1. Mi a NIS2 irányelv?
A NIS2 irányelv (Network and Information Systems Directive 2) az Európai Unió kibervédelmi szabályozásának alapvető reformja.
Célja, hogy az EU tagállamaiban egységesen magas szintű kiberbiztonsági védelmet biztosítson, és ezzel növelje a gazdaság és a társadalom ellenálló képességét a kibertámadásokkal szemben.
A NIS2 az eredeti, 2016-os NIS irányelvet váltja fel.
2. Kiket érint az irányelv?
A NIS2 jelentősen kibővíti az érintett szervezetek körét.
Nemcsak az állami és alapvető infrastruktúrát üzemeltető szervezetekre vonatkozik, hanem sok magánvállalatra is.
Érintett ágazatok például:
- Energia, közlekedés, vízellátás, egészségügy
- Digitális infrastruktúra, távközlés, adatközpontok
- Pénzügyi szektor, biztosítás
- Közigazgatás
- Élelmiszeripar, gyógyszeripar, hulladékgazdálkodás
- Digitális szolgáltatók (pl. online piacterek, felhőszolgáltatók)
A vállalatok mérete is számít: a legtöbb esetben 50 főnél nagyobb vagy 10 millió eurót meghaladó árbevételű szervezetek tartoznak az irányelv hatálya alá.
3. Fő kötelezettségek
A NIS2 célja nemcsak a reagálás, hanem a megelőzés erősítése. Ennek megfelelően az érintett szervezeteknek több új kötelezettséget is teljesíteniük kell:
a) Kockázatkezelési intézkedések
- Kiberbiztonsági kockázatok azonosítása, kezelése
- Incidenskezelési eljárások kidolgozása
- Üzletmenet-folytonossági és válságkezelési terv
- Ellátási lánc biztonságának biztosítása
- Informatikai biztonsági képzések a munkavállalóknak
b) Incidensjelentési kötelezettség
- Korai értesítés 24 órán belül, ha súlyos kiberincidens történik
- Részletes jelentés 72 órán belül
- Zárójelentés legfeljebb egy hónapon belül
c) Felelősségi és irányítási követelmények
- A vállalat vezető tisztségviselői személyesen felelnek a kiberbiztonsági megfelelésért
- A vezetőknek biztosítaniuk kell a megfelelő képzést és erőforrásokat
- A hatóságok bírságot szabhatnak ki a kötelezettségek megszegése esetén
4. Szankciók
A NIS2 alapján a tagállamok komoly pénzbírságokat vezethetnek be:
- Lényeges szervezetek esetén akár 10 millió euróig vagy az éves globális árbevétel 2%-áig,
- Fontos szervezeteknél 7 millió euróig vagy az éves árbevétel 1,4%-áig.
Ezek a GDPR-hoz hasonló, elrettentő mértékű bírságok.
5. Gyakorlati hatások a vállalkozásokra
A NIS2 gyakorlati bevezetése azt jelenti, hogy az érintett szervezeteknek:
- Felül kell vizsgálniuk informatikai rendszereiket,
- Kiberbiztonsági szabályzatokat és folyamatokat kell kialakítaniuk,
- Külső tanácsadók vagy jogászok bevonása is indokolt lehet a megfelelés biztosításához,
- A vezetők felelőssége egyértelműen megnő, így célszerű a megfelelés dokumentálása.
A NIS2 irányelv a kiberbiztonsági jog egyik legjelentősebb új szabálycsomagja az EU-ban. Nemcsak technikai, hanem jogi és vezetői felelősségi kérdés is.
Aki a hatálya alá tartozik, annak érdemes időben megtennie a szükséges lépéseket a megfelelés érdekében – ezzel nemcsak a jogszabályi kötelezettségének tesz eleget, hanem hosszú távon csökkenti a kiberkockázatait és üzleti kitettségét is.
