IT BIZTONSÁG NIS2
Mi az a NIS?
A 2016-ban elfogadott és ezt követően hatályba lépett hálózat- és információbiztonsági irányelv (NIS-irányelv) az EU első kiberbiztonsági jogszabálya, amelynek konkrét célja, hogy valamennyi tagállamban magas szintű kiberbiztonságot érjen el. Az olyan alapvető szolgáltatások üzemeltetőit, mint az energia, a közlekedés és az egészségügy, valamint a digitális szolgáltatókat, például a keresőmotorokat és a felhőszolgáltatásokat nyújtó szolgáltatókat célzó NIS előírja, hogy minden szervezetnek megfelelő műszaki és szervezeti intézkedéseket kell hoznia a hálózatai és rendszerei biztonsága érdekében, és súlyos incidensekről értesítenie kell az illetékes nemzeti hatóságokat.
Bár a hálózat- és információbiztonság javította a tagállamok kiberbiztonsági képességeit, végrehajtása nehézkesnek bizonyult, például azért, mert a különböző tagállamok eltérően értelmezik az irányelvet, ami megnehezíti a több joghatóságban működő szervezetek számára, hogy minden egyes joghatóságban, ahol működnek, biztosítsák a megfelelőséget.
NIS 2 -irányelv
E nehézségek leküzdése és a kiberbiztonság további erősítése érdekében az Európai Parlament és az Európai Unió Tanácsa 2022. december 27-én közzétette a NIS 2. irányelvet.
Hálózat- és információbiztonság - a NIS 2 már elérhető!
Az új irányelv a többi ágazati szabályozással való jogi összhangra épül. Az 50 főnél több alkalmazottat foglalkoztató és 10 millió eurót meghaladó éves árbevétellel rendelkező közép- és nagyvállalatokra kiterjesztett egyedi hatályával az irányelv a rendelet mellékletében és 1. cikkében meghatározott szervezettípusokra, valamint a 2022/2557 irányelvben kulcsszervezetként meghatározott szervezetekre nézve kötelező. A rendelet meghagyja a tagállamoknak a lehetőséget, hogy a rendelet hatályát további szervezetekre (pl. oktatási és kutatási intézményekre) is kiterjesszék.
A NIS 2 létrehozza a számítástechnikai bűnözés elleni európai összekötő hálózatot (EU-CyCLONe), hogy támogassa a nagyobb kiberbiztonsági incidensek és válságok összehangolt kezelését. Az együttműködési csoport a tagállamok, az Európai Bizottság és az ENISA képviselőiből áll majd. Minden tagállam kijelöl vagy létrehoz egy vagy több CSIRT-et, amelyek kijelölhetők vagy létrehozhatók az illetékes hatóságokon belül, amelyek megfelelnek a 11. cikk (1) bekezdésében meghatározott követelményeknek, lefedik legalább az I. és II. mellékletben meghatározott ágazatokat, alágazatokat és szervezettípusokat, és egyértelműen felelősek az incidensek meghatározott folyamatoknak megfelelő kezeléséért. A rendelet előírja, hogy súlyos incidens esetén a hatálya alá tartozó szervezeteknek értesíteniük kell a tagállamok vagy a hálózatok és információs rendszerek biztonságáért felelős nemzeti hatóságok által kijelölt számítógépes biztonsági incidenskezelő csoportot (CSIRT).
Létrejön továbbá egy összehangolt sebezhetőségi közzétételi rendszer és egy európai sebezhetőségi adatbázis.
A NIS 2 értelmében a tagállamoknak kezelniük kell a kritikus és fontos szervezetek által tevékenységük vagy szolgáltatásnyújtásuk során használt hálózatokat és információs rendszereket fenyegető biztonsági kockázatokat, hogy megelőzzék vagy minimálisra csökkentsék az incidenseknek a szolgáltatás felhasználóira és más szolgáltatásokra gyakorolt hatását, Biztosítaniuk kell, hogy megfelelő és arányos műszaki, működési és szervezeti intézkedések legyenek érvényben.
Az irányelv 2023. január 16-án, 20 nappal a kihirdetése után lép hatályba, és a tagállamoknak ettől kezdve 21 hónap áll rendelkezésükre, hogy azt nemzeti jogukba átültessék.
KÉRJEN AJÁNLATOT
Felmerülő kérdés esetén vedd fel velünk a kapcsolatot, hogy minél előbb megkezdhessük a közös munkát.
+36 20 377 377 3