NIS2 – Szabályozás a biztonságosabb jövőért
A NIS2 az úgynevezett uniós szintű kiberbiztonsági irányelv, amely 2024 októberében lépett hatályba. A NIS1-hez képest a NIS2 jelentős változásokat vezet be, amelyek több szervezetre is szigorúbb kiberbiztonsági kötelezettségeket rónak. A tagállamoknak új rendelkezéseket kell elfogadniuk, amelyek ezeket a szigorúbb ellenőrzési és végrehajtási intézkedéseket tartalmazzák az irányelvnek való megfelelés biztosítása érdekében. A NIS2 a NIS1 irányelv helyébe lép, és több jelentős eltérést eredményez a NIS1-hez képest: a NIS2 kiterjeszti a hatályát a nagyobb szervezetekre, például a vegyi anyagok és orvostechnikai eszközök gyártóira, az élelmiszer-előállítókra és a közösségi hálózatok szolgáltatóira, amelyekre a NIS1 korábban nem terjedt ki. A NIS2 az „alapvető fontosságú szolgáltató” és a „digitális szolgáltató” közötti megkülönböztetést „alapvető fontosságú jogalanyok” és „kritikus fontosságú jogalanyok” megkülönböztetéssel váltja fel, többek között a méret és az ágazat alapján. Bár mindkettőre hasonló kötelezettségek vonatkoznak, a kulcsfontosságú szervezetekre szigorúbb végrehajtási és ellenőrzési intézkedések vonatkoznak. Az ellenőrző intézkedésekért az ágazati felügyelőnek kell felelősséget vállalnia.
A NIS2 új kiberbiztonsági kötelezettségeket ró az „alapvető” és „kritikus” jogalanyokra, beleértve a kockázatkezelést és az ellátási lánc irányítását, a kiberincidensek jelentését és az információmegosztást. Az e követelményeknek való megfelelés megköveteli, hogy a hatálya alá tartozók új politikákat és eljárásokat dolgozzanak ki és hajtsanak végre. A NIS2 megköveteli az uniós tagállamoktól, hogy fejlesszék nemzeti kiberbiztonsági stratégiáikat, és reagáljanak az őket fenyegető digitális veszélyekre. A szervezetek számára fontos, hogy lépést tartsanak az e területre vonatkozó jövőbeli tagállami kezdeményezésekkel.
Fokozott biztonsági követelmények
A NIS2 a kockázatkezelési módszertan és az alapvető biztonsági elemek minimális listájának bevezetésével javítani fogja a vállalkozások biztonsági követelményeit. Az irányelv sokkal részletesebb rendelkezéseket tartalmaz az incidensek jelentésére vonatkozóan is, beleértve például a jelentések tartalmát és időzítését. Az irányelv szerint a bejelentést az incidens bekövetkezésétől számított 24 órán belül kell megtenni, és részletesebb jelentéstételi folyamatot kell tartalmaznia. A NIS2 előírja az ellátási lánc biztonságának kezelését is. Ez magában foglalja az együttmérési kapcsolatokból eredő kockázatokat is. A NIS2 hangsúlyozza továbbá a vezetés felelősségét a szervezeti kiberbiztonságért, és egyéni felelősséget ró az irányító testületekre, például a vállalati igazgatóságokra és a vezetésre a kiberbiztonsági követelmények hatékony végrehajtásának biztosítása érdekében. A szervezetek különböző végrehajtási utasítások hatálya alá tartozhatnak, és a megfelelés elmulasztása jelentős bírságokat vonhat maga után.
