„A Tanács új jogszabályt fogadott el a kiberbiztonság Unió-szerte egységesen magas szintjének a biztosítása érdekében. A jogalkotó célja tovább javítani mind a köz-, mind a magánszektornak, illetve az Unió egészének a kiberrezilienciáját és a kiberbiztonsági eseményekre való reagálási képességét.
Az új, „NIS 2” elnevezésű irányelv a hálózati és információs rendszerek biztonságáról szóló jelenlegi irányelv (NIS-irányelv) helyébe lép.
Kétségtelen, hogy a kiberbiztonság még éveken át kulcsfontosságú kihívást fog jelenteni. Óriási a tét ezen a téren gazdaságaink és polgáraink számára. De ma tettünk egy újabb lépést annak érdekében, hogy megerősödjenek képességeink ennek a fenyegetésnek a kezelésére. – Ivan Bartoš, digitalizációért felelős miniszterelnök-helyettes, regionális fejlesztési miniszter.
A kiberbiztonsági kockázatok és események kezelésének javítása és fokozott együttműködés
A NIS 2 irányelv képezi majd a kiberbiztonsági kockázatkezelési intézkedések és bejelentési kötelezettségek alapját az irányelv hatálya alá tartozó valamennyi ágazatra, így az energiaszektorra, a közlekedésre, az egészségügyre és a digitális infrastruktúrára nézve.
A módosított irányelv célja, hogy harmonizálja a különböző tagállamok kiberbiztonsági követelményeit és kiberbiztonsági intézkedéseik végrehajtását. Ennek érdekében minimumszabályokat állapít meg a szabályozási keretre vonatkozóan, és mechanizmusokat határoz meg az egyes tagállamok illetékes hatóságai közötti hatékony együttműködéshez. Aktualizálja a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listáját, és a végrehajtás biztosítása érdekében jogorvoslatokról és szankciókról rendelkezik.
Az irányelv hivatalosan létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely támogatni fogja a nagyszabású kiberbiztonsági események és válságok összehangolt kezelését.
A szabályok hatályának kiterjesztése
Míg a korábbi kiberbiztonsági irányelv értelmében a tagállamok feladata volt annak meghatározása, hogy mely szervezetek felelnek meg azoknak a kritériumoknak, amelyek alapján alapvető szolgáltatásokat nyújtó szereplőnek minősülnek, az új NIS 2 irányelv most a szabályozott szervezetek azonosítása céljából bevezet egy általános méretkorlát-szabályt. Ez azt jelenti, hogy az irányelv általános szabályként kiterjed majd a hatálya alá tartozó ágazatokban működő vagy a hatálya alá tartozó szolgáltatásokat nyújtó minden közepes és nagyméretű szervezetre.
Noha a módosított irányelv megtartja ezt az általános szabályt, szövege kiegészült néhány olyan további rendelkezéssel, amelyek célja az arányosság és a magasabb szintű kockázatkezelés biztosítása, valamint a kritikus szintre vonatkozó egyértelmű kritériumok meghatározása annak megállapítása tekintetében, hogy mely szervezetek tartoznak az irányelv hatálya alá.
A szöveg azt is egyértelművé teszi, hogy az irányelv nem lesz alkalmazandó az olyan területeken tevékenységet folytató szervezetekre, mint a védelem vagy a nemzetbiztonság, a közbiztonság, illetve a bűnüldözés. Az igazságszolgáltatás, a parlamentek és a központi bankok szintén nem tartoznak az irányelv hatálya alá.
A NIS 2 irányelv a központi és regionális szintű közigazgatási szervekre is alkalmazandó lesz. Ezen túlmenően a tagállamok dönthetnek úgy, hogy az irányelvet helyi szintű közigazgatási szervekre is alkalmazni kell.
Az új jogszabály által bevezetett egyéb módosítások
Az új irányelvet ezenkívül hozzáigazították az ágazatspecifikus jogszabályokhoz is, így mindenekelőtt a pénzügyi ágazat digitális működési rezilienciájáról szóló rendelettel (DORA) és a kritikus fontosságú szervezetek rezilienciájáról szóló irányelvvel (CER) a jogi egyértelműség megteremtése, valamint a NIS 2 irányelv és az e jogi aktusok közötti koherencia garantálása céljából.
A szakértői tanulásra vonatkozó önkéntes mechanizmus növelni fogja a kölcsönös bizalmat és a bevált gyakorlatok és tapasztalatok megosztásából fakadó tudástöbbletet az Unióban, mindez pedig hozzájárul majd a kiberbiztonság egységesen magas szintjének eléréséhez is.
Az új jogszabály észszerűsíti továbbá a bejelentési kötelezettségeket annak érdekében, hogy azok ne vezessenek túlzott mértékű bejelentésekhez, illetve hogy ne háruljanak túl nagy terhek az irányelv hatálya alá tartozó szervezetekre.
További lépések
Az irányelv az elkövetkező napokban kihirdetésre kerül az Európai Unió Hivatalos Lapjában, a kihirdetését követő huszadik napon pedig hatályba lép.
A tagállamoknak az irányelv hatálybalépését követően 21 hónap áll rendelkezésükre, hogy a rendelkezéseket beépítsék nemzeti jogukba.
- Irányelv az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről (PE-CONS 32/22)
- Tervezet – Irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről – A Tanács általános megközelítése
- Kiberbiztonság: hogyan kezeli az EU a kiberfenyegetéseket (háttér-információk)
- Európa digitális jövője (háttér-információk)
- Miként reagál az EU a válságokra és hogyan erősíti a rezilienciát?
”
Forrás:
Az EU megerősíti a kiberbiztonságot és -reziliencát az Unió egész területén: a Tanács új irányelvet fogadott el; 2022. november 28.
