Hálózati és információs rendszerek kiberbiztonsága (2022)

ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:

(EU) 2022/2555 irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről

MI AZ IRÁNYELV CÉLJA?

Az irányelv (az úgynevezett NIS 2 irányelv) közös kiberbiztonsági szabályozási keretet határoz meg, amelynek célja a kiberbiztonság szintjének növelése az Európai Unióban (EU); ehhez előírja az uniós tagállamok számára a kiberbiztonsági képességek megerősítését, valamint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstétel bevezetését a kritikus ágazatokban, továbbá az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó szabályokat.

FŐBB PONTOK

Kiberbiztonság: azok a tevékenységek, amelyek a kiberfenyegetésekkel érintett hálózati és információs rendszereknek, az ilyen rendszerek felhasználóinak és más személyeknek a védelméhez szükségesek.

Kritikus ágazatok

Az irányelv elsősorban a következő – az I. mellékletben meghatározott – kiemelten kritikus ágazatokban működő közép- és nagyvállalatokra vonatkozik:

• energiaügy,
  • villamos energia, ideértve a termelő, az elosztó és az átviteli rendszereket és a töltőpontokat,
  • távfűtés és távhűtés,
  • olaj, ideértve a termelést, a tárolást és az olajszállító csővezetékeket,
  • gáz, ideértve az ellátó, az elosztó és a szállítási rendszereket, valamint a tárolást, és
  • hidrogén;
• légi, vasúti, vízi és közúti közlekedés;
• banki és pénzügyi piaci infrastruktúrák, például hitelintézetek, kereskedési helyszínek működtetői és központi szerződő felek;
• egészségügy, ideértve az egészségügyi szolgáltatókat, a gyógyszeralapanyagok és kritikus fontosságú orvostechnikai eszközök gyártóit és az uniós referencialaboratóriumokat;
• ivóvíz;
• szennyvíz;
• digitális infrastruktúra, ideértve az adatközpont-szolgáltatókat, a felhőszolgáltatásokat, a nyilvános elektronikus hírközlő hálózatokat és a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat.
• IKT irányított szolgáltatások (vállalkozások között);
• űrprogramok;
• a közigazgatás központi és regionális szinten, kivéve az igazságszolgáltatást, a parlamenteket és a központi bankokat, bár a nemzetbiztonság, közbiztonság, a védelem vagy a bűnüldözés területén tevékenységeket folytató közigazgatási szervekre nem vonatkozik.

Az irányelv hatálya kiterjed a II. mellékletben meghatározott egyéb kritikus ágazatokra is:

• postai és futárszolgáltatások;
• hulladékkezelés;
• vegyszerek gyártása, előállítása és forgalmazása;
• élelmiszer-termelés, -feldolgozás és -forgalmazás;
• gyártás, különösen orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek, bizonyos típusú villamos berendezések és gépek, gépjárművek és egyéb szállítóeszközök gyártása;
• online piacterek, keresőmotorok és közösségi média digitális szolgáltatói; valamint
• kutatóhelyek.

Nemzeti kiberbiztonsági stratégia

A kritikus ágazatok magas szintű kiberbiztonságának elérése és fenntartása céljából minden tagállam köteles nemzeti kiberbiztonsági stratégiát elfogadni, amely a következőket tartalmazza:

• a releváns érdekelt felek szerepét és felelősségi körét nemzeti szinten tisztázó irányítási keret;
• az ellátási láncok biztonságával kapcsolatos szakpolitikák;
• a sérülékenységek kezelésével kapcsolatos szakpolitikák;
• a kiberbiztonsággal kapcsolatos oktatás és képzés előmozdítását és fejlesztését célzó szakpolitikák;
• a polgárok körében a kiberbiztonsággal kapcsolatos tudatosság szintjének emelését célzó intézkedések.

A tagállamok 2025. április 17-ig összeállítják a lényeges és fontos szervezetek, valamint a doménév-bejegyzési szolgáltatásokat nyújtó szervezetek jegyzékét. A tagállamoknak rendszeresen, de legkésőbb ezt követően kétévente felül kell vizsgálniuk és – adott esetben – aktualizálniuk kell a jegyzéket. Az Európai Bizottság iránymutatásokat fogadott el a jegyzékek összeállítása során összegyűjtendő információkra, valamint ennek formanyomtatványára nézve.

A Bizottság egy iránymutatást is kiadott, melyben egyértelműsíti az (EU) 2022/2555 irányelv, illetve a kiberbiztonsági kockázatkezelési intézkedésekkel vagy az incidensek jelentésére vonatkozó követelményekkel foglalkozó jelenleg hatályos és a jövőbeli ágazatspecifikus uniós jogi aktusok közötti kapcsolatra vonatkozó szabályokat. Az iránymutatás függeléke emellett kiemeli azokat az ágazatspecifikus jogi aktusokat, amelyeket a Bizottság az (EU) 2022/2555 irányelv hatálya alá tartozónak tart.

Számítógép-biztonsági eseményekre reagáló csoportok

A számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) többek között az alábbiak útján nyújtanak technikai segítséget szervezetek számára:

• a kiberfenyegetések, sérülékenységek és események nyomon követése és elemzése nemzeti szinten;
• a kiberfenyegetésekkel, a sérülékenységekkel és az eseményekkel kapcsolatos korai előrejelzések, riasztások, bejelentéstételek és információterjesztés lehetőség szerint közel valós időben;
• reagálás az eseményekre és adott esetben segítségnyújtás;
• forenzikus adatok gyűjtése és elemzése, továbbá dinamikus kockázat- és eseményelemzés, valamint a kiberbiztonsággal kapcsolatos helyzetismeret biztosítása; továbbá
• kérésre hálózati és információs rendszerek proaktív átvizsgálásának biztosítása olyan sérülékenységek felderítése céljából, amelyek jelentős hatást gyakorolhatnak.

A CSIRT-ek hálózata

Az irányelv létrehozza a nemzeti CSIRT-ek hálózatát a gyors és hatékony operatív együttműködés elősegítése érdekében.

Sérülékenységek összehangolt közzététele

A tagállamok kötelesek:

• kijelölni egyik CSIRT-jét arra, hogy az IKT-termékek vagy -szolgáltatások kapcsán azonosított sérülékenységek összehangolt közzétételében koordinátorként részt vegyen;
• biztosítani, hogy a tagállamokban az emberek – kérésükre névtelenül – bejelenthessék a sérülékenységeket.

Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) európai sérülékenység-adatbázist hoz létre és tart fenn.

Együttműködési csoport

Az irányelv együttműködési csoportot hoz létre a stratégiai együttműködés és az információcsere támogatására és megkönnyítésére. A csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Az együttműködési csoport adott esetben meghívhatja az Európai Parlamentet és az érintett érdekelt felek képviselőit, hogy vegyenek részt munkájában.

Az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata

Az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe) a tagállamok kiberválságok kezelésével foglalkozó hatóságainak képviselőiből, valamint – azokban az esetekben, amikor egy potenciális vagy folyamatban lévő nagyszabású kiberbiztonsági esemény jelentős hatással van vagy valószínűleg jelentős hatást gyakorolhat az ezen irányelv hatálya alá tartozó ágazatokra – a Bizottság képviselőiből áll. Egyéb esetekben a Bizottság megfigyelőként vesz részt a hálózat tevékenységében.

A hálózat támogatja a nagyszabású kiberbiztonsági események és válságok operatív szintű összehangolt kezelését, valamint biztosítja az információk tagállamok és az uniós intézmények, szervek és ügynökségek közötti rendszeres cseréjét.

A hálózat feladatai többek között az alábbiak:

• a nagyszabású kiberbiztonsági események és válságok kezelésének összehangolása és a szakpolitikai szintű döntéshozatal támogatása;
• a felkészültség szintjének növelése;
• közös helyzetismeret kialakítása;
• a nagyszabású kiberbiztonsági események és válságok következményeinek és hatásának értékelése, valamint javaslattétel lehetséges mérséklési intézkedésekre.

Jelentéstétel

A szervezetek kötelesek értesíteni a CSIRT-jüket vagy az illetékes hatóságot minden olyan eseményről, amely:

• súlyos működési zavart okozott vagy képes okozni, vagy pénzügyi veszteséget okozott vagy képes okozni az érintett szervezetnek;
• jelentős vagyoni vagy nem vagyoni kár okozásával másokat érintett vagy képes érinteni.

Az ENISA a Bizottsággal és az együttműködési csoporttal együttműködve kétéves jelentést ad ki az Unió kiberbiztonságának helyzetéről, és azt benyújtja az Európai Parlamentnek.

Felügyelet és végrehajtás

Az irányelv a végrehajtás biztosítása érdekében jogorvoslatokat és szankciókat ír elő.

Szakértői értékelések

A szakértői értékelések célja a közös tapasztalatokból való tanulás, a kölcsönös bizalom erősítése, a kiberbiztonság egységesen magas szintjének elérése, valamint a tagállamok kiberbiztonsági képességeinek és az irányelv végrehajtásához szükséges szakpolitikáinak javítása. A szakértői értékeléseknek részét képezik a tényleges vagy virtuális helyszíni látogatások és a helyszínen kívüli információcsere. A szakértői értékelésekben való részvétel önkéntes.

MIKORTÓL ALKALMAZANDÓK EZEK A SZABÁLYOK?

Az irányelvet 2024. október 17-ig kell átültetni a nemzeti jogba. A benne foglalt szabályok 2024. október 18-tól kezdődően hatályosak.

HÁTTÉR

Az irányelv 2024. október 18-tól hatályon kívül helyezi az (EU) 2016/1148 irányelvet (lásd az összefoglalót).

További információk:

• Kiberbiztonság (Európai Bizottság)
• Kiberbiztonság: hogyan kezeli az EU a kiberfenyegetéseket? (Európai Tanács, Az Európai Unió Tanácsa)
• Miként reagál az EU a válságokra és hogyan erősíti a rezilienciát? (Európai Tanács, Az Európai Unió Tanácsa)
• Európa digitális jövője (Európai Tanács, Az Európai Unió Tanácsa)

FŐ DOKUMENTUM

Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80–152. o.)

Az (EU) 2022/2555 irányelv későbbi módosításait belefoglalták az eredeti változatba. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

KAPCSOLÓDÓ DOKUMENTUMOK

A Bizottság közleménye: A Bizottság iránymutatása az (EU) 2022/2555 irányelv (NIS 2 irányelv) 3. cikke (4) bekezdésének alkalmazásáról 2023/C 324/02 (HL L 324., 2023.9.14., 2–7. o.)

A Bizottság közleménye: A Bizottság iránymutatása az (EU) 2022/2555 irányelv (NIS 2 irányelv) 4. cikke (1) és (2) bekezdésének alkalmazásáról 2023/C 328/02 (HL L 328., 2023.9.18., 2–10. o.)

Az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról (HL L 333., 2022.12.27., 1–79. o.)

Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 164–198. o.)

Az Európai Parlament és a Tanács (EU) 2021/696 rendelete (2021. április 28.) az uniós űrprogram és az Európai Unió Űrprogramügynökségének a létrehozásáról, valamint a 912/2010/EU, az 1285/2013/EU és a 377/2014/EU rendelet és az 541/2014/EU határozat hatályon kívül helyezéséről (HL L 170., 2021.5.12., 69–148. o.)

Az Európai Parlament és a Tanács (EU) 2021/694 rendelete (2021. április 29.) a Digitális Európa program létrehozásáról és az (EU) 2015/2240 határozat hatályon kívül helyezéséről (HL L 166., 2021.5.11., 1–34. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15–69. o.)

A Bizottság (EU) 2019/534 ajánlása (2019. március 26.) az 5G hálózatok kiberbiztonságáról (HL L 88., 2019.3.29., 42–47. o.)

Az Európai Parlament és a Tanács (EU) 2018/1139 rendelete (2018. július 4.) a polgári légi közlekedés területén alkalmazandó közös szabályokról és az Európai Unió Repülésbiztonsági Ügynökségének létrehozásáról és a 2111/2005/EK, az 1008/2008/EK, a 996/2010/EU, a 376/2014/EU európai parlamenti és tanácsi rendelet és a 2014/30/EU és a 2014/53/EU európai parlamenti és tanácsi irányelv módosításáról, valamint az 552/2004/EK és a 216/2008/EK európai parlamenti és tanácsi rendelet és a 3922/91/EGK tanácsi rendelet hatályon kívül helyezéséről (HL L 212., 2018.8.22., 1–122. o.)

Lásd az egységes szerkezetbe foglalt változatot.

A Tanács (EU) 2018/1993 végrehajtási határozata (2018. december 11.) az uniós politikai szintű integrált válságelhárítási mechanizmusról (HL L 320., 2018.12.17., 28–34. o.)

Az Európai Parlament és a Tanács (EU) 2018/1972 irányelve (2018. december 11.) az Európai Elektronikus Hírközlési Kódex létrehozásáról (átdolgozás) (HL L 321., 2018.12.17., 36–214. o.)

Lásd az egységes szerkezetbe foglalt változatot.

A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36–58. o.)

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1–88. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23. ) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 73–114. o.)

Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról (HL L 218., 2013.8.14., 8–14. o.)

Az Európai Parlament és a Tanács 1313/2013/EU határozata (2013. december 17.) az uniós polgári védelmi mechanizmusról (HL L 347., 2013.12.20., 924–947. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 2011/93/EU irányelve (2011. december 13.) a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról (HL L 335., 2011.12.17., 1–14. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 300/2008/EK rendelete (2008. március 11.) a polgári légi közlekedés védelmének közös szabályairól és a 2320/2002/EK rendelet hatályon kívül helyezéséről (HL L 97, 2008.4.9., 72–84. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37–47. o.)

Lásd az egységes szerkezetbe foglalt változatot.

utolsó frissítés 03.05.2024