A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek.
Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani.
Hazánkban várhatóan több mint 2500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.
Kiemelten kritikus ágazatok (alapvető szervezetek):
- energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
- szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
- banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
- egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
- ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
- digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
- közigazgatás
- kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
- világűr, űripar
Egyéb kritikus ágazat (fontos szervezetek)
- postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
- hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
- vegyszerek gyártása, -előállítása és -forgalmazása
- élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
- meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
- digitális szolgáltatások
- kutatóhelyek
Kötelezettségek
- incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
- 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
- 1 hónapon belüli zárójelentés kötelezettség
- információbiztonságért felelős személyt kell kijelölni
- az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
- kiberbiztonság átfogó megközelítése
- el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
- biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
- meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
- kiberhigiéniai szakpolitika biztosítása
- kritikus incidensek azonosítása
- érintett infrastruktúrák fejlesztése
- informatikai biztonsági szabályzat kidolgozása (IBSZ)
- ellátási lánc biztonságának biztosítása
- incidensekre való reagálási terv kidolgozása
- üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) – tartalékrendszerek kezelése
- katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
- titkosítási megoldások alkalmazása
- többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
- biztonsági kockázatértékelések elvégzése
- biztonságos hang-, video- és szöveges kommunikáció biztosítása
- a hálózat és a teljes rendszer monitorozása, felügyelete
- a munkavállalók és a vezetők képzése
- biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
- sérülékenységi vizsgálatok elvégzése
- nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
- 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
- éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)
Forrás: dunaelektronika.com
Kapcsolódó cikkek:
