Épülnek a masszív kibervédvonalak az EU körül, jön a NIS 2

Megszületett a politikai konszenzus, így az Európai Unió 2016-ban elfogadott Network and Information Security (NIS) irányelveinek első verziójának felülvizsgálata nyugvópontra ért, a tagállamok megállapodtak a NIS 2 irányelv kereteiről. Miben lesz más, és melyik szektorokat érinti elsősorban az aktualizált irányelv?

Az első NIS irányelv a GDPR-ral szinte egy időben került elfogadásra, s míg utóbbi beváltotta a hozzá fűzött reményeket, addig ez nem volt elmondható a kiberbiztonság növelését célzó intézkedésről. A gyorsuló digitalizáció, az évek óta egyre erősödő kiberbiztonsági kockázatok, a kibertérben (is) zajló háború miatt azonban egyre sürgetőbb az egységes direktíva kialakítása. Többek közt ez vezetett oda, hogy a NIS 1 gyakorlatban nem mérhető hatása és a gyorsuló digitalizáció kihívásai miatt az európai törvényhozók az irányelv frissítésébe kezdtek.

A 2016-os megjelenést követően öt évvel később, 2021-ben kezdtek el az európai jogalkotók az irányelv módosításán dolgozni. Hosszú hónapok munkáját, és a több körös egyeztetést követően 2022. május 13-án vált véglegessé a tervezet, hatályba pedig 2023. január 16-án lépett. A tagállamoknak 21 hónapjuk van ettől az időponttól a jogszabályban foglaltak gyakorlatba átültetésére; eszerint 2023. október 17-ig minden tagállamnak el kell készülnie a jogharmonizációval.

NIS 1 versus NIS 2

A legnagyobb különbség a két direktíva között annak kiterjesztésében van. Míg a NIS 1 elsősorban a digitális szektorokban működő vállalkozásokra és szervezetekre vonatkozó kötelezettségeket foglalta magában, addig a NIS 2 jóval szélesebb körre vonatkozóan írja elő a bejelentési és felelősségvállalási kötelezettséget, és elsősorban a nagyvállalatokat célozza.

A korábbi irányelvvel összevetve több közép- és nagyvállalat válik érintetté, az igazi különbözőséget azonban a szektorokra való kiterjesztettség adja. A direktíva elkülöníti a nélkülözhetetlen és fontos szereplőket. Utóbbi csoportjába például az élelmiszeripari, gyógyászati cégek, postai és futárszolgáltatásokat nyújtó vállalatok, különböző gépgyártók, hulladékkezelő cégek, autóipar és digitális szolgáltatók kerültek. Míg a nélkülözhetetlen vállalatok a kritikus szektorokokban úgymint az energia, pénzügy, bank, egészségügy, közlekedés és közszolgáltatás iparágakban dolgoznak.

Noha az irányelv végleges szövegezése még várat magára, az előterjesztésből már látszik, hogy a nagyvállalatok kerültek a NIS 2 fókuszába. A direktíva ugyanis definiálja, hogy a 250 főnél több embert foglalkoztató, a 10 millió eurós éves bevételt meghaladó cégek sajátja lesz a NIS 2. A két kritériumot alapul véve, ez nagyjából százezer az európai térségben tevékenykedő céget jelent.

Az érintett magánvállalkozásoknak és állami tulajdonú entitások számára az irányelv kiberbiztonsági belső auditot, incidens esetén pedig jelentési kötelezettség ír elő. Az intézkedés nem titkolt célja, hogy a nagyvállalatok a lehető legnagyobb biztonságban tudják magukat a kibertérben, éppen ezért a felsoroltakon túl a felsővezetők személyes felelősségvállalását is beemelné az irányelv az előírtak közé, ezzel is növelve a maximális kiberbiztonságra való szervezeti törekvést.

Akárcsak a GDPR esetén, itt is brutális büntetésre számíthatnak azok a vállalatok, amelyek nem teljesítik az irányelvben foglaltakat, ami szám szerint azt jelenti, hogy az éves árbevétel 2 százalékát is elérheti a bírság összege.

Jó, vagy csak jobb, mint az első?

A helyzet annyiban trükkös, hogy mivel irányelvről van szó, azt a helyi jogalkotás részévé kell tenni, figyelembe véve a kritériumokat. Viszont, mivel a kritériumok elsősorban inkább a nagyvállalatokra vonatkoznak az irányelv kihagyja az egyik legkitettebb szegmenst, a kis-és középvállalkozásokat. Az ellátási lánc fontos szereplőiként ugyanis állandóan a támadók célkeresztjében mozognak, a 2022-es és 2023-as kibertámadási trendek pedig egyre másra arról számolnak be, hogy az idő előrehaladtával párhuzamosan növekedni fog az ellátási láncok elleni támadások intenzitása.

A kibervédelem erősítése így esszenciális lenne a vállalkozások számára is, ám az kétségtelen, hogy míg egy nagyvállalat elő tudja teremteni az ehhez – és ezáltal az irányelv által előírt kritériumok megteremtéséhez – szükséges összeget, addig a szűkebb büdzséből gazdálkodó vállalkozások nem igazán.

Így a NIS 2 a nagyvállalatok kiberbiztonságának növelését valóban elősegíti, és a kisvállalkozásokhoz is lecsoroghat közvetetten az intézkedésből, ugyanakkor a jövőben arra is szükség volna, hogy a szóban forgó szegmens is rendelkezzen átfogó, komplex, a gyakorlatban is jó megoldásokkal, útmutatással szolgáló irányelvvel.