NIS2 irányelv: 2024. június 30. a nyilvántartásba vételi határidő az érintett szervezetek részére

Magyarországon a NIS2 Irányelv átültetése már 2023. májusában megtörtént a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről 2023. évi XXIII. törvény megalkotásával. A NIS2 irányelvet átültető jogszabály értelmében a hazai érintett szervezeteknek 2024. június 30-ig kell kérelmeznie a nyilvántartásba vételt.

Mint az új magyar jogszabály elnevezése is mutatja, a törvény a NIS2 Irányelv átültetése mellett az ENISA-ról és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló EU rendelet (kiberbiztonsági jogszabály) végrehajtásához szükséges rendelkezéseket is megállapítja.

Érintett szervezetek

A NIS2 szabályait átültető magyar szabályokat a törvény 1. melléklete szerinti kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint a 2. melléklet szerinti kockázatos ágazatokban működő szolgáltatók és szervezetek (a továbbiakban együtt: érintett szervezetek) elektronikus információs rendszereire kell alkalmazni. A lista gyakorlatilag megegyezik a NIS2 Irányelv I. és II. mellékletében foglalt listával.

A jogszabályt – néhány kivételtől eltekintve, pl. hírközlési szolgáltatók – nem kell alkalmazni a mikro- és kisvállalkozásokra (küszöbértékek: 50 munkavállalónál kevesebb foglalkoztatott és legfeljebb 10 millió eurónak megfelelő nettó árbevétel vagy mérlegfőösszeg). A törvényt nem kell alkalmazni továbbá a honvédelmi célú elektronikus információs rendszerekre és hálózatokra, valamint az európai vagy nemzeti létfontosságú rendszerelemmé kijelölt rendszerelemeknek a létfontosságú tevékenységben közreműködő elektronikus információs rendszereinek védelmére.

Joghatóság

A magyar jogszabály nem ülteti át a NIS2 Irányelv joghatóságra vonatkozó szabályait, amelyek szerint a hatálya alá tartozó szervezeteket a letelepedésük szerinti tagállam joghatósága alá tartozónak kell tekinteni. Ha a szervezet több tagállamban nyújt szolgáltatásokat vagy több tagállamban is letelepedett, akkor a szervezet külön és egyidejűleg minden érintett tagállam joghatósága alá tartozik.

Akadnak azonban kivételek, így többek között a nyilvánosan elérhető hírközlési szolgáltatásokat nyújtó elektronikus hírközlési szolgáltatók a szolgáltatásnyújtásuk helye szerinti tagállam joghatósága alá tartoznak, míg a DNS-szolgáltatókat, legfelső szintű doménnév-nyilvántartókat és doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteket, felhőszolgáltatókat, adatközpont-szolgáltatókat, tartalomszolgáltató hálózati szolgáltatókat, irányított szolgáltatókat és irányított biztonsági szolgáltatókat, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatóit azon tagállam joghatósága alá tartozónak kell tekinteni, ahol az üzleti tevékenységük fő helye található.

Lépcsőzetes megközelítésben szükséges megállapítani azt, hogy mi tekinthető az üzleti tevékenység fő helyének: elsősorban azt kell figyelembe venni, ahol a kiberbiztonsági döntéseket túlnyomó részt meghozzák, ha pedig ilyen nem határozható meg, akkor a kiberbiztonsági műveletek helyszínét kell irányadónak tekinteni. Abban az esetben, ha erre sem lehet támaszkodni, akkor a szervezet legmagasabb munkavállalói létszámmal rendelkező telephelye szerinti tagállamnak lesz joghatósága.

Mindezek a szabályok azonban a magyar jogszabályba nem kerültek átültetésre, amely problematikus lehet, hiszen az Európai Unió irányelveiben foglalt rendelkezések csak külön tagállami átültető aktusok révén hivatkozhatók közvetlenül, néhány igen ritka eset kivételével. Ezért a több tagállamban is letelepedett, fent felsorolt tevékenységet folytató szervezeteknek kockázatelemzést célszerű folytatniuk, hogy kívánnak-e Magyarországon regisztrálni, abban az esetben, ha a fenti szabályok alapján nem feltétlenül tartoznának magyarországi joghatóság alá.

Intézkedések

A magyar jogszabály a NIS2 szabályaival összhangban az érintett szervezetek elektronikus információs rendszereinek és azok fizikai környezetének kíván védelmet biztosítani minden olyan eseménytől, amely veszélyeztetheti a tárolt, továbbított vagy feldolgozott adatokat, információkat, továbbá az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

Ennek érdekében az érintett szervezeteknek számos kockázatkezelési intézkedést kell bevezetniük, ilyen többek között az információbiztonsági irányítási rendszer létrehozása, a kockázatok feltárása és elemzése, valamint a biztonságot veszélyeztető események megelőzése, felismerése, kezelése és hatásainak csökkentése. Az intézkedéseknek ki kell terjednie továbbá az üzletmenet-folytonosságra és az elektronikus információs rendszerek, valamint az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére és üzemeltetésére.

Amennyiben az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában, vagy javításában közreműködőt vesz igénybe, úgy a feltételeknek a közreműködő esetén is teljesülnie kell.

Az érintett szervezetek vezetői kötelesek az elektronikus információs rendszerek biztonságáért felelős személyt kijelölni, és meghatározni felelősségi köreit. Emellett gondoskodniuk kell arról, hogy a felhasználókra vonatkozó szabályok egyértelműek legyenek, valamint információbiztonsági képzéseket kell biztosítaniuk a munkavállalóik részére.

Az érintett szervezeteknek 2024. június 30-ig kell regisztrálni Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH).

Biztonsági osztályba sorolás – már a részletszabályok is ismertek

Az érintett szervezeteknek az elektronikus információs rendszereiket biztonsági osztályokba kell sorolniuk (alap, jelentős vagy magas biztonsági osztály). A biztonsági osztályba sorolás szempontrendszere miniszteri rendeletben került meghatározásra, amely 2024. június 24-én került kihirdetésre (7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről). A besorolás alapján az érintett szervezet az elektronikus információs rendszerére érvényes biztonsági osztályhoz rendelt követelményeket szintén a miniszteri rendeletben meghatározott módon teljesíti.

Az érintett szervezet a kockázatelemzés és a kockázatok kezelése körében azonosítja és dokumentálja az elektronikus információs rendszer bizalmassága, sértetlensége és rendelkezésre állása szempontjából értelmezhető fenyegetéseket a rendeletben foglalt fenyegetéskatalógus elemeinek vizsgálatával.

Audit

Az érintett szervezetek kétévente kötelesek kiberbiztonsági auditot elvégeztetni, amellyel bizonyítani tudják, hogy az elektronikus információ rendszereik biztonsági osztályba sorolásának megfelelő védelmi intézkedéseket bevezették be. Auditot kizárólag az SZTFH rendeletében meghatározott feltételeknek megfelelő, nyilvántartásba vett auditor végezhet (lásd 7/2024. (VI. 24.) SZTFH rendelet). Az audit eredményét az auditor egyenesen megküldi az SZTFH-nak és már az audit lefolytatása során tájékoztatja az hatóságot, ha olyan súlyos körülményt állapít meg, ami az adott szervezet folyamatos működését veszélyezteti.

Kiberbiztonsági esemény jelentése

Ha az elektronikus információs rendszerben olyan biztonsági esemény történt vagy annak közvetlen bekövetkezése fenyeget, amely

      a) az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz, vagy

      b) jelentős vagyoni vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára,

úgy az érintett szervezet köteles haladéktalanul az eseménykezelő központ (a Nemzetbiztonsági Szakszolgálat keretei között működő Nemzeti Kibervédelmi Intézet) részére bejelentést tenni. Az incidens bejelentésére 72 óra áll rendelkezésre.

Fontos határidők

Az érintett szervezetek első kötelezettségének teljesítési határideje már hamarosan lejár: június 30-ig regisztrálniuk kell a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt online felületen, hogy bekerüljenek a nyilvántartásba.

nis2
Felügyeleti eszközök

Az SZTFH számos felügyeleti eszközzel fog rendelkezni a jogszabály betartása érdekében: többek között nyilvántartást vezet, rendkívüli auditot rendelhet el, dokumentációt kérhet be, figyelmeztethet, intézkedések meghozatalát rendelheti el és eltilthat a veszélyeztető tevékenységektől, végső esetben pedig bírságolhat is.

Szerzők: Kozma Zoltán, Almásy Márk

Kozma Zoltán

Kozma Zoltán

Partner,

Szellemi Alkotások és Technológiai csoportvezető

Kozma Zoltán

Zoltán a DLA Piper Hungary Szellemi Alkotások és Technológia (IPT) csapatának vezetője és pro bono koordinátora. Szakterületei elsősorban az információtechnológia, a média- és hírközlési jog, az adatvédelem és a szellemi alkotások joga, emellett széleskörű tapasztalattal rendelkezik a munkajog területén is. Tanácsadással és peres képviselettel egyaránt foglalkozik. Számos adatvédelmi megfelelési projektben vett részt, ügyfeleit adatvédelmi és egyéb hatósági eljárásokban is képviseli.
E-mailt küldök

Kérdése van? Keressen minket bizalommal!

Kövesse LinkedIn oldalunkat!

Legfrissebb blogcikkeink

Energetika | Energy

Where is the domestic property market heading?

Some segments of the real estate market are expected to improve slowly, while ESG considerations are becoming increasingly important, according to the DLA Piper Hungary Real Estate Intelligence Report 2024. Gábor Borbély, Partner, Head of the Finance and Real Estate at DLA Piper Hungary and Tamás Balogh, Counsel, Real Estate Service Stream Leader at DLA Piper Hungary present the key trends shaping the Hungarian real estate market.

Tovább »