Az Európai Unió NIS2 irányelve jelentős átalakulást hozott a kiberbiztonság szabályozása terén, kibővítve az ezzel kapcsolatban előírt tevékenységek, illetve az érintett szervezetek körét. A szigorúbb szabályozás célja a – stratégiailag fontos – digitális infrastruktúrák védelmének megerősítése és a kiberfenyegetésekkel szembeni ellenálló képesség javítása.
Az irányelv magyarországi implementálását a 2024. évi LXIX. törvény és a 418/2024. (XII. 23.)
Kormányrendelet szabályozza, az előírásoknak való megfelelést az ITSecure NIS2 felkészítés szolgáltatásának igénybevételével lehet biztosítani.
A NIS2 hatálya
A vonatkozó szabályozás két kategóriát állapít meg az érintett szervezetekkel kapcsolatban. Az alapvető stratégiai fontosságú szervezetek közé az energetika, a közlekedés, a pénzügyek, illetve a közszolgáltatások terén működő szervezetek tartoznak. Ezenkívül is vannak a jogszabály által érintett, fontos szervezetek, melyek tevékenysége jelentős gazdasági, illetve társadalmi hatással rendelkezik.
A megfeleléshez minden érintett szervezetnek szigorú kiberbiztonsági gyakorlatot kell bevezetnie, rendszeres auditot kell végrehajtania, valamint kockázatelemzési és incidensjelentési kötelezettséget kell teljesítenie.
A megfelelés biztosítása
A NIS2 irányelvnek való megfelelés a kockázatelemzéssel, a kiberbiztonsági kitettség felmérésével kezdődik, mely során azonosítani kell a rendszer gyenge pontjait, illetve javaslatot kell tenni külső szakértők bevonására a további szükséges felmérések elvégzéséhez.
Ez után következhet a szervezet kiberbiztonsági szabályzatának megalkotása, amelynek tartalmaznia kell az incidensek kezelésére vonatkozó protokollt, a jogosultságok kezelését, illetve az adatszivárgás kiküszöbölését célzó intézkedéseket.
Fontos az is, hogy a témába vágó felelősségi körök is tisztázva legyenek a szervezeten belül, ennek elemeként ki kell nevezni az információbiztonsági felelőst, aki ha van megfelelő képesítése, lehet a szervezet belső munkatársa, de a feladattal megbízható külső szakértő is.
Miután elkészült a szabályzat és implementálásra került, rendszeres auditok és tesztek elvégzése szükséges. Amennyiben valamilyen kiberbiztonsági incidens történik, akkor a hatóságokat értesíteni kell megadott határidőn belül.
A mulasztás kockázata
Az irányelv hatálya alá tartozó, de az előírásoknak nem megfelelő szervezetek szankciókra számíthatnak. Ezek közé tartozik az akár az éves bevétel 2 százalékát is elérő pénzügyi bírság, de az ügyfelek bizalmának elvesztésével és a működés korlátozásával is számolni kell.
A NIS2 irányelv betartása nem csupán törvényi kötelesség, hanem lehetőség is a digitális védelem és ezen keresztül a versenyképesség növelésére. A felkészülést érdemes minél előbb megkezdeni, aztán a védelem aktuális szintjét pedig folyamatos auditokkal ellenőrizni, hogy a szervezet biztonságosan működhessen a digitális térben is.
