NIS 2
Mi a célja a szabályozásnak?
A kiberbiztonsági képességek egész Unióban történő kiépítése, a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtására használt hálózati és információs rendszerek fenyegetéseinek mérséklése és az említett szolgáltatások folyamatosságának biztosítása az informatikai rendszereket érintő információbiztonsági események bekövetkezése során, hozzájárulva ezzel a globális biztonsághoz, valamint a gazdaság és társadalom hatékony működéséhez.
Érintettek köre:
A NIS 2 irányelv alapján a szervezeteknek a kockázatokkal arányos technikai, operatív és szervezési intézkedéseket kell alkalmazniuk abból a célból, hogy kezeljék a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegető kockázatokat. A NIS 2 irányelvben a két fő csoportot az alapvető és a fontos szervezetek képezik: 18 ágazat, 30 alágazat, 67 szolgáltatására terjed ki.
Kiemelten kritikus ágazatok:
Energia, Szállítás, Banki szolgáltatások, Pénzügyi piaci infrastruktúrák, Egészségügy, Ivóvíz, Szennyvíz, Digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), Közigazgatás, Világűr
Egyéb kritikus ágazatok:
Postai és futárszolgáltatások, Hulladékgazdálkodás, Vegyszerek gyártása, előállítása és forgalmazása, Élelmiszer-termelés, -feldolgozás és –forgalmazás, Gyártás, Digitális szolgáltatók, Kutatás
Az ügyfélkör kibővül:
A NIS 2 a központi és regionális szintű közigazgatási szervekre is alkalmazandó lesz. A központi közigazgatási szervek mindenképpen alapvető szervezetek közé tartoznak. A kiberbiztonsági jogszabályok hatályát az állam többségi tulajdonában álló gazdasági társaságokra is ki fogják terjeszteni. Azt, hogy egy szervezet vagy gazdasági társaság a NIS 2 hatálya alá tartozik, a KSH adatai alapján határolja be az SZTFH.
Jogszabályi változások:
Ibtv. (az állami és önkormányzati intézmények információbiztonságáról szóló 2013. évi L. tv.), a 41/2015. BM rendelet módosítása és új jogszabály kiadása, hatályba lép (2024. január 01. és október 18.) a Kibertantv. (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről), a Kibertantv. végrehajtási rendeletei: 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról), 23/2023 (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról.