OFFICE SOLUTIONS

NIS 2 -irányelv

 

E nehézségek leküzdése és a kiberbiztonság további erősítése érdekében az Európai Parlament és az Európai Unió Tanácsa 2022. december 27-én közzétette a NIS 2. irányelvet.

Hálózat- és információbiztonság - a NIS 2 már elérhető!

Az új irányelv a többi ágazati szabályozással való jogi összhangra épül. Az 50 főnél több alkalmazottat foglalkoztató és 10 millió eurót meghaladó éves árbevétellel rendelkező közép- és nagyvállalatokra kiterjesztett egyedi hatályával az irányelv a rendelet mellékletében és 1. cikkében meghatározott szervezettípusokra, valamint a 2022/2557 irányelvben kulcsszervezetként meghatározott szervezetekre nézve kötelező. A rendelet meghagyja a tagállamoknak a lehetőséget, hogy a rendelet hatályát további szervezetekre (pl. oktatási és kutatási intézményekre) is kiterjesszék.

 

A NIS 2 létrehozza a számítástechnikai bűnözés elleni európai összekötő hálózatot (EU-CyCLONe), hogy támogassa a nagyobb kiberbiztonsági incidensek és válságok összehangolt kezelését. Az együttműködési csoport a tagállamok, az Európai Bizottság és az ENISA képviselőiből áll majd. Minden tagállam kijelöl vagy létrehoz egy vagy több CSIRT-et, amelyek kijelölhetők vagy létrehozhatók az illetékes hatóságokon belül, amelyek megfelelnek a 11. cikk (1) bekezdésében meghatározott követelményeknek, lefedik legalább az I. és II. mellékletben meghatározott ágazatokat, alágazatokat és szervezettípusokat, és egyértelműen felelősek az incidensek meghatározott folyamatoknak megfelelő kezeléséért. A rendelet előírja, hogy súlyos incidens esetén a hatálya alá tartozó szervezeteknek értesíteniük kell a tagállamok vagy a hálózatok és információs rendszerek biztonságáért felelős nemzeti hatóságok által kijelölt számítógépes biztonsági incidenskezelő csoportot (CSIRT).

Létrejön továbbá egy összehangolt sebezhetőségi közzétételi rendszer és egy európai sebezhetőségi adatbázis.

 

A NIS 2 értelmében a tagállamoknak kezelniük kell a kritikus és fontos szervezetek által tevékenységük vagy szolgáltatásnyújtásuk során használt hálózatokat és információs rendszereket fenyegető biztonsági kockázatokat, hogy megelőzzék vagy minimálisra csökkentsék az incidenseknek a szolgáltatás felhasználóira és más szolgáltatásokra gyakorolt hatását, Biztosítaniuk kell, hogy megfelelő és arányos műszaki, működési és szervezeti intézkedések legyenek érvényben.

Az irányelv 2023. január 16-án, 20 nappal a kihirdetése után lép hatályba, és a tagállamoknak ettől kezdve 21 hónap áll rendelkezésükre, hogy azt nemzeti jogukba átültessék.