Érinti a cégemet a NIS2 szabályozás?

A 2016-ban életbe lépő Network and Information Systems (NIS) Directive a kritikus nemzeti infrastruktúrákba tartozó szervezetek számára írt elő biztonsági és jelentési kötelezettségeket az Európai Unión belül. A NIS 2 irányelv lépést tart a folyamatosan változó kiberbiztonsági fenyegetésekkel, és célul tűzte ki a kiberbiztonság további javítását az EU-ban. Az irányelv nevesíti azokat a szektorokat, mint például az energia-, víz-, közlekedési- és egészségügyi szektort, amelyek kritikus fontosságúak, és kitágítja az ezekben a szektorokban tevékenykedő cégekre is a kiberbiztonsági incidensek bejelentési és kezelési kötelezettségét, és célzott kiberbiztonsági intézkedéseket követel meg. A NIS2 az eddigieknél szigorúbb bírságokat és büntetéseket helyez kilátásba a szabályokat be nem tartó érintettekkel szemben.

Olyan közép és nagyvállaltokra akik az alábbi szektorok valamelyikében tevékenykednek, és több mint 50 főt foglalkoztatnak, valamit 10 millió eurónál nagyobb az éves árbevételük.

A szabályokat nem kell alkalmazni a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozásokra, kivéve, ha az érintett szervezet elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltatást nyújtó szolgáltató, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltató (rájuk viszont méretkorlát nélkül érvényes a szabályozás).

Az érintett szektorok, NIS2 kötelezettek:

• Közigazgatás
• Energetika (villamos energia, távfűtés, hűtés, kőolaj, földgáz, hidrogén)
• Közlekedés (légi-, vasúti-, közúti-, vízi-, és tömegközlekedés)
• Egészségügy
• Ivóvíz, szennyvíz
• Hírközlési szolgáltatás
• Digitális infrastruktúra
• Kihelyezett IKT szolgáltatások
• Űralapú szolgáltatás
• Postai és futárszolgálatok
• Élelmiszer előállítása, feldolgozása és forgalmazása
• Hulladékgazdálkodás
• Vegyszerek előállítása és forgalmazása
• Gyártás
• Digitális szolgáltatók (pl. Online piactér, keresőszolgáltató, domain szolgáltató)
• Kutatás
• Pénzügyi szektor
• (Honvédelmi szektor)

• A szervezetek és a rendszerek vonatkozásában az életciklusuk egészében sokkal szélesebb körben kell kockázatarányos védelmi intézkedéseket megvalósítani, mint eddig.
• A védelmi intézkedéseket a szervezet egészére és az elektronikus információs rendszerek (pl. levelező rendszer, webszerver, adattároló szakrendszer) tekintetében kell megvalósítani.
• Kiemelt feladat továbbá az incidensek megelőzése, kezelése, hatásának csökkentése, olyan intézkedések bevezetése, melyek ezt a célt szolgálják.
• A NIS2 kiterjeszti az incidensbejelentési kötelezettséget a teljes fent felsorolt ügyfélkör tekintetében.
• Az ügyfelekről és a rendszereikről nyilvántartást kell vezetni a hatóságoknak.
• A kockázatarányos védelmi intézkedéseket a hatóságok meghatározott időközönként ellenőrzik, vagy szervezetek harmadik felet bíznak meg ezzel.
• A vezetők az alábbi feladatok előtt állnak:
  • Biztonságért felelős személyt kell kijelölni
  • Szervezeti szabályozásokat el kell végezni
  • Tudatosító oktatásokat kell tartani és a tudást szinten kell tartani
• A fenyegetésekkel és sérülékenységekkel kapcsolatos információk megosztásának ösztönzése szintén lényegese eleme a szabályozásnak, melynek célja a reakcióképesség szervezetek közötti javítása.

• A honvédelmi szektor tekintetében a Katonai Nemzetbiztonsági Szolgálat látja el az incidenskoordinációs feladatot.
• Az összes többi szektor esetében elsősorban Nemzetbiztonsági Szakszolgálat (Nemzeti Kibervédelmi Intézet) keretén belül működő nemzeti CSIRT részére kell bejelenteni az incidenst.

• A jelenlegi tervezet alapján a közigazgatási szektor valamint kritikus infrastruktúraként az BM-Országos Katasztrófavédelmi Főigazgatóság által hivatalosan kijelölt szervezetek a kritikus tevékenységekben közreműködő rendszerei esetében esetén a Nemzetbiztonsági Szakszolgálat (Nemzeti Kibervédelmi Intézet), itt a jelenleg is szövegezés alatt álló új Kiberbiztonságról szóló törvény (Új Ibtv.) rendelkezésinek és kapcsolódó rendeleteknek kell majd megfelelni.
• A pénzügyi szektor esetében a Magyar Nemzeti Bank a hatóság, ahol az EU önálló szektorspecifikus rendeletet alkotott (DORA). Jelen dokumentum a pénzügyi szektorra vonatkozó kérdésekkel, annak specialitása miatt nem foglalkozik.
• A honvédelmi szektor tekintetében a Katonai Nemzetbiztonsági Szolgálat a hatóság, ahol az új Ibtv rendelkezésinek kell majd megfelelni.
• Az összes többi szektor esetében a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) került hatóságként kijelölésre, a szektorokra a 2023. évi XXIII. a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvény valamint egyéb rendeletek rendelkezési vonatkoznak (Kibertantv.)

• A hatálya alá tartozó ügyfelek esetén a jelenlegi jogszabályi környezet alapján képzettséghez és kompetenciához nem kötött a szerepkör
• Az új Ibtv. tervezete szerint a szerepkör releváns kompetenciához és tapasztalathoz kötött.

• A hatálya alá tartozó ügyfelek esetén kérelmet kell benyújtani az SZTFH felé a nyilvántartásba vételről, meg kell kezdeniük a fent is részletezett elvárásoknak való megfelelést (pl, rendszerek felmérése, védelmi intézkedések meghatározása, felelős kijelölése, auditra való felkészülés és az audit ütemezése, felügyeleti díj kifizetése stb.)
• Az új Ibtv. tervezete alapján az ügyfélkörnek folytatni kell a már korábban megkezdett tevékenységet: felül kell vizsgálni a rendszerek besorolását (biztonsági igények megállapítását, osztályba sorolását), és a rendszerek esetében meg kell majd valósítani az új kontrollokat.

A Kibertantv. és az új Ibtv közös követelményrendszert fog meghatározni miniszteri rendelet formájában, amely a jelenleg hatályos 41/2015-ös BM rendeletet hivatott leváltani. Az új követelményrendszer az NIST 800-53 rev. 5 hazai viszonyokra történő adaptációja, a korábbi rendelet egyszerűsítése, a jelenlegi kontrollcsalád frissítése, aktualizálása. Annak a szervezetnek, aki korábban már a 41/2015-ös BM rendeletnek való megfeleléssel foglalkozott (pl. az új Ibtv. hatálya alá tartozó szervezetek döntő többsége), jelentősen egyszerűbb feladata lesz az új kontrollok megállapítása tekintetében, mint annak a szereplőnek, aki most kerül a szabályozás hatálya alá.

• A ügyfeleinek a fenti követelményeknek 2024 október 18-tól meg kell felelniük.
• Az új Ibtv. ügyfeleinek a tervek szerint 2024 október 18-tól a jelenlegi elvárásrendszerről fokozatosan kell áttérni az új elvárásrendszerre.

• Az új Ibtv. ügyfeleinek a védelmi intézkedések megvalósítására kell költségeket allokálni, tehát a szervezet és a rendszerek biztonságosabbá tételéhez szükséges erőforrásszükséglet merül fel (pl. apparátus finanszírozása, tűzfalak bevezetése-üzemeltetése, szoftverek biztonsági célú frissítésének esetleges költsége, többfaktoros autentikáció bevezetése, ahol ez szükséges). A költségek többek között függenek a szervezet és a rendszerek feladataitól és komplexitásától (pl. különleges személyes adatokat tömegesen kezelő rendszer biztonságának kialakítása és fenntartása nagyobb költséggel jár, mint egy tájékoztatási célú statikus weboldalé).
• A ügyfelei részére a fentieken túl az alábbi költségelemekkel kell számolni:
  • Felügyeleti díj (jelenlegi tudomásunk szerint előző évi árbevétel max 0,015 %-a, de max. 10M Ft.)
  • A rendszerek biztonsági célú ellenőrzés, auditálás, valamint az arra történő felkészülés költsége

• A ügyfelei esetén kétévente az SZTFH által vezetett auditori jegyzékben szereplő szervezetek végzik el az ellenőrzési tevékenységet.
• Az új ügyfelek esetén az ellenőrzést a hatóság saját apparátussal oldja meg, ezért az ellenőrzésekre kapacitás függvényében, kockázatértékelést követően rendszeres időközönként (legfeljebb 2-3 évenként) kerül sor.

Jelenleg a jogszabályokban nem látszik az, hogy a NIS2-ben meghatározott szankciók alól mentesülne az erre hivatkozó ügyfél. A NIS2 alapján a bírság összegének maximuma a kiemelten kockázatos ügyfelek esetén legalább 10 000 000 EUR, és legalább éves árbevétel 2%-a.