A NIS 2 irányelv Unió-szerte 18 kritikus ágazatban egységes jogi keretet hoz létre a kiberbiztonság fenntartása érdekében. Felszólítja továbbá a tagállamokat, hogy határozzanak meg nemzeti kiberbiztonsági stratégiákat, és működjenek együtt az EU-val a határokon átnyúló reagálás és végrehajtás érdekében.
A kiberbiztonság magában foglalja a hálózati és információs rendszerek (NIS), felhasználóik és más érintett személyek védelmét a kiberbiztonsági eseményekkel és fenyegetésekkel szemben. Európa kiberfenyegetéseknek való fokozott kitettségére reagálva az (EU) 2022/2555 irányelv, más néven a NIS 2 irányelv felváltotta elődjét, az (EU) 2016/1148 irányelvet vagy a NIS 1 irányelvet. A NIS 2 a szélesebb hatály, az egyértelműbb szabályok és a szigorúbb felügyeleti eszközök révén növeli a kiberbiztonsággal kapcsolatos közös uniós ambíciószintet. Előírja a tagállamok számára, hogy javítsák kiberbiztonsági képességeiket, miközben kockázatkezelési intézkedéseket és jelentéstételi követelményeket vezetnek be több ágazat szervezetei számára, valamint szabályokat állapítanak meg az együttműködésre, az információmegosztásra, a felügyeletre és a kiberbiztonsági intézkedések végrehajtására vonatkozóan.
Az irányelv előírja, hogy minden tagállamnak nemzeti kiberbiztonsági stratégiát kell elfogadnia, amely magában foglalja az ellátási lánc biztonságára, a sebezhetőség kezelésére, valamint a kiberbiztonsági oktatásra és tudatosságra vonatkozó szakpolitikákat. A tagállamoknak össze kell állítaniuk és rendszeresen frissíteniük kell az alapvető szolgáltatásokat nyújtó szereplők jegyzékét, biztosítva, hogy ezek a szervezetek megfeleljenek az irányelv követelményeinek.
A NIS 1 hatálya alá tartozó olyan ágazatok mellett, mint az energia, a közlekedés, az egészségügy, a pénzügyek, a vízgazdálkodás és a digitális infrastruktúra, ezek a szabályok a nyilvános elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatókra, több digitális szolgáltatásra, például a közösségi platformokra, a szennyvíz- és hulladékgazdálkodásra, a kritikus termékek gyártására, a postai és futárszolgáltatásokra, a központi és regionális szintű közigazgatásra vagy a világűrre vonatkoznak. Az e kritikus ágazatokban működő közepes és nagy szervezeteknek főszabályként megfelelő kiberbiztonsági kockázatkezelési intézkedéseket kell hozniuk, és értesíteniük kell az érintett nemzeti hatóságokat a jelentős biztonsági eseményekről. Ezek olyan események, amelyek jelentős zavart vagy kárt okozhatnak.
Az irányelv a felügyeletre, a végrehajtásra és az önkéntes szakértői értékelésekre vonatkozó rendelkezéseket is tartalmaz a kölcsönös bizalom és a kiberbiztonsági képességek Unió-szerte történő fokozása érdekében. Bevezeti továbbá a felső vezetés elszámoltathatóságát a kiberbiztonsági kockázatkezelési intézkedéseknek való meg nem felelés esetén, ezáltal felhívja az igazgatótanács figyelmét a kiberbiztonságra.
Az irányelv létrehozza a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) hálózatát a kiberfenyegetésekre vonatkozó információk cseréje és az eseményekre való reagálás érdekében. Ezek a csapatok elengedhetetlenek a helyzetismeret fenntartásához és a segítségnyújtáshoz. A nagyszabású kiberbiztonsági események vagy válságok kezelése érdekében az irányelv létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe). Ez a hálózat támogatja a koordinált irányítást, és biztosítja a tagállamok és az uniós intézmények közötti rendszeres információcserét nagyszabású biztonsági események és válságok esetén.
Ezzel párhuzamosan a Kiberbiztonsági Együttműködési Csoport a kiberbiztonsági irányelv által létrehozott platform, amelynek célja az uniós tagállamok, az Európai Bizottság és az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) közötti stratégiai együttműködés és információcsere megkönnyítése. A csoport nem kötelező erejű iránymutatásokat és ajánlásokat tesz közzé a kiberbiztonsági irányelv végrehajtásának támogatása érdekében.
Háttér
A NIS 1 ((EU) 2016/1148 irányelv) volt az első olyan átfogó uniós jogszabály, amelynek célja a hálózati és információs rendszerek kiberbiztonságának fokozása az uniós gazdaság és társadalom számára létfontosságú szolgáltatások védelme érdekében. 2020 decemberében a Bizottság javaslatot tett a NIS 1 felülvizsgálatára, amelynek eredményeként elfogadásra került a NIS 2, amely 2023 januárjában lépett hatályba. A tagállamoknak 2024. október 17-ig kellett átültetniük nemzeti jogukba a NIS 2 irányelvet. A NIS 2 2024. október 18-tól hatályon kívül helyezte a NIS 1-et.
A Bizottság kötelezettségszegési eljárást indított 23 tagállamnak küldött felszólító levéllel, mivel azok a 2024. október 17-i határidőig nem ültették át teljes körűen a NIS 2 irányelvet a nemzeti jogba. A tagállamoknak reagálniuk kell, és be kell fejezniük az irányelv átültetését. Ennek elmulasztása esetén a Bizottság indokolással ellátott véleményt bocsáthat ki, amely hivatalos felszólítás az uniós jognak való megfelelésre. A folyamatos meg nem felelés végül azt eredményezheti, hogy az ügyet az Európai Unió Bírósága elé terjesztik, amely pénzbírságot szabhat ki.
Legfrissebb hírek
Kapcsolódó tartalom
Összkép
Mélyedjen el alaposabban a témában
-
A Bizottság az Európai Uniós Hálózat- és Információbiztonsági Ügynökséggel együtt szorosan együttműködik a tagállamokkal annak érdekében, hogy biztosítsa a kiberbiztonsági irányelv nemzeti jogba való átültetését.
-
A hálózati és információs rendszerek együttműködési csoportját a kiberbiztonsági irányelv hozta létre a tagállamok közötti együttműködés és információcsere biztosítása érdekében.