NIS2 törvényi szabályozása: 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
Kapcsolódó cikk: NIS2 törvényi szabályozás 2. rész: Új információk
A hálózati és információs rendszerek és a távközlési hálózatok és szolgáltatások létfontosságú szerepet töltenek be a társadalom működésében, és a gazdasági növekedés gerincét képezik. Az információs és kommunikációs technológiák (a továbbiakban: az IKT) a mindennapi társadalmi tevékenységeket támogató összetett rendszerek alapját képezik, biztosítják a gazdaság olajozott működését olyan meghatározó ágazatokban, mint az egészségügy, az energiaügy, a pénzügy és a közlekedés, valamint mindenekelőtt elősegítik a belső piac működését.
Kiket érint?
Míg a korábbi kiberbiztonsági irányelv (Európai Parlament és Tanács – NIS) értelmében a tagállamok feladata volt annak meghatározása, hogy mely szervezetek felelnek meg azoknak a kritériumoknak, amelyek alapján alapvető szolgáltatásokat nyújtó szereplőnek minősülnek, az új NIS 2 irányelv most bevezet egy, a méretkorlátra vonatkozó szabályt. Ez azt jelenti, hogy az irányelv hatálya alá tartozó ágazatokban működő vagy szolgáltatásokat nyújtó valamennyi közepes és nagyméretű szervezet az irányelv hatálya alá tartozik.
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek
| Ágazat | Alágazat | Szervezet |
|---|---|---|
| Energetika | Villamos energia | a villamos energiáról szóló törvény szerinti villamosenergia-ipari vállalkozás a közvilágítási üzemeltetési engedélyes kivételével |
| Távfűtés és hűtés | a távhőszolgáltatásról szóló törvény szerinti engedélyes, | |
| Kőolaj | a bányászatról szóló törvény szerinti | |
| Földgáz | – az egyablakos kapacitásértékesítő, a szervezett földgázpiaci engedélyes és a vezetékes PB-gáz szolgáltató kivételével – a földgázellátásról szóló törvény szerinti engedélyes tevékenységet folytató földgázipari vállalkozás, | |
| Hidrogén | a hidrogéntermelés, -tárolás és -szállítás üzemeltetője, | |
| Közlekedés | Légi közlekedés | a polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről szóló kormányrendelet szerinti légiközlekedés védelmében közreműködő szervezet, |
| Vasúti közlekedés | a vasúti közlekedésről szóló törvény szerinti vasúti pályahálózat működtetője – a saját célú vasúti pályahálózatok, iparvágányok kivételével –, a vállalkozó vasúti társaság, a vasúti pályakapacitás-elosztó szervezet, | |
| Közúti közlekedés | a közúti közlekedésről szóló törvény felhatalmazása alapján kiadott rendelet szerinti a) intelligens közúti közlekedési rendszerek üzemeltetését végző szolgáltató, b) forgalomirányítást végző szervezet | |
| Vízi közlekedés | a víziközlekedésről szóló törvény szerinti hajózási tevékenység folytatásában részt vevő jogi személy, jogi személyiséggel nem rendelkező gazdálkodó szervezet, | |
| Tömegközlekedés | a vasúti és közúti személyszállítási közszolgáltatásról, valamint az 1191/69/EGK és az 1107/70/EGK tanácsi rendelet hatályon kívül helyezéséről szóló, 2007. október 23-i 1370/2007/EK európai parlamenti és tanácsi rendelet 2. cikk d) pontja szerinti közszolgáltató szervezet, | |
| Egészségügy | az egészségügyről szóló törvény szerinti egészségügyi szolgáltató, magas biztonsági szintű biológiai laboratóriumok üzemeltetője, egészségügyi tartalékokat és vérkészleteket kezelő szervezet, gyógyszerek kutatásával és fejlesztésével foglalkozó szervezet, gyógyszeripari alaptermékeket és gyógyszerkészítményeket gyártó szervezet, gyógyszer-nagykereskedő, népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközt gyártó szervezet, az emberi felhasználásra szánt gyógyszerek közösségi kódexéről szóló 2001. november 6-i 2001/83/EK európai parlamenti és tanácsi irányelv 79. cikke szerinti nagykereskedelmi forgalmazási engedélyek birtokában lévő szervezet, | |
| Ivóvíz, szennyvíz | Víziközmű szolgáltatás | a víziközmű-szolgáltatásról szóló törvény szerinti víziközmű-szolgáltató |
| Hírközlési szolgáltatás | az elektronikus hírközlésről szóló törvény szerinti a) elektronikus hírközlési szolgáltató, b) adatkicserélő szolgáltatást nyújtó szolgáltató, | |
| az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvény szerinti bizalmi szolgáltató, | ||
| Digitális infrastruktúra | a felhőszolgáltató, | |
| adatközponti szolgáltatást nyújtó szolgáltató, | ||
| legfelső szintű domainnév-nyilvántartó | ||
| a DNS-szolgáltató | ||
| tartalomszolgáltató hálózat szolgáltatója, | ||
| Kihelyezett IKT szolgáltatások | a) kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató, b) kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató, | |
| Űralapú szolgáltatás | űralapú szolgáltatások nyújtását támogató földi infrastruktúra üzemeltető |
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek
| Ágazat | Alágazat | Entitás típusa |
|---|---|---|
| Postai és futárszolgálatok | a postai szolgáltatásokról szóló törvény szerinti postai szolgáltató, | |
| Élelmiszer előállítása, feldolgozása és forgalmazása | az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerint élelmiszer-vállalkozás, | |
| Hulladékgazdálkodás | a hulladékról szóló törvény szerinti tevékenységet végző, | |
| Vegyszerek előállítása és forgalmazása | a vegyi anyagok regisztrálásáról, értékeléséről, engedélyezéséről és korlátozásáról (REACH), az Európai Vegyianyag-ügynökség létrehozásáról, az 1999/45/EK irányelv módosításáról, valamint a 793/93/EGK tanácsi rendelet, az 1488/94/EK bizottsági rendelet, a 76/769/EGK tanácsi irányelv, a 91/155/EGK, a 93/67/EGK, a 93/105/EK és a 2000/21/EK bizottsági irányelv hatályon kívül helyezéséről szóló, 2006. december 18-i 1907/2006/EK európai parlamenti és tanácsi rendelet 3. cikke szerinti gyártó, forgalmazó, | |
| Gyártás | Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása | az orvostechnikai eszközökről, a 2001/83/EK irányelv, a 178/2002/EK rendelet és az 1223/2009/EK rendelet módosításáról, valamint a 90/385/EGK és 93/42/EGK tanácsi irányelv hatályon kívül helyezéséről szóló, 2017. április 5-i (EU) 2017/745 európai parlamenti és tanácsi rendelet 2. cikkének 1. pontjában meghatározott orvostechnikai eszközöket, valamint az in vitro diagnosztikai orvostechnikai eszközökről, valamint a 98/79/EK irányelv és a 2010/227/EU bizottsági határozat hatályon kívül helyezéséről szóló, 2017 április 5-i (EU) 2017/746 európai parlamenti és tanácsi rendelet 2. cikkének 2. pontjában meghatározott in vitro diagnosztikai orvostechnikai eszközöket gyártó szervezet, kivéve a népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközöket gyártó szervezet, |
| Számítógép, elektronikai, optikai termék gyártása | a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 26. ágazata szerinti „Számítógép, elektronikai, optikai termék gyártása” tevékenységet végző gazdálkodó szervezet, | |
| Villamos berendezések gyártása | a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 27. ágazata szerinti „Villamos berendezés gyártása” tevékenységet végző gazdálkodó szervezet, | |
| Máshova nem sorolt gépek és berendezések gyártása | a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 28. ágazata szerinti „Gép, gépi berendezés gyártása” tevékenységet végző gazdálkodó szervezet, | |
| Gépjárművek, pótkocsik és félpótkocsik gyártása | a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 29. ágazata szerinti „Közúti jármű gyártása” tevékenységet végző gazdálkodó szervezet, | |
| Egyéb szállítóeszközök gyártása | a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 30. ágazata szerinti „Egyéb jármű gyártása” tevékenységet végző gazdálkodó szervezet, | |
| Cement-, mész-, gipszgyártás | a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 23.5 alágazata szerinti „Cement-, mész-, gipszgyártás” tevékenységet végző gazdálkodó szervezet | |
| Digitális szolgáltatók | a) az online-piactér szolgáltatója, b) a 2001. évi CVIII. törvény szerinti keresőszolgáltató, c) közösségi média szolgáltatási platform szolgáltatója, d) domainnév regisztrációt végző szolgáltató, | |
| Kutatás | kutatóhely |
Táblázatok letöltése: 2023. évi XXIII. törvény melléklete
Ez alapján jelent meg a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről.
Megfelelőségi követelmények
A jogszabály egyértelműen abba az irányba mutat, hogy a szabályozás tárgykörébe tartozó, alapvető szolgáltatásokat nyújtó ágazatokban a kkv-t meghaladó cégméret fölötti vállalkozások digitális térben való működése nem kizárólag a cég belügye, hanem állami felügyelet, ellenőrzés alá vont terület lesz a jövőben.
Ezen szervezetek a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei (EIR) és azok fizikai környezetének a biztonságáról. A biztonság magában foglalja az EIR-k, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti a tárolt, továbbított vagy feldolgozott adatok, információk, vagy az EIR-k által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását. A védelemnek ki kell terjednie az információbiztonsági irányítás rendszerére, az EIR-k kockázatainak feltárására és kezelésére, a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására, a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére, az üzletmenet folytonosság biztosítására és az EIR-k és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére. Fontos eleme a törvénynek, hogy az érintett szervezeteknek nemcsak saját digitális infrastruktúrájuk, hanem a velük kapcsolatban álló a digitális ellátási lánc magas szintű védelmét is biztosítaniuk kell, tehát a beszállítók felé is meg kell követelni a megfelelő kibervédelmi szintet!
A „Kibertan” törvény által előírt határidők:
- 2024. január 1. Önazonosítás, EIR-ek biztonsági osztályba sorolása, EIR rendszerek biztonságáért felelős személy kijelölése
- érintett szervezet a szükséges adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében,
- a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza, , megfizeti a felügyeleti díjat
- 2024. december 31-ig megköti és bemutatja kiberbiztonsági audit szerződését
- érintett szervezet az első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni,
- az SZTFH az éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el.
A hamarosan megjelenő végrehajtási rendelet nem csak az újonnan érintett cégeket, hanem a már valamilyen formában a 2013. évi L. törvény hatálya alá eső szervezeteknek is nagy kihívást fog okozni. Gondoljunk bele milyen nagy munka egy Információbiztonsági Irányító Rendszert kiépíteni, ha egy vállalat bizonyos rendszerei (pl. közmű szolgáltatók számlázási rendszere és esetlegesen a Létfontosságú rendszerek közé sorolt EIR-ek) más biztonsági osztályokba sorolódnak. És mindezt megtetézi az új rendelet szerint – valószínűleg más alapokon nyugvó – osztályba sorolási és követelmény rendszer teljesítése. Adott esetben egy szervezetnél akár 3-4 IBIR integrált működtetéséről van szó, ami jelentős kihívást és szakértelmet igényel. Ennek a problémának a megoldására ajánlja fel segítségét Seacon Europe, hogy ne érje villámcsapásként egy hatósági vizsgálat.
