iStock photo Getty images Plus
A szabályok biztonságosabb és erősebb Európát biztosítanak azáltal, hogy jelentősen bővítik a hatálya alá tartozó ágazatokat és entitástípusokat, és megerősítik a vállalatokra vonatkozó biztonsági követelményeket.
A közelmúltbeli fenyegetések fokozták annak szükségességét, hogy a polgárok és a vállalkozások védelme érdekében gyorsan és közösen fokozzák az EU kiberbiztonságát. Az is alapvető fontosságú, hogy a kritikus ágazatok és infrastruktúrák továbbra is biztonságosak és reziliensek maradjanak. E kihívások kezelése révén a második kiberbiztonsági irányelv felváltja a hálózati és információs rendszerek biztonságára vonatkozó szabályokat (kiberbiztonsági irányelv), amelyek az első uniós szintű kiberbiztonsági jogszabályok voltak, amelyek számos tagállamban lehetővé tették a kiberbiztonság innovatívabb szabályozási megközelítését.
További kulcsfontosságú ágazatok védelme
Bizonyos ágazatok fokozott összekapcsolása és digitalizációja több kiberfenyegetéshez vezet. Annak biztosítása, hogy több ágazatnak és szervezetnek kell kiberbiztonsági kockázatkezelési intézkedéseket hoznia, növelni fogja a kiberbiztonság szintjét Európában. A második kiberbiztonsági irányelv jelenleg további, a gazdaság és a társadalom számára kritikus fontosságú ágazatokra terjed ki, ideértve a nyilvános elektronikus hírközlő hálózatokat és szolgáltatásokat nyújtókat, az adatközpont-szolgáltatásokat, a szennyvíz- és hulladékgazdálkodást, a kritikus termékek gyártását, a postai és futárszolgálatokat, valamint a közigazgatási szerveket. A szabályok szélesebb körben lefedik az egészségügyi ágazatot is, például azáltal, hogy a gyógyszerek kutatását és fejlesztését, illetve a gyógyszeripari termékek gyártását is magukban foglalják. A tagállamok bizonyos mérlegelési jogkörrel rendelkeznek majd az irányelv hatálya alá tartozó, nagy biztonsági profillal rendelkező kisebb szervezetek azonosítása tekintetében.
A vállalatokra vonatkozó szigorúbb biztonsági követelmények
A második kiberbiztonsági irányelv emellett megerősíti azokat a kiberbiztonsági kockázatkezelési követelményeket, amelyeknek a vállalkozásoknak meg kell felelniük. A kiberbiztonsági irányelvhez hasonlóan a vállalatoknak megfelelő és arányos technikai, operatív és szervezeti intézkedéseket kell hozniuk a kiberbiztonsági kockázatok kezelése, valamint az esetleges biztonsági események megelőzése és hatásának minimalizálása érdekében. Ez a követelmény a NIS 2 keretében sokkal konkrétabbá válik a célzott intézkedések listájával, beleértve többek között az eseményekre való reagálást és a válságkezelést, a sebezhetőségek kezelését és nyilvánosságra hozatalát, a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére szolgáló politikákat és eljárásokat, vagy a kiberbiztonsági higiéniát és képzést.
Annak érdekében, hogy mind nemzeti, mind uniós szinten elősegítse a kiberválság-kezeléssel kapcsolatos információmegosztás és együttműködés fokozását, az irányelv a jelentéstételre, a tartalomra és a határidőkre vonatkozó pontosabb rendelkezésekkel egyszerűsíti az események bejelentésére vonatkozó kötelezettségeket. Emellett szigorúbb felügyeleti intézkedések vonatkoznak a nemzeti hatóságokra, szigorúbb végrehajtási követelmények, valamint a közigazgatási szankciók listája, ideértve a kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségek megsértése esetén kiszabott bírságokat is.
A következő lépések
A tagállamoknak 21 hónap áll majd rendelkezésükre a NIS2 irányelv nemzeti jogba történő átültetésére. Ez alatt az idő alatt a tagállamok elfogadják és kihirdetik azokat az intézkedéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek.
A Tanács 2022 decemberében ajánlást fogadott el a kritikus infrastruktúrák rezilienciájának megerősítését célzó uniós szintű koordinációs megközelítésről, amelyben felkéri a tagállamokat, hogy gyorsítsák fel a NIS 2 és a kritikus fontosságú szervezetek rezilienciájáról szóló irányelv (CER) átültetésére és alkalmazására irányuló előkészítő munkát.
Háttér
A kiberbiztonság a Bizottság egyik prioritása és a digitális és összekapcsolt Európa sarokköve.
A kiberbiztonságról szóló első uniós szintű jogszabály, a 2016-ban hatályba lépett kiberbiztonsági irányelv hozzájárult a hálózati és információs rendszerek EU-szerte egységesen magas szintű biztonságának megvalósításához. A kiberbiztonsági irányelv több ágazatra is kiterjedt, többek között az energiaágazatra, a közlekedésre, a banki és pénzügyi ágazatra, az egészségügyre, az ivóvízellátásra és -elosztásra, valamint a digitális infrastruktúrára. Kiterjedt továbbá a digitális szolgáltatókra, különösen a felhőalapú szolgáltatásokat nyújtó szolgáltatókra, az online piacterekre és az online keresőprogramokra.
Azon fő szakpolitikai célkitűzése részeként, hogy Európa felkészüljön a digitális korra, a Bizottság 2020 decemberében javaslatot tett a kiberbiztonsági irányelv felülvizsgálatára. A 2019 óta hatályos uniós kiberbiztonsági jogszabály létrehozta a termékek, szolgáltatások és eljárások kiberbiztonsági tanúsításának európai keretét, és megerősítette az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) megbízatását. 2022 szeptemberében a Bizottság elfogadta a kibertámadásokkal szembeni rezilienciáról szóló jogszabályra irányuló javaslatot, amely kiberbiztonsági követelményeket állapít meg a digitális elemmel rendelkező termékekre vonatkozóan, amelyek a hardverre és a szoftverre egyaránt kiterjednek.