NIS 2 irányelv

menu

Újabb EU-s jogszabálytervezet a NIS2 irányelv végrehajtási rendeletéről

1

A NIS2 irányelvben meghatározott megaszintű elvárások részletesebb kifejtését tartalmazza egy, a közelmúltban (2024. június 27.) megjelent jogszabálytervezet.

A tervezet egyrészt magába foglalja a magasszintű szabályokat, illetve azt, hogy mikortól számít egy biztonsági incidens jelentősnek, másrészt az adott kiberbiztonsági kockázatkezelési intézkedéseket, immár más logika szerint, mint a Kibertantv. végrehajtási rendelete.

A jogi aktus tervezettel kapcsolatban a Bizottság 4 héten át visszajelzéseket vár.

Az irányelv jelenleg a gazdaság és társadalom szempontjából kritikus ágazat közepes és nagy szervezeteire terjed ki. Az EU a NIS2 irányelv általános szövegén felül október 17-ig végrehajtási jogi aktust fogad el a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményeinek meghatározása céljából a digitális infrastruktúrák, a digitális szolgáltatók és az IKT-szolgáltatások, (vállalkozások közötti) ágazatok egyes szervezetei számára. Ez egységesítheti a tagállamonként eltérő szabályozást, ugyanakkor a már átültetett szabályozást is megzavarhatja.

Az EU részéről az irányelv 2022 végén történő elfogadása után nem sok történt jogalkotás szempontjából. Itthon 2023 májusában kihirdették a Kibertantv-t, 2024 január végén megjelent a részletes követelményeket tartalmazó rendelettervezet, ami 2024. júniusban kihirdetésre került (7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről).

Az irányelvben a kezdetekben is benne volt, hogy “az uniós jogi aktusok kiberbiztonsági rendelkezései széttagoltságának elkerülése érdekében azokban az esetekben, amikor a kiberbiztonsági kockázatkezelési intézkedésekkel és jelentéstételi kötelezettségekkel kapcsolatos további ágazatspecifikus uniós jogi aktusokra van szükség a magas szintű kiberbiztonság Unió-szerte történő biztosításához, a Bizottságnak meg kell vizsgálnia, hogy egy ezen irányelv szerinti végrehajtási jogi aktusban elő lehetne-e írni ilyen további rendelkezéseket”.

• Ez szükséges is, hiszen az EU-s irányelvet a tagállamok önállóan, az EU-s keretek közt a saját korábbi jogszabályaik és megközelítésük alapján ültették át a saját jogrendjükbe.

• Emiatt nagy különbségek is lehetnek. Ennek ellentéte a DORA rendelet, ahol először központilag, EU-s szinten alkották meg a részletszabályokat (RTS, ITS), amit átvesznek a

   tagállamok, így egységesebbek az elvárások az egyes tagállamok közt.

• Ez szükséges is, hiszen az EU-s irányelvet a tagállamok önállóan, az EU-s keretek közt

   a saját korábbi jogszabályaik és megközelítésük alapján ültették át a saját

   jogrendjükbe.

• Emiatt nagy különbségek is lehetnek. Ennek ellentéte a DORA rendelet, ahol először

   központilag, EU-s szinten alkották meg a részletszabályokat (RTS, ITS), amit átvesznek

   a tagállamok, így egységesebbek az elvárások az egyes tagállamok közt.

• Ez szükséges is, hiszen az EU-s

   irányelvet a tagállamok önállóan,

   az EU-s keretek közt a saját korábbi

   jogszabályaik és megközelítésük

   alapján ültették át a saját

   jogrendjükbe.

• Emiatt nagy különbségek is

   lehetnek. Ennek ellentéte a DORA

   rendelet, ahol először központilag,

   EU-s szinten alkották meg a

   részletszabályokat (RTS, ITS), amit

   átvesznek a tagállamok, így

   egységesebbek az elvárások az

   egyes tagállamok közt.

A hivatkozott jogszabálytervezet nem minden érintett ágazatra vonatkozik, csak a digitális infrastruktúrák, a digitális szolgáltatók és az IKT-szolgáltatások (vállalkozások közötti) ágazatok egyes szervezetei számára. 

Érintett ágazatok, alágazatok:

• DNS-szolgáltatók, a gyökérnév-szerverek üzemeltetőit kivéve

• Legfelső szintű doménnév-nyilvántartók

• Felhőszolgáltatók

• Adatközpont-szolgáltatók

• Tartalomszolgáltató hálózati szolgáltatók

• Bizalmi szolgáltatók

• Irányított szolgáltatók (Kihelyezett IKT)

• Irányított biztonsági szolgáltatók (Kihelyezett IKT biztonsági szolgáltató),

• Online piacterek szolgáltatói

• Online keresőmotorok szolgáltatói

• A közösségimédia-szolgáltatási platform szolgáltatói

• DNS-szolgáltatók, a gyökérnév-

   szerverek üzemeltetőit kivéve

• Legfelső szintű doménnév-

   nyilvántartók

• Felhőszolgáltatók

• Adatközpont-szolgáltatók

• Tartalomszolgáltató hálózati

   szolgáltatók

• Bizalmi szolgáltatók

• Irányított szolgáltatók

   (Kihelyezett IKT)

• Irányított biztonsági szolgáltatók

   (Kihelyezett IKT biztonsági

   szolgáltató),

• Online piacterek szolgáltatói

• Online keresőmotorok szolgáltatói

• A közösségimédia-szolgáltatási

   platform szolgáltatói

2

Ennek az az oka, hogy a felsorolt szolgáltatók jelentős szerepet játszanak az IT ellátási láncokban és az őket érintő biztonsági incidensek kihatnak a többi ágazat szereplőire és a lakosságra egyaránt, ezért ezeknél az ágazatoknál az EU indokoltnak látja az egységesített elvárásokat, hogy elkerüljék a tagállamok közti széttagoltságot. Ez hasznos is lehet, mert egy multinacionális vállalatnak tagállamonként nagyon eltérő szabályozásnak kellene megfelelnie.

Első ránézésre viszonylag részletes szabályozás van a követelményeket tartalmazó tervezetben (Annex – Ares(2024)4640447), ami nem áll ellentmondásban a magyar végrehajtási rendelettel, de más megközelítést alkalmaz.

Felépítését tekintve az irányelv 21. cikkében található kiberbiztonsági kockázatkezelési intézkedések hátterét bontják ki:

3

• kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;

• eseménykezelés;

• üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa

   utáni helyreállítás és válságkezelés;

• az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy

   szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;

• biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és

   karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;

• szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések

   hatékonyságának értékelésére;

• alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;

• a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és

   eljárások;

• humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;

• adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások,

   biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti

   kommunikációs rendszerek használata a szervezeten belül.

• kockázatelemzési és az informatikai

   rendszerek biztonságára vonatkozó

   szabályzatok;

• eseménykezelés;

• üzletmenet-folytonosság, például

   tartalékrendszerek kezelése,

   valamint katasztrófa utáni

   helyreállítás és válságkezelés;

• az ellátási lánc biztonsága, ideértve

   az egyes szervezetek és közvetlen

   beszállítóik vagy szolgáltatóik közötti

   kapcsolatok biztonságával

   kapcsolatos szempontokat;

• biztonság a hálózati és információs

   rendszerek beszerzésében,

   fejlesztésében és karbantartásában,

   beleértve a sérülékenységek

   kezelését és közzétételét;

• szabályzatok és eljárások a

   kiberbiztonsági kockázatkezelési

   intézkedések hatékonyságának

   értékelésére;

• alapvető kiberhigiéniai gyakorlatok

   és kiberbiztonsági képzés;

• a kriptográfia és adott esetben a

   titkosítás használatára vonatkozó

   szabályzatok és eljárások;

• humánerőforrás-biztonság,

   hozzáférés-ellenőrzési szabályzatok

   és eszközgazdálkodás;

• adott esetben többtényezős

   hitelesítési vagy folyamatos

   hitelesítési megoldások, biztonságos

   hang-, video- és szöveges

   kommunikáció, valamint biztonságos

   vészhelyzeti kommunikációs

   rendszerek használata a szervezeten

   belül.

Összegezve, ez a jogszabálytervezet a ma elvárható best practice-t tartalmazza, olyan előremutató követelményekkel, mint a tudatosság tesztelése és nem csak az oktatás lebonyolítása. Kitér arra, hogy az érintett ágazatok dolgozzanak ki folyamatokat és alkalmazzanak olyan technológiákat, amelyek által monitorozzák és logolják a hálózatukat és rendszereiket. Így nyomonkövethetik és naplózhatják az eseményeiket, észlelhetik és megfelelően kezelhetik az incidenseket. Ha a tervezet általános szövegét szeretnénk lefordítani konkrét technológiára, akkor a SIEM (SOAR), GRC szoftverek és hálózati- és hálózatbiztonsági eszközök bevezetése és alkalmazása segítheti a megfelelést.

Októbertől várható tehát, hogy a jogszabály hatással lesz a szabályozási környezetre, a hazai elvárásokra.

cropped-EURO-ONE-szines-logo.png
LinkedIn logo
YouTube logo
Facebook logo

Küldjön nekünk üzenetet

Az ‘Üzenet küldése’ gombra kattintva elfogadja az Adatkezelési és cookie tájékoztatónkat.

Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal cookie-kat használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k adatait a böngésző tárolja, és olyan funkciókat lát el, mint például felismeri Önt, amikor visszatér weboldalunkra, és segít csapatunknak megérteni, hogy a webhely mely részeit találja a legérdekesebbnek és leghasznosabbnak.