„A Tanács és az Európai Parlament a mai napon megállapodásra jutott az Unió egész területén egységesen magas szintű kiberbiztonságot biztosítani hivatott intézkedésekről, amely intézkedések célja, hogy tovább javuljon mind a köz-, mind a magánszektornak, illetve az Unió egészének a kiberrezilienciája és a kiberbiztonsági eseményekre való reagálási képessége.
Elfogadását követően az új, „NIS 2” elnevezésű irányelv a hálózati és információs rendszerek biztonságára vonatkozó jelenlegi irányelv (NIS-irányelv) helyébe fog lépni.
A kiberbiztonsági kockázatok és események kezelésének javítása és az együttműködés megerősítése
A NIS 2 irányelv képezi majd a kiberbiztonsági kockázatkezelési intézkedések és a bejelentési kötelezettségek alapját az irányelv hatálya alá tartozó valamennyi ágazatra nézve, így az energiaügy, a közlekedés, az egészségügy és a digitális infrastruktúra területén.
A módosított irányelv célja, hogy megszüntesse a kiberbiztonsági követelmények és a kiberbiztonsági intézkedések végrehajtása terén a különböző tagállamok között meglévő eltéréseket. Ennek érdekében minimumszabályokat állapít meg a szabályozási keretre vonatkozóan, és mechanizmusokat határoz meg az egyes tagállamok illetékes hatóságai közötti hatékony együttműködéshez. Aktualizálja a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listáját, és a jogszabály tiszteletben tartásának biztosítása érdekében jogorvoslati lehetőségekről és szankciókról rendelkezik.
Az irányelv hivatalosan létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely támogatni fogja a nagyszabású kiberbiztonsági események koordinált kezelését.
A szabályok hatályának kiterjesztése
Míg a korábbi kiberbiztonsági irányelv értelmében a tagállamok feladata volt annak meghatározása, hogy mely szervezetek felelnek meg azoknak a kritériumoknak, amelyek alapján alapvető szolgáltatásokat nyújtó szereplőnek minősülnek, az új NIS 2 irányelv most bevezet egy, a méretkorlátra vonatkozó szabályt. Ez azt jelenti, hogy az irányelv hatálya alá tartozó ágazatokban működő vagy szolgáltatásokat nyújtó valamennyi közepes és nagyméretű szervezet a hatály alá tartozik.
Noha ezt az általános szabályt az Európai Parlament és a Tanács közötti megállapodás megtartotta, az ideiglenesen elfogadott szöveg kiegészült olyan rendelkezésekkel, amelyek célja az arányosság és a magasabb szintű kockázatkezelés biztosítása, valamint a kritikus szintre vonatkozó egyértelmű kritériumok meghatározása annak megállapítása tekintetében, hogy mely szervezetek tartoznak az irányelv hatálya alá.
A szöveg azt is egyértelművé teszi, hogy az irányelv nem lesz alkalmazandó az olyan területeken tevékenységet folytató szervezetekre, mint a védelem vagy a nemzetbiztonság, a közbiztonság, a bűnüldözés és az igazságszolgáltatás. A parlamentek és a központi bankok szintén nem tartoznak az irányelv hatálya alá.
Mivel a közigazgatások szintén gyakran válnak kibertámadások célpontjaivá, a NIS 2 irányelv a központi kormányzatok közigazgatási szerveire is alkalmazandó lesz [beleértve az egyetemeket és a kutatóintézeteket is]. Ezen túlmenően a tagállamok dönthetnek úgy, hogy az irányelvet regionális és helyi szinten is alkalmazzák az ilyen szervekre.
A társjogalkotók által bevezetett egyéb módosítások
Az Európai Parlament és a Tanács összehangolta a szöveget az ágazatspecifikus jogszabályokkal, így mindenekelőtt a pénzügyi ágazat digitális működési rezilienciájáról szóló rendelettel (DORA) és a kritikus fontosságú szervezetek rezilienciájáról szóló irányelvvel (CER) a jogi egyértelműség megteremtése, valamint a NIS 2 irányelv és az e jogi aktusok közötti koherencia garantálása céljából.
A szakértői tanulásra vonatkozó önkéntes mechanizmus növelni fogja a kölcsönös bizalmat, valamint erősíteni fogja azt, hogy tanulni lehessen a bevált gyakorlatokból és tapasztalatokból, és ezáltal hozzájárul a kiberbiztonság egységesen magas szintjének eléréséhez.
A két társjogalkotó észszerűsítette továbbá a bejelentési kötelezettségeket annak érdekében, hogy elkerülhető legyen a túlzott mennyiségű jelentéstétel, illetve az, hogy az irányelv hatálya alá tartozó szervezetekre túlságosan nagy terhek háruljanak.
A tagállamoknak az irányelv hatálybalépését követően két év [tizennyolc hónap] áll a rendelkezésükre, hogy a rendelkezéseket beépítsék nemzeti jogukba.
Következő lépések
A ma létrejött ideiglenes megállapodást most a Tanácsnak és az Európai Parlamentnek jóvá kell hagynia.
A Tanács részéről a francia elnökség 2022. május végén szándékozik jóváhagyás céljából benyújtani a megállapodást a tanácsi Állandó Képviselők Bizottságának.
- Tervezet – Irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről – az ideiglenes megállapodás szövege később lesz elérhető
- Tervezet – Irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről – A Tanács általános megközelítése
- Kiberbiztonság: hogyan kezeli az EU a kiberfenyegetéseket (háttér-információk)
- Európa digitális jövője (háttér-információk)
- Miként reagál az EU a válságokra és hogyan erősíti a rezilienciát? (háttér-információk)
- Európa digitális jövőjének alakítása – Kiberbiztonsági politikák (a Bizottság ismertetője, csak angol nyelven elérhető oldal)
”
Forrás:
A kiberbiztonság és -reziliencia megerősítése az EU egész területén – Ideiglenes megállapodás a Tanács és az Európai Parlament között; Európai Unió Tanácsa; 2022. május 13.
