This document is an excerpt from the EUR-Lex website
Document 32022L2555
Hálózati és információs rendszerek kiberbiztonsága (2022)
Az irányelv (az úgynevezett NIS 2 irányelv) közös kiberbiztonsági szabályozási keretet határoz meg, amelynek célja a kiberbiztonság szintjének növelése az Európai Unióban (EU); ehhez előírja az uniós tagállamok számára a kiberbiztonsági képességek megerősítését, valamint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstétel bevezetését a kritikus ágazatokban, továbbá az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó szabályokat.
Kiberbiztonság: azok a tevékenységek, amelyek a kiberfenyegetésekkel érintett hálózati és információs rendszereknek, az ilyen rendszerek felhasználóinak és más személyeknek a védelméhez szükségesek.
Kritikus ágazatok
Az irányelv elsősorban a következő – az I. mellékletben meghatározott – kiemelten kritikus ágazatokban működő közép- és nagyvállalatokra vonatkozik:
Az irányelv hatálya kiterjed a II. mellékletben meghatározott egyéb kritikus ágazatokra is:
Nemzeti kiberbiztonsági stratégia
A kritikus ágazatok magas szintű kiberbiztonságának elérése és fenntartása céljából minden tagállam köteles nemzeti kiberbiztonsági stratégiát elfogadni, amely a következőket tartalmazza:
A tagállamok 2025. április 17-ig összeállítják a lényeges és fontos szervezetek, valamint a doménév-bejegyzési szolgáltatásokat nyújtó szervezetek jegyzékét. A tagállamoknak rendszeresen, de legkésőbb ezt követően kétévente felül kell vizsgálniuk és – adott esetben – aktualizálniuk kell a jegyzéket. Az Európai Bizottság iránymutatásokat fogadott el a jegyzékek összeállítása során összegyűjtendő információkra, valamint ennek formanyomtatványára nézve.
A Bizottság egy iránymutatást is kiadott, melyben egyértelműsíti az (EU) 2022/2555 irányelv, illetve a kiberbiztonsági kockázatkezelési intézkedésekkel vagy az incidensek jelentésére vonatkozó követelményekkel foglalkozó jelenleg hatályos és a jövőbeli ágazatspecifikus uniós jogi aktusok közötti kapcsolatra vonatkozó szabályokat. Az iránymutatás függeléke emellett kiemeli azokat az ágazatspecifikus jogi aktusokat, amelyeket a Bizottság az (EU) 2022/2555 irányelv hatálya alá tartozónak tart.
Számítógép-biztonsági eseményekre reagáló csoportok
A számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) többek között az alábbiak útján nyújtanak technikai segítséget szervezetek számára:
A CSIRT-ek hálózata
Az irányelv létrehozza a nemzeti CSIRT-ek hálózatát a gyors és hatékony operatív együttműködés elősegítése érdekében.
Sérülékenységek összehangolt közzététele
A tagállamok kötelesek:
Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) európai sérülékenység-adatbázist hoz létre és tart fenn.
Együttműködési csoport
Az irányelv együttműködési csoportot hoz létre a stratégiai együttműködés és az információcsere támogatására és megkönnyítésére. A csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Az együttműködési csoport adott esetben meghívhatja az Európai Parlamentet és az érintett érdekelt felek képviselőit, hogy vegyenek részt munkájában.
Az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata
Az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe) a tagállamok kiberválságok kezelésével foglalkozó hatóságainak képviselőiből, valamint – azokban az esetekben, amikor egy potenciális vagy folyamatban lévő nagyszabású kiberbiztonsági esemény jelentős hatással van vagy valószínűleg jelentős hatást gyakorolhat az ezen irányelv hatálya alá tartozó ágazatokra – a Bizottság képviselőiből áll. Egyéb esetekben a Bizottság megfigyelőként vesz részt a hálózat tevékenységében.
A hálózat támogatja a nagyszabású kiberbiztonsági események és válságok operatív szintű összehangolt kezelését, valamint biztosítja az információk tagállamok és az uniós intézmények, szervek és ügynökségek közötti rendszeres cseréjét.
A hálózat feladatai többek között az alábbiak:
Jelentéstétel
A szervezetek kötelesek értesíteni a CSIRT-jüket vagy az illetékes hatóságot minden olyan eseményről, amely:
Az ENISA a Bizottsággal és az együttműködési csoporttal együttműködve kétéves jelentést ad ki az Unió kiberbiztonságának helyzetéről, és azt benyújtja az Európai Parlamentnek.
Felügyelet és végrehajtás
Az irányelv a végrehajtás biztosítása érdekében jogorvoslatokat és szankciókat ír elő.
Szakértői értékelések
A szakértői értékelések célja a közös tapasztalatokból való tanulás, a kölcsönös bizalom erősítése, a kiberbiztonság egységesen magas szintjének elérése, valamint a tagállamok kiberbiztonsági képességeinek és az irányelv végrehajtásához szükséges szakpolitikáinak javítása. A szakértői értékeléseknek részét képezik a tényleges vagy virtuális helyszíni látogatások és a helyszínen kívüli információcsere. A szakértői értékelésekben való részvétel önkéntes.
Az irányelvet 2024. október 17-ig kell átültetni a nemzeti jogba. A benne foglalt szabályok 2024. október 18-tól kezdődően hatályosak.
Az irányelv 2024. október 18-tól hatályon kívül helyezi az (EU) 2016/1148 irányelvet (lásd az összefoglalót).
További információk:
Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80–152. o.)
Az (EU) 2022/2555 irányelv későbbi módosításait belefoglalták az eredeti változatba. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.
A Bizottság közleménye: A Bizottság iránymutatása az (EU) 2022/2555 irányelv (NIS 2 irányelv) 3. cikke (4) bekezdésének alkalmazásáról 2023/C 324/02 (HL L 324., 2023.9.14., 2–7. o.)
A Bizottság közleménye: A Bizottság iránymutatása az (EU) 2022/2555 irányelv (NIS 2 irányelv) 4. cikke (1) és (2) bekezdésének alkalmazásáról 2023/C 328/02 (HL L 328., 2023.9.18., 2–10. o.)
Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333., 2022.12.27., 1–79. o.)
Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 164–198. o.)
Az Európai Parlament és a Tanács (EU) 2021/696 rendelete (2021. április 28.) az uniós űrprogram és az Európai Unió Űrprogramügynökségének a létrehozásáról, valamint a 912/2010/EU, az 1285/2013/EU és a 377/2014/EU rendelet és az 541/2014/EU határozat hatályon kívül helyezéséről (HL L 170., 2021.5.12., 69–148. o.)
Az Európai Parlament és a Tanács (EU) 2021/694 rendelete (2021. április 29.) a Digitális Európa program létrehozásáról és az (EU) 2015/2240 határozat hatályon kívül helyezéséről (HL L 166., 2021.5.11., 1–34. o.)
Lásd az egységes szerkezetbe foglalt változatot.
Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15–69. o.)
A Bizottság (EU) 2019/534 ajánlása (2019. március 26.) az 5G hálózatok kiberbiztonságáról (HL L 88., 2019.3.29., 42–47. o.)
Az Európai Parlament és a Tanács (EU) 2018/1139 rendelete (2018. július 4.) a polgári légi közlekedés területén alkalmazandó közös szabályokról és az Európai Unió Repülésbiztonsági Ügynökségének létrehozásáról és a 2111/2005/EK, az 1008/2008/EK, a 996/2010/EU, a 376/2014/EU európai parlamenti és tanácsi rendelet és a 2014/30/EU és a 2014/53/EU európai parlamenti és tanácsi irányelv módosításáról, valamint az 552/2004/EK és a 216/2008/EK európai parlamenti és tanácsi rendelet és a 3922/91/EGK tanácsi rendelet hatályon kívül helyezéséről (HL L 212., 2018.8.22., 1–122. o.)
Lásd az egységes szerkezetbe foglalt változatot.
A Tanács (EU) 2018/1993 végrehajtási határozata (2018. december 11.) az uniós politikai szintű integrált válságelhárítási mechanizmusról (HL L 320., 2018.12.17., 28–34. o.)
Az Európai Parlament és a Tanács (EU) 2018/1972 irányelve (2018. december 11.) az Európai Elektronikus Hírközlési Kódex létrehozásáról (átdolgozás) (HL L 321., 2018.12.17., 36–214. o.)
Lásd az egységes szerkezetbe foglalt változatot.
A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36–58. o.)
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1–88. o.)
Lásd az egységes szerkezetbe foglalt változatot.
Az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23. ) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 73–114. o.)
Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról (HL L 218., 2013.8.14., 8–14. o.)
Az Európai Parlament és a Tanács 1313/2013/EU határozata (2013. december 17.) az uniós polgári védelmi mechanizmusról (HL L 347., 2013.12.20., 924–947. o.)
Lásd az egységes szerkezetbe foglalt változatot.
Az Európai Parlament és a Tanács 2011/93/EU irányelve (2011. december 13.) a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról (HL L 335., 2011.12.17., 1–14. o.)
Lásd az egységes szerkezetbe foglalt változatot.
Az Európai Parlament és a Tanács 300/2008/EK rendelete (2008. március 11.) a polgári légi közlekedés védelmének közös szabályairól és a 2320/2002/EK rendelet hatályon kívül helyezéséről (HL L 97, 2008.4.9., 72–84. o.)
Lásd az egységes szerkezetbe foglalt változatot.
Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37–47. o.)
Lásd az egységes szerkezetbe foglalt változatot.
utolsó frissítés 03.05.2024