-án fogadta el róla a jelentését és előírta az EU-s intézmények közötti tárgyalásokat a szövegezésről. Az Európai Tanács 2021. december 3-án fogadta el a saját verzióját, azonban az egyeztetett, de nem végleges verzió 2022. május 13-án született meg. A szöveget ezután formálisan el kell fogadniuk a különböző EU-s szervezeteknek, kihirdetését követően a tagállamoknak 21 hónapjuk lesz a helyi implementálásra.

A nagyvállalatokra terjed ki

Az irányelv végleges szövegezésére még várni kell ugyan, de az látszik, hogy sokkal pontosabban meghatározza azokat a szervezeteket, melyekre érvényes lesz. Az EU-s jogalkotók a nagyvállalatokat szeretnék kiberbiztonság szempontjából biztonságosabbnak látni, ugyanakkor ők elég erősek ahhoz, hogy az irányelvben foglaltakat teljesíteni tudják. A direktíva ugyanis azokra a szervezetekre lesz érvényes, akik több mint 250 alkalmazottat foglalkoztatnak, és éves bevételük meghaladja a 10 millió eurót. Számítások szerint közel százezer, Európa területén tevékenykedő szervezetet érint.
A NIS1-hez képest jelentősen bővítették azokat a szektorokat, melyekre érvényes lesz a direktíva. A bírság a NIS2 alá eső vállalatok számára ugyancsak hasonlóan tetemes összeg, mint ahogy azt a GDPR tekintetében megszokhattuk: a vállalat éves bevételének 2 százaléka vagy 10 millió euró. Ez is jelzi, hogy komolyan gondolja a törvényalkotó a kiberbiztonság megerősítését.

Jelentési kötelezettség, személyes felelősség

Szakértők szerint a NIS2 azért lesz érdekes irányelv, mert EU-s szinten igyekszik még jobban harmonizálni a kibervédelem területét. A tagállamok ez irányú szabályozása sokkal töredezettebb, mint ahogy az adatvédelem szempontjából volt. Külön jogszabályok foglalkoznak a kérdéssel, amik adott esetben különböző biztonsági sztenderdeket írnak elő, illetve különböző vállalatokra, szervezetekre terjednek ki. Magyarul, ahány ország, annyi féle szintű és erősségű a kibervédelem. A NIS2 egy irányelv, ami azt jelenti, hogy a helyi jogalkotásba be kell építeni, de tartalmaz egy precíz felsorolást, mely előírja, hogy konkrétan milyen új szervezetekre terjed ki. 

Az érintett szervezeteknek belső kiberbiztonsági auditot ír elő az irányelv, de több technológiai és szervezeti változtatással emelnék a szervezetek kibervédelmi szintjét. 

Például, a GDPR-hoz hasonlóan, kiberbiztonsági incidens esetén jelentési kötelezettséget ír elő az újonnan bekerült szervezetekre is. De szerencsére, ebben is eléggé rugalmas. A kiberbiztonsági esemény elején, amikor a vállalat épp csak hogy tudomást szerzett az incidensről, nincs meg minden információ. Ezért az irányelv tervezete kétfázisú bejelentést tenne lehetővé: ha egy szervezetet kibertámadás ér, akkor 24 órán belül ezt jelentenie kell a hatóságoknak, majd 72 órán belül kiegészítheti ezt a bejelentést. Tehát van a szervezetnek két napja, amikor lehetőség adódik vizsgálni az incidens eredetét, hogy az milyen adatokat érintett, milyen intézkedéseket tudnak tenni.

Az irányelv tervezete bevezetné a vezetők, menedzserek személyes felelősségét kiberbiztonság tekintetében. 

Ez azt jelenti, hogy vezetői szinten a kiberbiztonsági felelősségvállalás el tud terjedni, ami azt jelenti, hogy sokkal biztonságtudatosabban vezetik majd szervezetüket a menedzserek. Továbbá a kockázatelemzés témakörét is bevezeti az irányelv, ami például az ellátási lánc kapcsán komoly veszteségeket előzhet meg. A kockázatelemzésnek tartalmaznia kell egy tervet arra vonatkozóan, hogy hogyan előzzük meg az incidenseket, hogyan válaszoljunk azokra – ami újból a biztonságtudatosság növekedését hozza magával.
Szakértők nem tartják feltétlenül szerencsésnek, hogy az irányelv tervezete csak a nagyobb vállalatok számára írná elő a kibervédelem erősítését, hiszen a kkv-k is hasonló módon sérülékenyek egy-egy támadással szemben, ők is az ellátási lánc fontos szereplői. A szándék nyilvánvaló, a jogalkotó nem kívánta terhelni az erőforrás szűkében lévő kis- és közepes cégeket. Az viszont előfordulhat, hogy hiába nem érvényes a beszállítóra a NIS2 irányelv, szerződéses nagy partnere megköveteli tőle a benne foglaltak teljesítését. Így az emelt szintű kiberbiztonsági intézkedések a kisebb vállalatokhoz is leszivárognak, ami tovább növeli a kiberbiztonság szintjét.

A NIS2 hatálya alá eső szektorok

A nélkülözhetetlen és fontos szervezetek számára kötelező a NIS2. A nélkülözhetetlen szervezetek az irányelv szerint a következő szektorokban működnek: energia, szállítás, bank, pénzügyi piacok infrastruktúrája, egészségügy (beleértve a gyógyszergyárakat is), ivóvíz-szolgáltatók, csatornázási művek. A digitális infrastruktúra szolgáltatókra is érvényes (DNS szolgáltatók, TLD név regisztrátorok, felhő szolgáltatók, adatközpontok, tartalomszolgáltatók, elektronikus kommunikációs szolgáltatók, köz kommunikációs hálózatok), valamint a közigazgatási szervekre és az űripari vállalatokra is.
A fontos szervezetek közé tartoznak a következő szektorban tevékenykedő cégek: postai és futár szolgáltatások, hulladékkezelés, vegyipar, élelmiszergyártás, orvosi eszközök gyártása, számítástechnikai eszközök gyártása, nehézgépek gyártása, autóipar és digitális szolgáltatók (online piacterek, online keresők, közösségi média platformok).