NIS 2 irányelv: hálózati és információs rendszerek biztosítása

A kiberbiztonság magában foglalja a hálózati és információs rendszereknek, azok felhasználóinak és más érintett személyeknek a kiberbiztonsági eseményekkel és fenyegetésekkel szembeni védelmét. Az Európa kiberfenyegetéseknek való fokozott kitettségére való reagálás érdekében az (EU) 2022/2555 irányelv – más néven NIS2 – felváltotta elődjét, az (EU) 2016/1148 irányelvet vagy a NIS1-et. A NIS 2 szélesebb hatály, világosabb szabályok és erősebb felügyeleti eszközök révén növeli a kiberbiztonsággal kapcsolatos közös uniós ambíciószintet. Előírja a tagállamok számára, hogy javítsák kiberbiztonsági képességeiket, ugyanakkor kockázatkezelési intézkedéseket és jelentéstételi követelményeket vezessenek be több ágazat szervezetei számára, valamint szabályokat állapítsanak meg az együttműködésre, az információmegosztásra, a felügyeletre és a kiberbiztonsági intézkedések végrehajtására vonatkozóan.

Az irányelv előírja, hogy minden tagállamnak nemzeti kiberbiztonsági stratégiát kell elfogadnia, amely magában foglalja az ellátási lánc biztonságára, a sebezhetőség kezelésére, valamint a kiberbiztonsági oktatásra és tudatosságra vonatkozó szakpolitikákat. A tagállamoknak össze kell állítaniuk és rendszeresen frissíteniük kell az alapvető szolgáltatásokat nyújtó szereplők jegyzékét is, biztosítva, hogy ezek a szervezetek megfeleljenek az irányelv követelményeinek.

A NIS 1 által már lefedett ágazatok – energia, közlekedés, egészségügy, pénzügyek, vízgazdálkodás és digitális infrastruktúra – mellett az új szabályok a nyilvános elektronikus hírközlési szolgáltatókra, több digitális szolgáltatásra (például közösségi platformokra), a hulladék- és szennyvízgazdálkodásra, a kritikus termékek gyártására, a postai és futárpostai szolgáltatásokra, valamint a központi és regionális szintű közigazgatásra, valamint az űrágazatra is vonatkoznak. E kritikus ágazatokban a közepes és nagy méretű szervezeteknek főszabályként megfelelő kiberbiztonsági kockázatkezelési intézkedéseket kell hozniuk, és értesíteniük kell az érintett nemzeti hatóságokat a jelentős biztonsági eseményekről. Ezek olyan események, amelyek jelentős zavart vagy kárt okozhatnak.

Az irányelv a felügyeletre, a végrehajtásra és az önkéntes szakértői értékelésekre vonatkozó rendelkezéseket is tartalmaz a kölcsönös bizalom és a kiberbiztonsági képességek Unió-szerte történő megerősítése érdekében. Bevezeti továbbá a felső vezetés elszámoltathatóságát a kiberbiztonsági kockázatkezelési intézkedéseknek való meg nem felelés esetén, ezáltal felhívva az igazgatótanács figyelmét a kiberbiztonságra.

Az irányelv létrehozza a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) hálózatát a kiberfenyegetésekre vonatkozó információk cseréje és az eseményekre való reagálás érdekében. Ezek a csapatok elengedhetetlenek a helyzetismeret fenntartásához és a segítségnyújtáshoz. A nagyszabású kiberbiztonsági események vagy válságok kezelése érdekében az irányelv létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe). Ez a hálózat támogatja az összehangolt irányítást, és biztosítja a tagállamok és az uniós intézmények közötti rendszeres információcserét nagyszabású események és válságok esetén. 

Ezzel párhuzamosan a Kiberbiztonsági Együttműködési Csoport a kiberbiztonsági irányelv által létrehozott platform, amelynek célja az uniós tagállamok, az Európai Bizottság és az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) közötti stratégiai együttműködés és információcsere megkönnyítése. A csoport nem kötelező erejű iránymutatásokat és ajánlásokat tesz közzé a kiberbiztonsági irányelv végrehajtásának támogatása érdekében.

Háttér

A NIS 1 (2016/1148 irányelv) volt az első olyan átfogó uniós jogszabály, amelynek célja a hálózati és információs rendszerek kiberbiztonságának fokozása az uniós gazdaság és társadalom számára létfontosságú szolgáltatások védelme érdekében. 2020 decemberében a Bizottság javasolta a NIS 1 felülvizsgálatát, ami a NIS 2 elfogadását eredményezte, amely 2023 januárjában lépett hatályba. A tagállamoknak 2024. október 17-ig kellett átültetniük nemzeti jogukba a NIS 2 irányelvet. A NIS 2 2024. október 18-tól hatályon kívül helyezte a NIS1-et.