Kiberbiztonság – A NIS2 irányelvnek történő megfelelés Magyarországon – I. rész

Adatvédelem , , , ,

Ideje felkészülni az ún. NIS2 irányelv[1] követelményeire. A kiberbiztonság korábbi, EU-szintű  szabályozását váltotta fel a NIS2 irányelv, amelynek az EU-tagállamok 2024. október 18-tól kötelesek megfelelni.[2] A Magyarországon tevékenykedő, érintett szervezetekre ennél részben rövidebb határidők vonatkoznak. Az előzetes felkészülést segíti, hogy a jogalkotó már több jogszabályt is meghozott a NIS2 irányelv implementációja érdekében.

Kétrészes cikkünk első részében azt tekintjük át, hogy kikre vonatkozik a kiberbiztonság új szabályozása, illetve, hogy az érintett szervezeteknek milyen feladataik vannak. A második részben a nemmegfelelés következményeit és határidőket járjuk körül.

  1. Kiket érint a NIS2 Irányelv?

Adott állami vagy magánszervezet alapvetően három együttes feltétel megvalósulása esetén tartozik a NIS2 irányelv hatálya alá:

  • Tevékenységi kör

A NIS2 irányelv jelentősen kiszélesítette a megfelelés szempontjából lényeges ágazatok körét (az energia, szállítás, digitális infrastruktúra, stb. mellé bekerült pl. a világűr). Ezzel – értelemszerűen – a megfelelésre kötelezhető szervezetek köre is kitágult.

Továbbá a korábbi, egységes ágazati lista helyett a NIS2 irányelv bevezette a kiemelten kritikus (pl.: a világűr) és az egyéb kritikus ágazatok (pl. gyártás, digitális szolgáltatók) ágazatok közötti különbségtételt. A magyarországi implementáció zászlóshajója a Kibertantv.[3], ami kiemelten kockázatos ágazatokat és kockázatos ágazatokat különböztet meg.

  • Méret

A középvállalkozások, nagyvállalkozások lehetnek érintettek. Középvállalkozásnak minősülnek azok a vállalkozások, amelyek legalább 50 főt foglalkoztatnak, és az éves bevételük és / vagy az éves mérlegfőösszegük meghaladja az EUR 10.000.000-t. Ezzel kapcsolatban a szervezet mutatóinak vizsgálata szükséges.

Cégcsoport esetén a cégcsoport tagjainak együttes vizsgálata is felmerül. A NIS2 irányelv lehetőséget biztosít az EU-tagállamoknak, hogy figyelembe vegyék a szervezetek partnereikkel vagy kapcsolt vállalkozásaikkal szembeni függetlenségének mértékét. Nem zárható ki, hogy az egyes EU-tagállamok ezt a szempontot eltérően fogják szabályozni. Ebben az esetben viszont a több EU-tagállam területén aktív szervezeteknek várhatóan a rájuk vonatkozó legszigorúbb tagállami szabályozáshoz kell majd alkalmazkodniuk.  Jelen cikk írásakor még nincs információnk arról, hogy Magyarország ebben a vonatkozásban milyen szabályozást tervez bevezetni.

  • Működési terület

Azok a szervezetek lehetnek érintettek, amelyek az Európai Unión belül nyújtják szolgáltatásaikat vagy végzik tevékenységeiket.

Mivel nem a szervezetek székhelye számít, a NIS2 irányelv hatálya alá tartozhatnak az EU-n kívülről, de ez EU területére irányuló tevékenységet végző szervezetek is.

  • Kivételek

A NIS2 irányelv a fenti pontokban meghatározott általános szabályhoz képest számos kivételt fogalmaz meg.

Így például az egyes szervezetekre a méretüktől függetlenül vonatkozhat a megfelelési kötelezettség például akkor, ha „a szervezet által nyújtott szolgáltatás zavara jelentős hatással lehet a közvédelemre, a közbiztonságra vagy a közegészségre” vagy „a szervezet által nyújtott szolgáltatás zavara jelentős rendszerszintű kockázatot idézhet elő, különösen azokban az ágazatokban, ahol az említett zavarnak határokon átnyúló hatása lehet”. Az önbesorolást itt álláspontunk szerint nehezíti, hogy nem egyértelmű, mekkora hatás, illetve kockázat minősülne jelentősnek.

A Kibertantv. hatálya alá tartozik mérettől függetlenül az elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltatást nyújtó szolgáltató, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltató. Tehát ilyen tevékenység végzése esetén a mikro- vagy kisvállalkozás is köteles megfelelni.

  1. Mi a teendő, ha adott szervezet a NIS2 irányelv alá tartozik?
  • Besorolás

Ha adott szervezet a NIS2 irányelv hatálya alá tartozik, akkor össze kell vetnie a saját információbiztonsági kontrolljait és politikáit a NIS2 irányelvben meghatározott követelményekkel. Ezek a követelmények attól is függenek, hogy adott szervezet alapvető vagy fontos szervezetnek minősül-e.[4]

A Kibertantv. alapján az érintett szervezet köteles biztonsági osztályba sorolni az elektronikus információs rendszereket, valamint az azokon tárolt, továbbított vagy feldolgozott adatokat – „a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott szempontrendszer alapján”.[5] Bár ez a szabály 2024. január 1. óta hatályban van, egyelőre nincs tudomásunk arról, hogy megszületett volna a hivatkozott rendelet. Szempontrendszer hiányában viszont egyelőre nem lehet eleget tenni a besorolási követelménynek.

  • Intézkedések

Ezt követően az érintett szervezeteknek különböző technikai, működési és szervezeti intézkedéseket kell meghoznia, illetve kockázatmegelőzési és -kezelési, incidensbejelentési, stb. kötelezettségeket kell megfelelnie. A Kibertantv. ezt átfogóan úgy fogalmazza meg, hogy az érintett szervezet „a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról”.[6]

Az “alap”, “jelentős” vagy “magas” biztonsági osztály esetében alkalmazandó konkrét védelmi intézkedéseket szintén a fenti 2.1. pontban meghatározott miniszternek kell rendeletben meghatároznia. Mivel tudomásunk szerint még ez a rendelet sem született meg, az érintett szervezetek egyelőre az elvárt védelmi intézkedéseket sem tudják meghozni.

Mind az előzetes belső audit, mind a megfelelés elérése, mind pedig a megfelelés folyamatos fenntartása komoly felkészültséget igényel.

Bár a fenti feladatokaz az érintett szervezet maga is elvégezheti, azok ellátásába megfelelő képzettséggel és tapasztalattal bíró közreműködőt is bevonhat. Ilyen esetben a közreműködőnek is megfelelő védelemmel kell rendelkeznie.

Az érintett szervezet vezetője köteles egyebek mellett kijelölni az elektronikus információs rendszerek biztonságáért a szervezeten belüli felelőst, meghatározni e rendszerek belső felhasználókra vonatkozó szabályokat, illetve gondoskodni a munkatársak rendszeres információbiztonsági képzéséről.[7]

  • Bejelentés

Nem mellékes az sem, hogy az érintett szervezeteket bejelentési kötelezettség terheli. Magyarországon a kiberbiztonsági felügyeleti hatósági feladatokat a Szabályozott Tevékenységek Felügyeleti Hatósága („SZTFH”) látja el.

2024. január 1-én lépett hatályba a hatósági nyilvántartással kapcsolatos részletszabályokat meghatározó magyar rendelet.[8]

A cikkünk itt folytatódik.

Dr. Tivadar Krisztián

Photo credit: pexels.com

Jelen cikk kizárólag általános tájékoztatás céljából készült, nem minősül jogi tanácsadásnak, nem használható jogi szakvéleményként vagy állásfoglalásként. Bár mindent megteszünk a pontos, naprakész tájékoztatás érdekében, a cikkben szereplő információk teljessége, pontossága vagy naprakészsége vonatkozásában a jogszabályi környezet és joggyakorlat esetleges változására is tekintettel felelősséget nem vállalunk. Az itt közölt információk nem hoznak létre ügyfél-ügyvéd viszonyt a honlaplátogató-olvasó és a Tivadar Ügyvédi Iroda között. Amennyiben konkrét ügyben szeretné a segítségünket kérni, a lenti elérhetőségeken keresztül állunk szíves rendelkezésére.

 

[1] Az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló 2022/2555 irányelv

[2] Az EU-tagállamok az implementált rendelkezéseket 2024. október 17-ig kötelesek elfogadni és 18-tól pedig alkalmazni.

[3] A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény

[4] Ld. NIS2 irányelv 3. Cikkét

[5] Kibertantv. 20. § (1) bekezdés

[6] Kibertantv. 19. § (1) bekezdés

[7] Kibertantv. 19. § (6) bekezdés

[8] Az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet