NIS2 törvényi szabályozása: 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről

A hálózati és információs rendszerek és a távközlési hálózatok és szolgáltatások létfontosságú szerepet töltenek be a társadalom működésében, és a gazdasági növekedés gerincét képezik. Az információs és kommunikációs technológiák (a továbbiakban: az IKT) a mindennapi társadalmi tevékenységeket támogató összetett rendszerek alapját képezik, biztosítják a gazdaság olajozott működését olyan meghatározó ágazatokban, mint az egészségügy, az energiaügy, a pénzügy és a közlekedés, valamint mindenekelőtt elősegítik a belső piac működését.

Kiket érint?

Míg a korábbi kiberbiztonsági irányelv (Európai Parlament és Tanács – NIS) értelmében a tagállamok feladata volt annak meghatározása, hogy mely szervezetek felelnek meg azoknak a kritériumoknak, amelyek alapján alapvető szolgáltatásokat nyújtó szereplőnek minősülnek, az új NIS 2 irányelv most bevezet egy, a méretkorlátra vonatkozó szabályt. Ez azt jelenti, hogy az irányelv hatálya alá tartozó ágazatokban működő vagy szolgáltatásokat nyújtó valamennyi közepes és nagyméretű szervezet az irányelv hatálya alá tartozik.

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek

ÁgazatAlágazatSzervezet
EnergetikaVillamos energiaa villamos energiáról szóló törvény szerinti villamosenergia-ipari vállalkozás a közvilágítási üzemeltetési engedélyes kivételével
Távfűtés és hűtésa távhőszolgáltatásról szóló törvény szerinti engedélyes,
Kőolaj

a bányászatról szóló törvény szerinti
a) szénhidrogén szállítóvezetéket létesítő és üzemben tartó engedélyes,
b) a kőolajfeldolgozásban, tárolásban használt létesítmény üzemeltetője,

Földgáz– az egyablakos kapacitásértékesítő, a szervezett földgázpiaci engedélyes és a vezetékes PB-gáz szolgáltató kivételével – a földgázellátásról szóló törvény szerinti engedélyes tevékenységet folytató földgázipari vállalkozás,
Hidrogéna hidrogéntermelés, -tárolás és -szállítás üzemeltetője,
KözlekedésLégi közlekedésa polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről szóló kormányrendelet szerinti légiközlekedés védelmében közreműködő szervezet,
Vasúti közlekedés

a vasúti közlekedésről szóló törvény szerinti vasúti pályahálózat működtetője – a saját célú vasúti pályahálózatok, iparvágányok kivételével –, a vállalkozó vasúti társaság, a vasúti pályakapacitás-elosztó szervezet,

Közúti közlekedésa közúti közlekedésről szóló törvény felhatalmazása alapján kiadott rendelet szerinti a) intelligens közúti közlekedési rendszerek üzemeltetését végző szolgáltató, b) forgalomirányítást végző szervezet
Vízi közlekedésa víziközlekedésről szóló törvény szerinti hajózási tevékenység folytatásában részt vevő jogi személy, jogi személyiséggel nem rendelkező gazdálkodó szervezet,
Tömegközlekedésa vasúti és közúti személyszállítási közszolgáltatásról, valamint az 1191/69/EGK és az 1107/70/EGK tanácsi rendelet hatályon kívül helyezéséről szóló, 2007. október 23-i 1370/2007/EK európai parlamenti és tanácsi rendelet 2. cikk d) pontja szerinti közszolgáltató szervezet,
Egészségügy az egészségügyről szóló törvény szerinti egészségügyi szolgáltató, magas biztonsági szintű biológiai laboratóriumok üzemeltetője, egészségügyi tartalékokat és vérkészleteket kezelő szervezet, gyógyszerek kutatásával és fejlesztésével foglalkozó szervezet, gyógyszeripari alaptermékeket és gyógyszerkészítményeket gyártó szervezet, gyógyszer-nagykereskedő, népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközt gyártó szervezet, az emberi felhasználásra szánt gyógyszerek közösségi kódexéről szóló 2001. november 6-i 2001/83/EK európai parlamenti és tanácsi irányelv 79. cikke szerinti nagykereskedelmi forgalmazási engedélyek birtokában lévő szervezet,
Ivóvíz, szennyvízVíziközmű szolgáltatása víziközmű-szolgáltatásról szóló törvény szerinti víziközmű-szolgáltató
Hírközlési szolgáltatás az elektronikus hírközlésről szóló törvény szerinti
a) elektronikus hírközlési szolgáltató,
b) adatkicserélő szolgáltatást nyújtó szolgáltató,
az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvény szerinti bizalmi szolgáltató,
Digitális infrastruktúra a felhőszolgáltató,
adatközponti szolgáltatást nyújtó szolgáltató,
legfelső szintű domainnév-nyilvántartó
a DNS-szolgáltató
tartalomszolgáltató hálózat szolgáltatója,
Kihelyezett IKT szolgáltatások a) kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató,
b) kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató,
Űralapú szolgáltatás űralapú szolgáltatások nyújtását támogató földi infrastruktúra üzemeltető

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek

ÁgazatAlágazatEntitás típusa
Postai és futárszolgálatok a postai szolgáltatásokról szóló törvény szerinti postai szolgáltató,
Élelmiszer előállítása, feldolgozása és forgalmazása az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerint élelmiszer-vállalkozás,
Hulladékgazdálkodás a hulladékról szóló törvény szerinti tevékenységet végző,
Vegyszerek előállítása és forgalmazása a vegyi anyagok regisztrálásáról, értékeléséről, engedélyezéséről és korlátozásáról (REACH), az Európai Vegyianyag-ügynökség létrehozásáról, az 1999/45/EK irányelv módosításáról, valamint a 793/93/EGK tanácsi rendelet, az 1488/94/EK bizottsági rendelet, a 76/769/EGK tanácsi irányelv, a 91/155/EGK, a 93/67/EGK, a 93/105/EK és a 2000/21/EK bizottsági irányelv hatályon kívül helyezéséről szóló, 2006. december 18-i 1907/2006/EK európai parlamenti és tanácsi rendelet 3. cikke szerinti gyártó, forgalmazó,
GyártásOrvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártásaaz orvostechnikai eszközökről, a 2001/83/EK irányelv, a 178/2002/EK rendelet és az 1223/2009/EK rendelet módosításáról, valamint a 90/385/EGK és 93/42/EGK tanácsi irányelv hatályon kívül helyezéséről szóló, 2017. április 5-i (EU) 2017/745 európai parlamenti és tanácsi rendelet 2. cikkének 1. pontjában meghatározott orvostechnikai eszközöket, valamint az in vitro diagnosztikai orvostechnikai eszközökről, valamint a 98/79/EK irányelv és a 2010/227/EU bizottsági határozat hatályon kívül helyezéséről szóló, 2017 április 5-i (EU) 2017/746 európai parlamenti és tanácsi rendelet 2. cikkének 2. pontjában meghatározott in vitro diagnosztikai orvostechnikai eszközöket gyártó szervezet, kivéve a népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközöket gyártó szervezet,
Számítógép, elektronikai, optikai termék gyártásaa gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 26. ágazata szerinti „Számítógép, elektronikai, optikai termék gyártása” tevékenységet végző gazdálkodó szervezet,
Villamos berendezések gyártásaa gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 27. ágazata szerinti „Villamos berendezés gyártása” tevékenységet végző gazdálkodó szervezet,
Máshova nem sorolt gépek és berendezések gyártásaa gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 28. ágazata szerinti „Gép, gépi berendezés gyártása” tevékenységet végző gazdálkodó szervezet,
Gépjárművek, pótkocsik és félpótkocsik gyártásaa gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi  rendelet 29. ágazata szerinti „Közúti jármű gyártása” tevékenységet végző gazdálkodó szervezet,
Egyéb szállítóeszközök gyártásaa gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 30. ágazata szerinti „Egyéb jármű gyártása” tevékenységet végző gazdálkodó szervezet,
Cement-, mész-, gipszgyártása gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi  rendelet 23.5 alágazata szerinti „Cement-, mész-, gipszgyártás” tevékenységet végző gazdálkodó szervezet
Digitális szolgáltatók a) az online-piactér szolgáltatója,
b) a 2001. évi CVIII. törvény szerinti keresőszolgáltató,
c) közösségi média szolgáltatási platform szolgáltatója, d) domainnév regisztrációt végző szolgáltató,
Kutatás kutatóhely

Táblázatok letöltése: 2023. évi XXIII. törvény melléklete

forrás: SZTFH

Ez alapján jelent meg a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről.

Megfelelőségi követelmények

A jogszabály egyértelműen abba az irányba mutat, hogy a szabályozás tárgykörébe tartozó, alapvető szolgáltatásokat nyújtó ágazatokban a kkv-t meghaladó cégméret fölötti vállalkozások digitális térben való működése nem kizárólag a cég belügye, hanem állami felügyelet, ellenőrzés alá vont terület lesz a jövőben.

Ezen szervezetek a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei (EIR) és azok fizikai környezetének a biztonságáról. A biztonság magában foglalja az EIR-k, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti a tárolt, továbbított vagy feldolgozott adatok, információk, vagy az EIR-k által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását. A védelemnek ki kell terjednie az információbiztonsági irányítás rendszerére, az EIR-k kockázatainak feltárására és kezelésére, a kockázatok csökkentésére irányuló, a  szervezet kockázatelemzésében rendszerenként meghatározandó  biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására, a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére, az üzletmenet folytonosság biztosítására és az EIR-k és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére. Fontos eleme a törvénynek, hogy az érintett szervezeteknek nemcsak saját digitális infrastruktúrájuk, hanem a velük kapcsolatban álló a digitális ellátási lánc magas szintű védelmét is biztosítaniuk kell, tehát a beszállítók felé is meg kell követelni a megfelelő kibervédelmi szintet!

A „Kibertan” törvény által előírt határidők:

  • 2024. január 1. Önazonosítás, EIR-ek biztonsági osztályba sorolása, EIR rendszerek biztonságáért felelős személy kijelölése
  • érintett szervezet a szükséges adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében,
  • a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza, , megfizeti a felügyeleti díjat
  • 2024. december 31-ig megköti és bemutatja kiberbiztonsági audit szerződését
  • érintett szervezet az első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni,
  • az SZTFH az éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el.

A hamarosan megjelenő végrehajtási rendelet nem csak az újonnan érintett cégeket, hanem a már valamilyen formában a 2013. évi L. törvény hatálya alá eső szervezeteknek is nagy kihívást fog okozni. Gondoljunk bele milyen nagy munka egy Információbiztonsági Irányító Rendszert kiépíteni, ha egy vállalat bizonyos rendszerei (pl. közmű szolgáltatók számlázási rendszere és esetlegesen a Létfontosságú rendszerek közé sorolt EIR-ek) más biztonsági osztályokba sorolódnak. És mindezt megtetézi az új rendelet szerint – valószínűleg más alapokon nyugvó – osztályba sorolási és követelmény rendszer teljesítése. Adott esetben egy szervezetnél akár 3-4 IBIR integrált működtetéséről van szó, ami jelentős kihívást és szakértelmet igényel. Ennek a problémának a megoldására ajánlja fel segítségét Seacon Europe, hogy ne érje villámcsapásként egy hatósági vizsgálat.