Mi tulajdonképpen a NIS2?

A NIS jelentése: Network and Information Systems, azaz hálózati és információs rendszerek. A NIS, illetve a NIS2 irányelv ennek a biztonságáról szól. A NIS2 irányelv a kibervédelmi képességek kialakítása és erősítése érdekében előírja a hálózati és informatikai kibervédelmi eszközök megfelelő biztonsági szempontú tanúsítása rendszerének kialakítását, valamint az informatikai rendszereket használó vállalatok (az érintett vállalatok) számára az információbiztonsági rendszereik kialakításának kötelezettségét, amelynek megfelelő kibervédelmi szintjét központi hatóság általi auditokon kell tudniuk igazolni. Ehhez meghatározza a NIS2 irányelv a kibervédelmet felügyelő nemzeti hatóság jogállását és feladatkörét, a hálózati és informatikai termékek biztonsági tanúsításának szintjét és követelményeit, valamint az információbiztonsági rendszert kötelezően használó (érintett vállalatok) érintettségének követelményeit, valamint feladataikat és információbiztonsági követelményeiket.

A NIS2 megjelenéséről röviden

Az EU 2016-ban adta ki a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló irányelvét, a 2016/1148 irányelvet (a NIS irányelvet). Ez is számos előírást tartalmazott a tagállamok kiberbiztonsági koordináló testületeinek, valamint egyes kritikus infrastruktúra szektorokban lévő vállalatok biztonsága számára. A végrehajtást az egyes tagállamok különböző szinten menedzselték, ami nem hozott egységes és elfogadható eredményt.

2022-ben jelent meg az EU 2022/2555 irányelve (a NIS2 irányelv) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 2016/1148 irányelv hatályon kívül helyezéséről szóló irányelv. Ennek betartása és alkalmazása minden tagállam számára kötelező, az irányelvben meghatározott kötelezettségek átültetésével nemzeti jogszabályokba és megkövetelésével az érintett vállalatoktól.

Miért is fontos a vállalatok védelmére EU szinten központi szabályozást hozni?

Az elmúlt évtizedekben a kiberbűnözés az egyik legnagyobb bűnözési iparággá nőtte ki magát, ami nemcsak a magánembereket, de a vállalatokat is komolyan érinti. Az informatikai technológia fejlődésével és a kibertérben való fokozottabb jelenléttel a kibertámadásoknak való kitettség is egyre nagyobb. A támadások egyre kifinomultabbak, és megfelelő védekezési képesség híján bármely vállalat is könnyű célponttá válhat.

Egy-egy sikeres kibertámadás, akár a vállalat adatait szerzi meg és él vissza vele, akárcsak a vállalat informatikai rendszerét teszi működésképtelenné, végzetes következményeket is jelenthet az adott vállalatnak. De a baj ennél sokkal nagyobb is lehet, hiszen a vállalatok a beszállítói kapcsolatokon keresztül szorosan gazdaságilag kapcsolódnak egymáshoz, erősen függnek egymástól. Már a COVID idején is bebizonyosodott, hogy ha egy pl. autóipari beszállítói lánc egyik gazdasági társasága kiesik, az hosszú időre az egész beszállítói lánc működését is leállíthatja, komoly gondokat okozva az egész gazdaságban. Amikor az egyik távol-keleti nagy chipgyártó üzem leállt, akkor az egész felvevő piacon komoly gondok adódtak. Itt is ugyanez a helyzet állhat elő: ha egy fontos gazdasági ágazatban egy nagyobb vállalat működése ellehetetlenül, az akarva-akaratlan magával ránthat rengeteg más vállalatot is, azaz a dominóhatás elindul. (Ezt a jelenséget szakmailag az interdependencia elvének is nevezik.)

Amennyiben egy vállalat kibertámadás áldozatává válik, és informatikai rendszerét sikeres hackertámadás érte, annak további hatása lehet, hogy szintén nagy veszélybe kerülhet a többi megrendelői, beszállítói és partnervállalata is, amelynek informatikai rendszerébe az együttműködés keretében hozzáférések biztosítottak számára.

Ezekből következik az is, hogy a vállalatok biztonsága és kibertámadások elleni védelme nemcsak maguknak a vállalatoknak érdekük, hanem a teljes ágazatnak és gazdasági környezetnek, ahol azok a vállalatok gazdaságilag jelen vannak. Ezek a gondolatok is alátámasztják annak a legszélesebb társadalmi igényét, hogy a vállalatok számára kötelező legyen a megfelelő kibervédelmi képesség, azaz megfelelő információbiztonsági rendszer kiépítése.

A NIS2 kibervédelmi követelmények megvalósulásának hatósági felügyelete

A NIS2 kibervédelmi hatóságának Magyarországon a vállalati szférában ezt a funkciót az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága), katonai és hadiipari szférában pedig a KNBSZ (Katonai Nemzetbiztonsági Szolgálat) látja el.

A kibervédelmi hatóság feladata kettős. Egyrészt a megfelelő IKT (infokommunikációs technológiai) termékeket és szolgáltatásokat kell biztonsági szempontból minősítenie. Ez a minősítés egy termék-tanúsítási folyamat keretében történik majd, amelyeket az IKT termékek és szolgáltatások gyártóinál kell majd végrehajtani, és a minősítés magára a termékre vonatkozik.

Másrészt maguknak a vállalatoknak kell tudniuk igazolni, hogy megfelelő szintű kibervédelmi rendszerrel rendelkeznek és azt üzemeltetik. A kibervédelmi rendszerre vonatkozó megfelelési követelményeket tartalmazó végrehajtási rendelet a 7/2024. MK. rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről, amely előírja a vállalatok elektronikus információs rendszereire vonatkozó megvalósítandó konkrét kibervédelmi (informatikai biztonsági) kontrollokat.

A NIS2 követelményekben érintett szervezeteknek (amennyiben nem tartoznak a hadiipari ágazatba) kötelező beregisztrálni az SZTFH-hoz, aminek feladata a beregisztrált vállalatok kibervédelmi rendszerének felügyelete. A felügyeleti tevékenység magában foglalja (többek közt) az adott vállalatok és IT kapcsolatainak nyilvántartását, megfelelő auditorok közreműködésével a vállalatok kiberbiztonsági auditálását, és a nem megfelelő kiberbiztonsági szintű vállalatok esetén azok felszólítását az auditokon feltárt hiányok pótlására, illetve végső esetben bírságok kiszabására, egyéb szankciókra is jogosultak.

A kiberbiztonsági auditok feladatai ellenőrizni az érintett vállalat:

  • információs rendszereinek biztonsági osztályba sorolását;
  • az információs rendszerekre vonatkozó védelmi intézkedések szabályozott alkalmazását (megfelelve az adott információs rendszer védelmi besorolásának);
  • sérülékenység és behatolásvizsgálatok elvégzését;
  • kriptográfiai megfelelőség vizsgálatát;
  • szoftverfejlesztés esetén a forráskódok biztonsági vizsgálatát.