Az idei év egyik legmeghatározóbb eseménye biztonsági szempontból az EU új kiberbiztonsági irányelvének az ún. NIS2-nek a tagállami jogrendbe való átültetése. Ennek a vitaindító cikknek az a célja, hogy a Detektor olvasóit megismertessük azokkal az alapvető tudnivalókkal, amelyek ahhoz szükségesek, hogy a témáról az elkövetkező időszakban e lap hasábjain érdemi vitát folytathassunk. Megvitathassuk azt, hogy a szűkebb szakmánkat hogyan érintik ennek a direktívának a rendelkezései. A témát Lackó Gábor az Aspetis Kft ügyvezetője vázolja olvasóinknak.
Érintik-e egyáltalán? Ha igen, akkor kiket? Mire kell felkészülniük az érintetteknek? Hol tart a jogalkotás folyamata? Hogyan változik meg a biztonsági vezetők munkája? Milyen hatással lesz az alkalmazott technológiákra? Ez csak néhány azon kérdések közül, amelyek a leggyakrabban felmerülnek, ha valahol ez a téma szóba kerül. Márpedig azt tapasztalhatjuk, hogy igencsak megnőtt az érdeklődés. 1 éve még csak alig néhányan hallottak a NIS2-ről, ma viszont bármelyik komolyan vehető biztonságtechnikai, vagy IT konferencia elmaradhatatlan témája. Az idei MBF konferencia például egy egész napot szentel ennek a témának a körüljárására. Ennyi bevezető talán elég volt arra, hogy felkeltsük az érdeklődést, vágjunk is bele!
Mi is az a NIS2?
Talán célszerű mindjárt az elején a direktíva, más néven irányelv fogalmát tisztázni. Az irányelv egy olyan jogalkotási aktus, amely kötelezően elérendő célokat tűz ki a tagállamok számára és megad hozzá egyfajta keretrendszert. Az egyes tagországok azonban saját maguk dolgozzák ki azokat a törvényeket, amelyek meghatározzák, hogyan fogják megvalósítani a kitűzött célokat. Ami először feltünhet a gyanútlan olvasónak, az talán a betűszó mögötti 2-es szám. Nem kell hozzá túl éles logika, hogy ahol kettes van, ott lennie kell egyesnek is. És ez így is van! De mielőtt erre rátérnénk, nézzük meg a magának a NIS-nek a jelentését. Ez a “Network and Information Security Directive”, azaz a hálózati és informácó biztonsági direktíva rövidítése. Még pontosabban az Európai Parlament és Tanács 2022/2555. számú irányelve, amely az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szól. Módosítja a 910/2014/EU rendeletet valamint az (EU) 2018/1972 irányelvet és egyúttal hatályon kívül helyezi az (EU) 2016/1148 irányelvet. Ez utóbbi tulajdonképpen a NIS1 a jelenleg még érvényben lévő direktíva.
A NIS1 célja a kiberbiztonsági képességek az Unió egészében történő kiépítése, a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtására használt hálózati és információs rendszerek fenyegetettségeinek mérséklése és az említett szolgáltatások folyamatosságának biztosítása az események során, hozzájárulva ezzel az Unió biztonságához, valamint gazdaságának és társadalmának hatékony működéséhez. A NIS1 pozitív hatása volt, hogy hozzájárult az EU kiberrezilienciájának növeléséhez, jó hatással volt a gondolkozásmód változására, intézményi keretet adott a nemzetek hálózati- és információs rendszereinek biztonsága növeléséhez, hozzájárult az uniós szintű együttműködéshez.
Azonban az irányelv felülvizsgálata megmutatta annak hiányosságait és nem találta megfelelőnek a jövő kihívásainak kezelésére. A tagállamok között nagy különbség alakult ki a kiberellenállóság tekintetében, mivel a jogszabály tág teret kínált az alkalmazásra és az ellenőrzésre egyaránt. Ez jelentős veszélyforrás mivel ezek a szolgáltatások gyakran túlnyúlnak az országhatárokon. Mivel ezek a rendszerek a mindennapok részévé váltak, ezzel együtt nőtt a kiberfenyegetettség, veszélybe kerülhetnek a gazdasági társaságok, a pénzügyi rendszer és a kritikus infrastruktúrák egyaránt. A 2022 februárjában kitört Orosz-Ukrán háború katalizátorként hatott és felgyorsította a direktíva elfogadását amelyre 2022. december 5-én került sor. Az Európai Unió Hivatalos Lapjában 2022.december 14-én jelent meg a direktíva elfogadott szövege.
Az irányelv fő célja, hogy magas szintre emelje, egyben egységesítse a tagállamok kibervédelmét. Ennek érdekében: – minimumszabályokat állapít meg egy összehangolt keret működésével kapcsolatban, – a tagállamok felelős hatóságai között hatékony együttműködési mechanizmusokat határoz meg, – frissíti a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listáját, – hatékony jogorvoslatot és végrehajtási intézkedéseket biztosít.
Kik tartoznak a hatálya alá?
Amíg a NIS1-be egy viszonylag szűk csoport tartozott, elsősorban az online piactér szereplői, internet szolgáltatók, web áruházak üzemeltetői, távközlési szolgáltatók, addig a NIS2 jelentősen kibővíti az érintett szervezetek körét. Bevezet egy ún. méretkorlátot, vagy méretküszöb-szabályt, amely azt mondja ki, hogy minden olyan szervezetre vonatkozik a NIS2, amely
- középvállalkozásnak minősül a 2003/361/EK bizottsági ajánlás mellékletének 2. cikke alapján, vagy meghaladja azt. Ez az 50 főnél nagyobb létszámú és 10millió EUR-t meghaladó forgalmú
- beletartozik az előírt ágazatokba
- az irányelv hatálya alá tartozó szolgáltatást nyújt
- olyan kis-, vagy mikrovállalkozások, amelyek kulcsszerepet töltenek be a társadalomban
A nemzetbiztonság, bűnüldözés, védelem és a közbiztonság nem tartoznak a NIS2 hatálya alá, rájuk más – adott esetben szigorúbb szabályozás vonatkozik. Az atomerőmű egy érdekes terület, mert ott vannak olyan részei, melyekre a NIS2, míg más részeire a nemzetbiztonsági vonatkozásai miatt más szabályozás érvényesül.
A direktíva megkülönböztet alapvető-, és fontos szervezeteket attól függően, hogy az ágazat, vagy a nyújtott szolgáltatások mennyire kritikusak.
A teljesség igénye nélkül felsorolunk néhány ágazatot, amelyek a NIS2 hatálya alá fognak tartozni:
- Energiaellátás
- Közlekedés
- Egészségügy
- Digitális infrastruktúrák
- Posta, futárszolgálatok
- Elektronikai gyártás
- Járműgyártás
- Élelmiszer előállítás és forgalmazás
Menetrend
Amint már korábban volt róla szó, 2022.december 05-én fogadták el a NIS2 végleges szövegét. A tagállamok számára 21 hónapot ad arra, hogy a saját jogrendjükbe átültessék a direktívát. Ennek a határideje 2024. október 17, így az új jogszabályoknak október 18-án kell hatályba lépniük. Ezzel egyidőben ugyanilyen dátummal a NIS1 hatályát veszti. Amint látható jelenleg a törvény előkészítési szakaszában járunk, de vészesen közeleg a bevezetés dátuma, alig több, mint fél év van hátra az indulásig. Október 18-tól pedig akár szankcionálni is lehet azokat a szervezeteket, amelyek nem tesznek elget a törvénynek. A gyakorlatban természetesen ez nem egy reális forgatókönyv, de mindenesetre ezzel is számolni kell.
Felügyelet, szankciók
Egy törvény be nem tartása természetesen szankciókat von maga után, így van ez a NIS2 esetében is. A szankciók a figyelmeztetés, eltiltás, illetve bírság lehetnek. Az érintett szervezeteknek auditáltatniuk kell majd magukat, melyet kétévente meg kell újítani. Bár még nincs végleges jogszabály, a dolgok mai állása szerint a felügyeletet az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) fogja gyakorolni. Hozzájuk kell majd bejelentkezni és kérni a nyilvántartásba vételüket az érintett cégeknek. Szintén ők veszik majd nyilvántartásba az auditorokat. Az első kiberbiztonsági auditot 2025 december 31-ig kell lefolytatni.
A NIS2 kapcsán sokszor a legfontosabb változásként a jelentős büntetési tételeket szokták említeni és a sokkal szélesebb alanyi hatályt. Így elsőre és távolról kézenfekvően merülhet fel a GDPR-ral való összevetés, hogy azt is viszonylag könnyen vette a világ, így itt is majd „magától” alakul. Azonban az IT oldaláról megközelítve fontos különbség, hogy a GDPR az adatbiztonsági kontrollokat csak rendkívül általánosan, leginkább a célok szintjén kezeli. Ezzel szemben a NIS2 jogszabályi szinten pontosan meghatározza azokat a területeket, ahol kockázatokkal arányos mértékben gondoskodni kell a kiberbiztonságról. Értő szem számára a használt nyelvezet alapján nem kérdés, hogy az előírásoknak való megfelelés a teljes IT-biztonsági szabályozói apparátust és arzenált igényelni fogja: egyfajta ISO27001 upgrade. Mivel a nap végén az összes már meglévő szabvány, jó gyakorlat, így vagy úgy kapcsolódik, a kontrollok párosíthatók. A különbség a hangsúlyokban és a struktúrában van.
IT business.hu
A kiberbiztonság kapcsán Alföldi Judit, a Tigra Kft. információbiztonsági üzletág vezetője három fontos hangsúlybeli változást emel ki: – a biztonsági incidensek az életünk részei, a megelőzés mellett az észlelés, reakció és helyreállítási képességek fejlesztése kiemelten fontos; – a kockázatok mérlegelésénél fokozottan figyelembe kell venni a tényleges támadói motivációkat, képességeket, a felkészült támadókkal is számolni kell; – a kiberbiztonsági kockázatokat a szállítókra kiterjesztve kell értékelni.
Összefoglalás
Cikkünkben igyekezttünk a legfontosabb tudnivalókat megosztani a NIS2-vel kapcsolatban. Természetesen a végleges szabályozás a törvény kihirdetését követően lép életbe és akkor fogjuk látni a NIS2 valódi magyarországi megvalósítását. Azt fontos hangsúlyozni, hogy a direktíva a minimum követelményeket határozza meg, de az egyes tagországok dönthetnek úgy, hogy bizonyos részterületeken szigorúbb szabályozást vezetnek be. Az viszont tény, hogy az érintetteknek már most érdemes elkezdeni a felkészülést és számba venni, hogy a saját szervezetük milyen állapotban van.
Mit érdemes majd kifejteni a Detektor következő számaiban? Azt mindenképpen, hogy lesz-e és ha igen, pontosan milyen hatása a biztonságtechnikára? Milyen feladataik lesznek a biztonsági vezetőknek? Hogy fog kinézni egy audit? Hogyan fogja mindez érinteni a forgalmazó, illetve az integrátor cégeket? Ha átadnak egy rendszert arról kell-e majd NIS2 tanúsítványt adniuk? Számtalan izgalmas kérdés és ahogy megyünk előre a témával biztos sok új kérdés is felmerül majd. Egy biztos: a határidők közelednek és a kiberbiztonság kérdése egyhamar nem fog lekerülni a napirendről, sőt valószínűleg egyre fontosabb lesz.
Laczkó Gábor
