Irányelv az egész Unióban egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS2 irányelv) – Gyakori kérdések

A kiberbiztonsági irányelv – az első uniós kiberbiztonsági jogszabály – az első olyan horizontális belső piaci eszköz, amelynek célja az Unióban a hálózati és információs rendszerek kiberbiztonsági kockázatokkal szembeni ellenálló képességének javítása. Figyelemre méltó eredményei ellenére a kiberbiztonsági irányelv bizonyos korlátokat mutatott. A társadalom digitális átalakulása, amelyet a Covid19-válság súlyosbított, kibővítette a fenyegetettségi környezetet. Új kihívások jelentek meg, amelyek alkalmazkodó és innovatív válaszokat igényelnek.

A kiberbiztonsági irányelv hatásának elemzése és hiányosságainak feltárásaérdekében a Bizottság kiterjedt konzultációt folytatott az érdekelt felekkel. A Bizottság a következő főbb kérdéseket határozta meg:

• azEU-ban működő vállalkozások kiberrezilienciájának elégtelen szintje
• következetlen reziliencia a tagállamok és az ágazatok között
• a főbb veszélyek és kihívások tagállamok közötti nem megfelelő közös értelmezése
• a közös válságreagálás hiánya.

Ennek eredményeként, valamint a digitalizációból és az összekapcsoltságból eredő növekvő veszélyekre való reagálás érdekében a Bizottság 2020 decemberében felülvizsgált, időtálló szabályokra tett javaslatot, amelyek célja az Unión belüli kiberreziliencia szintjének megerősítése, amelyről a társjogalkotók 2022. május 13-án politikai megállapodásra jutottak, és 2022. november végén hivatalosan elfogadták az új irányelvet.

A Covid19-válságóta az európai gazdaság minden eddiginél nagyobb mértékben függ a digitális megoldásoktól. Az ágazatok és a szolgáltatások egyre inkább összekapcsolódnak és egymástól függenek. Ez a kiberbiztonsági fenyegetések növekvő és gyorsan változó környezetéhez vezetett: bármely – akár eredetileg egy szervezetre vagy egy ágazatra korlátozódó – zavar tágabb értelemben lépcsőzetes hatásokkal járhat, ami potenciálisan messzemenő és tartós negatív hatásokat eredményezhet a szolgáltatások nyújtásában az egész belső piacon.

A Covid19-világjárvány rávilágított arra, hogy egyre inkább egymástól függő társadalmaink kiszolgáltatottak a váratlan kockázatokkal szemben. Fokozta a hálózat- és információbiztonságról szóló jelenlegi irányelvben már felmerült kérdéseket, és katalizátorként szolgált annak felülvizsgálatához. E válságra tekintettel a kiberbiztonsági irányelv konkrét módosítása az volt, hogy az új irányelv hatályát kiterjesszék az egészségügyi ágazat konkrétabb elemeire, például a gyógyszerekkel kapcsolatos kutatási és fejlesztési tevékenységeket végző szervezetekre.

A kiberbiztonsági irányelv jogi intézkedéseket tartalmaz a kiberbiztonság általános szintjének növelésére az EU-ban annak érdekében, hogy hozzájáruljon a belső piac általános működéséhez. A hálózat- és információbiztonságról szóló irányelv alapját képező három fő pillérre épül:

1. A hálózati és információs rendszerek biztonságára vonatkozó NIS1 stratégiáraépítve a tagállamok magas szintű felkészültségének elérése érdekében a kiberbiztonsági irányelv előírja a tagállamok számára, hogy nemzeti kiberbiztonsági stratégiát fogadjanak el. A tagállamoknak továbbá ki kell jelölniük a számítógépes biztonsági incidensekre reagáló nemzeti csoportokat (CSIRT), amelyek felelősek a kockázatok és a biztonsági események kezeléséért, egy illetékes nemzeti kiberbiztonsági hatóságot és egyetlen kapcsolattartó pontot (SPOC). Az egyablakos ügyintézési pontnak összekötő funkciót kell ellátnia annak érdekében, hogy biztosítsa a tagállami hatóságok közötti határokon átnyúló együttműködést más tagállamok érintett hatóságaival, és adott esetben a Bizottsággal és az ENISA-val, valamint biztosítsa a tagállam más illetékes hatóságaival való ágazatközi együttműködést.
2. A NIS2 irányelv a tagállamok közötti stratégiai együttműködés és információcsere támogatása és megkönnyítése érdekében folytatja a kiberbiztonsági együttműködési csoportot létrehozó NIS1 keretrendszert, valamint a CSIRT-ek hálózatát, amely elősegíti a nemzeti CSIRT-ek közötti gyors és hatékony operatív együttműködést.
3. A kiberbiztonsági irányelv biztosítja, hogy a kiberbiztonsági intézkedéseket hét ágazatban hozzák meg, amelyek létfontosságúak gazdaságunk és társadalmunk számára, és amelyek nagymértékben támaszkodnak az IKT-ra, mint például az energia, a közlekedés, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az ivóvíz, az egészségügy és a digitális infrastruktúra

A tagállamok által ezekben az ágazatokban alapvető szolgáltatásokat nyújtó köz- és magánszervezeteknek kiberbiztonsági kockázatértékelést kell végezniük, és megfelelő és arányos biztonsági intézkedéseket kell hozniuk. A tagállamoknak értesíteniük kell az illetékes hatóságokat a súlyos váratlan eseményekről. Ezenkívül a kulcsfontosságú digitális szolgáltatásokat nyújtó szolgáltatóknak (digitális szolgáltatóknak vagy digitális szolgáltatóknak), például a keresőmotoroknak, a felhőalapú számítástechnikai szolgáltatásoknak és az online piactereknek is meg kell felelniük az irányelv szerinti biztonsági és értesítési követelményeknek. Ugyanakkor ez utóbbiakra úgynevezett „könnyű” szabályozási rendszer vonatkozik, amely azt vonja maga után, hogy e szervezetek nem tartoznak előzetes felügyeleti intézkedések hatálya alá.

A NIS2 irányelv jelentősen kiterjeszti az ágazatok körét, és méretküszöböt vezet be annak meghatározására, hogy mely szervezetek tartoznak a hatálya alá, és mely szervezetek kötelesek lennének bejelenteni a jelentős kiberbiztonsági eseményeket az illetékes nemzeti hatóságoknak.

A kiberbiztonsági irányelv célja, hogy orvosolja a korábbi szabályok hiányosságait, hozzáigazítsa azokat a jelenlegi igényekhez, és időtállóvá tegye azokat.

Ecélból az irányelv kiterjeszti a korábbi szabályok hatályát azáltal, hogy a digitalizáció és az összekapcsoltság fokán, valamint a gazdaság és a társadalom szempontjából alapvető fontosságú ágazatokon alapuló új ágazatokkal egészül ki azáltal, hogy egyértelmű méretküszöb-szabályt vezet be, ami azt jelenti, hogy a kiválasztott ágazatokban működő valamennyi közép- és nagyvállalkozás bele fog tartozni a hatályba. Ugyanakkor bizonyos mérlegelési jogkört biztosít a tagállamok számára, hogy azonosítsák a magas biztonsági kockázati profillal rendelkező kisebb szervezeteket, amelyekre az új irányelvben foglalt kötelezettségeknek is vonatkozniuk kell.

Az új irányelv megszünteti az alapvető szolgáltatások nyújtói és a digitális szolgáltatók közötti különbségtételt is. A szervezeteket fontosságuk alapján osztályoznák, és két kategóriába sorolnák: alapvető és fontos szervezetek, amelyekre különböző felügyeleti rendszerek vonatkoznak.

Megerősíti és egyszerűsíti a vállalkozásokra vonatkozó biztonsági és jelentéstételi követelményeket azáltal, hogy kockázatkezelési megközelítést ír elő, amely tartalmazza az alkalmazandó alapvető biztonsági elemek minimális listáját. Az új irányelv pontosabb rendelkezéseket vezet be az események bejelentésének folyamatára, a jelentések tartalmára és a határidőkre vonatkozóan.

A NIS2 továbbá az ellátási láncok és a beszállítói kapcsolatok biztonságával foglalkozik azáltal, hogy előírja az egyes vállalatok számára, hogy kezeljék az ellátási láncok és a beszállítói kapcsolatok kiberbiztonsági kockázatait. Európai szinten az irányelv megerősíti az ellátási lánc kiberbiztonságát a kulcsfontosságú információs és kommunikációs technológiák tekintetében. A tagállamok a Bizottsággal és az ENISA-val együttműködve uniós szinten koordinált biztonsági kockázatértékelést végezhetnek a kritikus ellátási láncokra vonatkozóan, az 5G hálózatok kiberbiztonságáról szóló bizottsági ajánlással összefüggésben alkalmazott sikeres megközelítésre építve.

Az irányelv szigorúbb felügyeleti intézkedéseket vezet be a nemzeti hatóságok számára, szigorúbb végrehajtási követelményeket vezet be, és célja a szankciórendszerek harmonizálása a tagállamok között.

Megerősíti továbbá az együttműködési csoport szerepét a stratégiai politikai döntések kialakításában, és növeli az információmegosztást és a tagállami hatóságok közötti együttműködést. Emellett fokozza a CSIRT-hálózaton belüli operatív együttműködést, és létrehozza az európai kiberválság-kapcsolattartó hálózatot (EU-CyCLONe) a nagyszabású kiberbiztonsági események és válságok összehangolt kezelésének támogatása érdekében.

ANIS2 emellett alapvető keretet hoz létre a felelős kulcsszereplők bevonásával az újonnan felfedezett sebezhetőségek EU-szerte történő összehangolt közzétételére vonatkozóan, és uniós sebezhetőségi adatbázist hoz létre az IKT-termékek és IKT-szolgáltatások nyilvánosan ismert sebezhető pontjaira vonatkozóan, amelyet az uniós kiberbiztonsági ügynökség (ENISA) működtet és tart fenn.

A NIS2 a következő ágazatok szervezeteire terjed ki:

Nagy kritikusságú ágazatok: energia (villamos energia, távfűtés és távhűtés, olaj, gáz és hidrogén); közlekedés (légi, vasúti, vízi és közúti) bankügyletek; pénzügyi piaci infrastruktúrák; egészségügy, beleértve a gyógyszeripari termékek gyártását, beleértve az oltóanyagokat is; ivóvíz; szennyvíz; digitális infrastruktúra (internetcsere pontok; DNS-szolgáltatók; TLD névjegyzékek; felhőalapú számítástechnikai szolgáltatók; adatközpont-szolgáltatók; tartalomszolgáltató hálózatok; megbízható szolgáltatók; nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók; IKT-szolgáltatások kezelése (menedzselt szolgáltatók és felügyelt biztonsági szolgáltatók), közigazgatás és űrkutatás.

Egyéb kritikus ágazatok: postai és futárszolgálat; hulladékgazdálkodás; vegyi anyagok; élelmiszerek; orvostechnikai eszközök, számítógépek és elektronika, gépek és berendezések, gépjárművek, pótkocsik és félpótkocsik és egyéb szállítóeszközök gyártása; digitális szolgáltatók (online piacterek, online keresőprogramok és közösségi hálózati szolgáltatási platformok) és kutatási szervezetek.

A biztonsági és biztonsági események bejelentésére vonatkozó jelenlegi szabályok értékelése azt mutatta, hogy egyes esetekben a tagállamok jelentősen eltérő módon hajtották végre ezeket a követelményeket. Ez további terhet rótt a több tagállamban működő vállalatokra.

Továbbá a kiberbiztonsági követelmények tekintetében biztosak akarunk lenni abban, hogy minden vállalat a kiberbiztonsági kockázatkezelési politikáiban a szükséges alapvető elemeket kezeli.

Ezért a NIS2 10 kulcsfontosságú elemet tartalmaz, amelyeket minden vállalatnak kezelnie vagy végrehajtania kell az általuk hozott intézkedések részeként, beleértve az incidensek kezelését, az ellátási lánc biztonságát, a sebezhetőség kezelését és nyilvánosságra hozatalát, a kriptográfia használatát és adott esetben a titkosítást.

Ami az események bejelentésétilleti, meg kell találnunk a megfelelő egyensúlyt aközött, hogy gyors bejelentésre van szükség az események esetleges terjedésének elkerülése érdekében, és hogy mélyreható jelentéstételre van szükség az egyes eseményekből levont értékes tanulságok levonása érdekében. Az új irányelv többlépcsős megközelítést irányoz elő az események bejelentésére vonatkozóan. Az érintett vállalkozásoknak 24 órájuk van attól az időponttól számítva, amikor először tudomást szereznek egy eseményről, hogy korai figyelmeztetést nyújtsanak be a CSIRT-nek vagy az illetékes nemzeti hatóságnak, amely lehetővé tenné számukra, hogy segítséget kérjenek (iránymutatás vagy operatív tanácsadás a lehetséges mérséklési intézkedések végrehajtásához), ha kérik. A korai figyelmeztetést az eseményről való tudomásszerzéstől számított 72 órán belül, a zárójelentést pedig legkésőbb egy hónappal később kell bejelenteni.

Az új kiberbiztonsági irányelv a felügyeletet és a végrehajtást helyezi az illetékes hatóságok feladatainak középpontjába, és koherens keretet határoz meg a tagállamok valamennyi felügyeleti és végrehajtási tevékenységéhez.

A hatékony megfelelést biztosító felügyelet megerősítése érdekében a NIS2 meghatározza azon felügyeleti eszközök minimális listáját, amelyeken keresztül az illetékes hatóságok felügyelhetik az alapvető és fontos szervezeteket. Ezek közé tartozik a rendszeres és célzott ellenőrzések, a helyszíni és a helyszínen kívüli ellenőrzések, az információkérés, valamint a dokumentumokhoz vagy bizonyítékokhoz való hozzáférés.

Ezen túlmenően az új irányelv különbséget tesz az alapvető és a fontos szervezetek felügyeleti rendszerei között annak érdekében, hogy biztosítsa a kötelezettségek méltányos egyensúlyát mind a szervezetek, mind az illetékes hatóságok számára.

Ami a végrehajtást illeti, a tagállamok mindeddig általánosan vonakodtak attól, hogy szankciókat alkalmazzanak azokra a szervezetekre, amelyek nem vezettek be biztonsági intézkedéseket vagy nem jelentettek be biztonsági eseményeket. Ez negatív következményekkel járhat a szervezetek kiberrezilienciájára nézve. A végrehajtás hatékonysága érdekében az új irányelv Unió-szerte egységes szankciókeretet hoz létre. Ezért megállapítja a kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségek megsértése esetén alkalmazandó közigazgatási szankciók minimumlistáját. Ezek a szankciók magukban foglalják a kötelező érvényű utasításokat, a biztonsági ellenőrzés ajánlásainak végrehajtását, a biztonsági intézkedések összhangba hozását a hálózat- és információbiztonsági követelményekkel, valamint közigazgatási bírságokat. A közigazgatási bírságok tekintetében az új kiberbiztonsági irányelv különbséget tesz az alapvető és a fontos szervezetek között. Az alapvető szervezetek tekintetében előírja a tagállamok számára, hogy írjanak elő bizonyos szintű közigazgatási bírságokat, nevezetesen legalább 10 000 000 EUR-t vagy az előző pénzügyi év teljes éves világméretű forgalmának 2%-át, attól függően, hogy melyik a magasabb. A fontos szervezetek tekintetében a NIS2 előírja a tagállamok számára, hogy legalább 7 000 000 EUR összegű pénzbírságot írjanak elő, vagy az előző pénzügyi év teljes éves világméretű forgalmának legalább 1,4%-át, attól függően, hogy melyik a magasabb.

Végrehajtásihatáskörük gyakorlása során az illetékes hatóságoknak kellően figyelembe kell venniük az egyes esetek sajátos körülményeit, mint például a jogsértés jellegét, súlyosságát és időtartamát, az okozott kárt vagy az elszenvedett veszteségeket, a jogsértés szándékos vagy gondatlan jellegét.

A kiberbiztonsági intézkedések szervezeti szintű tényleges elszámoltathatóságának biztosítása érdekében a NIS2 rendelkezéseket vezet be az új kiberbiztonsági irányelv hatálya alá tartozó szervezetekben felsővezetői pozíciókat betöltő természetes személyek felelősségére vonatkozóan.

Az új szabályok javítják azt a módot, ahogyan az EU megelőzi, kezeli és reagál a nagyszabású kiberbiztonsági eseményekre és válságokra. Ezt egyértelmű felelősségi körökkel, megfelelő tervezéssel és fokozott uniós együttműködéssel teszik. A NIS2 előírja a tagállamok számára, hogy jelöljenek ki a kiberválságok kezeléséért felelős nemzeti hatóságokat, vezessenek be nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre vonatkozó nemzeti terveket, valamint létrehozzák az európai kiberválság-kapcsolattartó szervezet hálózatát (EU-CYCLONe) a nagyszabású kiberbiztonsági események és válságok operatív szintű összehangolt kezelésének támogatása érdekében. Ez a hálózat kulcsfontosságú elem, amely hozzájárul a Bizottság által 2017-ben felvázolt, a nagyszabású biztonsági eseményekre és válságokra való összehangolt reagálásról szóló ajánlással felvázolt uniós kiberválság-kezelési keret létrehozásához.

Az alapvető és fontos szervezetek főszabály szerint a letelepedésük helye szerinti tagállam joghatósága alá tartoznak. Ha a szervezet egynél több tagállamban telepedett le, e tagállamok mindegyikének joghatósága alá kell tartoznia. E tagállamok illetékes hatóságainak együtt kell működniük, kölcsönös segítséget kell nyújtaniuk egymásnak, és adott esetben közös felügyeleti intézkedéseket kell végrehajtaniuk. Számos kivétel van e szabály alól:

• a nyilvános elektronikus hírközlő hálózatok szolgáltatói vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtói azon tagállam joghatósága alá tartoznának, ahol szolgáltatásaikat nyújtják.
• a közigazgatási szervek az őket létrehozó tagállam joghatósága alá tartoznának.
• bizonyos típusú szervezetek annak a tagállamnak a joghatósága alá tartoznának, amelyben fő telephelyük van az Unióban. Ezek közé tartoznak a doménnévrendszer-szolgáltatók, a felső szintű doménnév-nyilvántartások, a domainnév-nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőalapú számítástechnikai szolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, a felügyelt szolgáltatók, a felügyelt biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségi hálózati platformok szolgáltatói. Ennek célja annak biztosítása, hogy az ilyen szervezetek ne szembesüljenek számos különböző jogi követelménnyel, mivel különösen nagy mértékben nyújtanak határokon átnyúló szolgáltatásokat. A hatékony felügyelet érdekében a tagállamok megkövetelik az ilyen típusú szervezetektől, hogy tájékoztassák többek között a szervezet fő telephelyéről és egyéb uniós jogi telephelyeiről, vagy ha nem az Unióban telepedtek le, a szervezet képviselőjének kijelölésének helyét. Az ENISA-nak létre kellene hoznia és vezetnie kellene egy nyilvántartást, amely tartalmazza a tagállamok által ezen az alapon szolgáltatott információkat.

Az uniós együttműködés azáltal valósul meg, hogy lehetővé teszi a tagállamok számára, hogy közösen lépjenek fel, és kezeljék a folyamatban lévő digitális átalakulás által jelentett biztonsági kockázatokat.

Konkrétabban, a tagállamok közösen felügyelhetik az uniós szabályok végrehajtását, és kölcsönösen támogathatják egymást a határokon átnyúló visszaélések esetén, strukturáltabb párbeszédet folytathatnak a magánszektorral, és koordinálhatják a belső piacon értékesített szoftverek és hardverek sebezhetőségének feltárását. Koordinált módon is képesek lesznek az új technológiákhoz kapcsolódó biztonsági kockázatok és fenyegetések felmérésére, amint azt az 5G-vel először tették.

A tagállamok az uniós együttműködésre támaszkodnak annak érdekében, hogy a hatóságok közötti személyzeti csere és szakértői értékelések révén javítsák a nemzeti képességeket. A meglévő csoportok, nevezetesen a nemzeti kiberbiztonsági hatóságokat tömörítő együttműködési csoport és a számítógépes biztonsági eseményekre reagáló csoportok hálózata (CSIRT) mind stratégiai, mind pedig technikai szinten hozzájárulnak az együttműködés előmozdításához.

A NIS2 irányelv szorosan kapcsolódik két másik kezdeményezéshez, a kritikus fontosságú szervezetek rezilienciájáról szóló irányelvvel és a pénzügyi szektor digitális működési rezilienciájáról szóló rendelettel (a digitális működési rezilienciáról szóló törvény, DORA).

A NIS 2 és a kritikus fontosságú szervezetek rezilienciájáról szóló irányelv (CER-irányelv) hatályát nagymértékben összehangolták annak biztosítása érdekében, hogy a kritikus fontosságú szervezetek fizikai és kiberrezilienciájával átfogó módon foglalkozzanak. A CER-irányelv értelmében kritikus fontosságú szervezetként azonosított szervezetek a NIS2 irányelvben foglalt kiberbiztonsági kötelezettségek hatálya alá is tartoznak. Ezenkívül a CER-irányelv és a NIS2 irányelv szerinti illetékes nemzeti hatóságoknak rendszeresen együtt kell működniük és rendszeresen meg kell osztaniuk egymással a releváns információkat, például a kockázatokra, a kiberfenyegetésekre és biztonsági eseményekre, valamint a nem kiberkockázatokra, fenyegetésekre és biztonsági eseményekre vonatkozóan. A NIS2 keretében működő együttműködési csoportnak rendszeresen, de legalább évente egyszer össze kell ülnie a kritikus fontosságú szervezetek rezilienciájával foglalkozó, a CER-irányelv alapján létrehozott csoporttal.

Ami a pénzügyi ágazatot illeti, míg az új kiberbiztonsági irányelv a hatálya alá tartozó hitelintézetekre, kereskedési helyszínek működtetőire és központi szerződő felekre is kiterjed, a DORA ezekre a szervezetekre a kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségek tekintetében fog vonatkozni. Ugyanakkor fontos fenntartani a pénzügyi szektor és a NIS 2 hatálya alá tartozó egyéb ágazatok közötti információcsere szoros kapcsolatát. E célból a DORA keretében a pénzügyi szektor európai felügyeleti hatóságai és a pénzügyi ágazat illetékes nemzeti hatóságai részt vehetnek a hálózat- és információbiztonsággal foglalkozó együttműködési csoport megbeszélésein. Ezenkívül a DORA illetékes hatóságai konzultálhatnak és megoszthatják a releváns információkat a NIS2 keretében létrehozott egyedüli kapcsolattartó pontokkal és CSIRT-ekkel. Az illetékes hatóságok, az egyablakos ügyintézési pontok vagy a NIS2 keretében létrehozott CSIRT-ek szintén megkapnák a DORA szerinti illetékes hatóságoktól a jelentős IKT-vonatkozású biztonsági események részleteit. Ezenkívül a tagállamoknak továbbra is be kell vonniuk a pénzügyi ágazatot kiberbiztonsági stratégiáikba, és a nemzeti CSIRT-ek tevékenységeik során a pénzügyi szektorra is kiterjedhetnek.

A tagállamoknak 2024. október 17-ig (a NIS2 hatálybalépésétől számított 21 hónap) kell átültetniük az irányelvet. A Bizottságnak ezt követően rendszeresen felül kell vizsgálnia az irányelv működését, és erről először 2027. október 17-ig kell jelentést tennie a Parlamentnek és a Tanácsnak.