Hálózati és információs rendszerek kiberbiztonsága

ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:

(EU) 2016/1148 irányelv – hálózati és információs rendszerek kiberbiztonsága

MI AZ IRÁNYELV CÉLJA?

Javaslatot tesz a hálózati és információs rendszerek biztonsági szintjének (kiberbiztonság*) növelésére irányuló széles körű intézkedésekre az Unió gazdasága és társadalma szempontjából létfontosságú szolgáltatások biztosítása érdekében. Célja annak biztosítása, hogy az uniós országok jól felkészültek legyenek, és készen álljanak a kibertámadások kezelésére és azokra való reagálásra a következőkön keresztül:

illetékes hatóságok kijelölése;
számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) felállításával; és
nemzeti kiberbiztonsági stratégiák elfogadásával.

Uniós szintű együttműködést tesz továbbá lehetővé stratégiai és műszaki szinten egyaránt.

Végezetül pedig bevezeti az alapvető szolgáltatásokat nyújtó szereplők és digitális szolgáltatók tekintetében annak kötelezettségét, hogy megfelelő biztonsági intézkedéseket hozzanak, és tájékoztassák az érintett nemzeti hatóságokat a súlyos eseményekről.

FŐBB PONTOK

A nemzeti kiberbiztonsági képességek javítása

Az uniós országok kötelesek:

kijelölni egy vagy több illetékes nemzeti hatóságot és CSIRT-et, továbbá meghatározni egy egyedüli nemzeti kapcsolattartó pontot (amennyiben egynél több illetékes hatóság van);
azonosítani az alapvető szolgáltatásokat nyújtókat a kritikus ágazatokban, például energiaügyi, közlekedési, pénzügyi, banki, egészségügyi, vízügyi és digitális infrastruktúra ágazatában, ahol egy kibertámadás alapvető szolgáltatás zavarát okozhatja.

Az uniós országoknak nemzeti kiberbiztonsági stratégiát is be kell vezetniük a hálózati és információs rendszerek* tekintetében, amely a következőkre terjed ki:

legyenek felkészültek, és álljanak készen a kibertámadások kezelésére és azokra való reagálásra;
a kormány és egyéb felek szerepei, felelősségei és együttműködése;
oktatási, tájékoztató és képzési programok;
kutatás és fejlesztés tervezése;
kockázatok azonosításának tervezése.

Az illetékes nemzeti hatóságok figyelemmel kísérik az irányelv alkalmazását a következők révén:

az alapvető szolgáltatásokat nyújtók kiberbiztonsági és biztonsági szabályzatainak értékelése;
a digitális szolgáltatók felügyelete;
részvétel az együttműködési csoport munkájában (amely az egyes uniós országok hálózati és információbiztonsági [NIS] illetékes hatóságaiból, az Európai Bizottságból és az Európai Uniós Hálózat- és Információbiztonsági Ügynökségből [ENISA] áll);
a nyilvánosság tájékoztatása, amennyiben erre egy biztonsági esemény megelőzéséhez vagy egy már folyamatban lévő biztonsági esemény kezeléséhez szükség van, a bizalmas adatkezelés szabályai mellett;
kötelező érvényű utasítások kiadása a kiberbiztonsági hiányosságok orvoslására.

A CSIRT a következőkért felelős:

a kiberbiztonsági események nyomon követése és a rájuk való reagálás;
kockázat- és eseményelemzés, valamint helyzetkép nyújtása;
a CSIRT-ek hálózatában való részvétel;
együttműködés a magánszférával;
szabványosított gyakorlatok alkalmazásának szorgalmazása a biztonsági események és a kockázatok kezelése, valamint az információk osztályozása tekintetében.

Biztonsági és tájékoztatási kötelezettségek

Az irányelv igyekszik előmozdítani a kockázatkezelés kultúráját. A kiemelt ágazatokban tevékenységet folytató vállalkozások kötelesek értékelni kockázataikat, és intézkedéseket elfogadni a kiberbiztonság biztosítására. Ezek a vállalatok kötelesek tájékoztatni az illetékes hatóságokat vagy a CSIRT-eket minden olyan releváns biztonsági eseményről, például az adatok hackeléséről vagy ellopásáról, amely komolyan veszélyezteti a kiberbiztonságot és jelentős zavart okozhat a kritikus szolgáltatások vagy az áruellátás folytonosságában.

Az alapvető szolgáltatások* nyújtói által bejelentendő biztonsági események meghatározásához az uniós országok figyelembe veszik a biztonsági esemény időtartamát és földrajzi kiterjedését, valamint egyéb tényezőket, például az adott szolgáltatásra hagyatkozó felhasználók számát.

A kiemelt digitális szolgáltatóknak (keresőprogramok, felhőlapú számítástechnikai szolgáltatások és online piacterek) szintén meg kell felelniük a biztonsági és tájékoztatási kötelezettségnek.

Az uniós szintű együttműködés javítása

Az irányelv felállítja az együttműködési csoportot, amelynek feladatai a következők:

útmutatás nyújtása a CSIRT-ek hálózatának;
bevált gyakorlatok cseréje az alapvető szolgáltatások nyújtóinak azonosításában;
segítségnyújtás az uniós országoknak a kiberbiztonsági képességek kiépítésében;
információk és bevált gyakorlatok cseréje a tájékoztatásra és oktatásra, kutatásra és fejlesztésre vonatkozóan;
információk megosztása, és a bevált gyakorlatok összegyűjtése a kockázatokra és biztonsági eseményekre vonatkozóan;
a biztonsági eseményekkel kapcsolatban tett bejelentések alapján hozott szabályok megvitatása.

Létrehozza továbbá a CSIRT-hálózatot, amely az uniós országok CSIRT-jeiből és a hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT-EU) képviselőiből áll. A következők tartoznak a feladatai közé:

információk megosztása a CSIRT-szolgáltatásokra vonatkozóan;
információk megosztása a kiberbiztonsági eseményekre vonatkozóan;
az uniós országok támogatása a határokon átnyúló eseményekre való reagálásban;
koordinált válasz megvitatása és azonosítása valamely uniós ország által bejelentett biztonsági eseményre;
az operatív együttműködés további formáinak megvitatása, megvizsgálása és meghatározása a következőkkel kapcsolatban:
- a kockázatok és biztonsági események kategóriái;
- korai előrejelzés;
- kölcsönös segítségnyújtás;
- a koordináció az országok között egynél több uniós országot érintő kockázatokra és biztonsági eseményekre való reagálás során;
az együttműködési csoport tájékoztatása a tevékenységeiről és iránymutatás kérése;
a kiberbiztonsági gyakorlatokból levont tanulságok megvitatása;
az egyes CSIRT-ek képességeinek megvitatása azok kérésére;
iránymutatások kibocsátása az operatív együttműködésre vonatkozóan.

Szankciók

Az uniós országok kötelesek hatékony, arányos és visszatartó erejű szankciókat alkalmazni az irányelv feltételei alkalmazásának biztosítása érdekében.

MIKORTÓL HATÁLYOS EZ AZ IRÁNYELV?

Az irányelv 2016. augusztus 8. óta hatályos. Az uniós országoknak az irányelvet 2018. május 9-ig kell átültetniük nemzeti jogukba, és 2018. november 9-ig azonosítaniuk kell az alapvető szolgáltatások nyújtóit.

HÁTTÉR

Kiberbiztonság (Európai Bizottság)
Kiberbiztonság: A Bizottság felgyorsítja a kibertámadásokra adott válaszát – sajtóközlemény (Európai Bizottság)
A hálózati és információs rendszerek biztonságáról szóló irányelv – sajtóközlemény (Európai Bizottság)
Ellenálló képesség, elrettentés és védelem: erős kiberbiztonság kialakítása az EU-ban – tájékoztató (Európai Bizottság).

KULCSFOGALMAK

Kiberbiztonság: a hálózati és információs rendszerek azon képessége, hogy ellenálljanak olyan cselekedeteknek, amelyek veszélyeztetik a digitális adatok hozzáférhetőségét, hitelességét, sértetlenségét vagy titkosságát, vagy az érintett rendszerek által nyújtott szolgáltatásokat.

Hálózati és információs rendszer: elektronikus hírközlő hálózat, vagy minden olyan eszköz vagy egymással összekapcsolt eszközök csoportja, amelyek digitális adatokat dolgoznak fel, valamint a tárolt, kezelt, visszakeresett vagy továbbított digitális adatok.

Alapvető szolgáltatások: a társadalom vagy gazdaság szempontjából fontos szerepet betöltő magán- és állami vállalkozások, például vízellátás, villamosáram-szolgáltatás stb.

FŐ DOKUMENTUM

Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194., 2016.7.19., 1–30. o.)

KAPCSOLÓDÓ DOKUMENTUMOK

A Bizottság (EU) 2018/151 végrehajtási rendelete (2018. január 30.) a hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése céljából a digitális szolgáltatók által figyelembe veendő elemek és a biztonsági események hatása jelentőségének megállapítására szolgáló paraméterek pontosabb meghatározása tekintetében az (EU) 2016/1148 európai parlamenti és tanácsi irányelv alkalmazására vonatkozó szabályok meghatározásáról (HL L 26., 2018.1.31., 48–51. o.)

A Bizottság (EU) 2017/179 végrehajtási határozata (2017. február 1.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 európai parlamenti és tanácsi irányelv 11. cikkének (5) bekezdése értelmében az együttműködési csoport működéséhez szükséges eljárásrend megállapításáról (HL L 28., 2017.2.2., 73–77. o.)

A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak: A kiberbiztonsági irányelv maximális kihasználása – a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló 1148/2016/EU irányelv hatékony végrehajtása felé (COM(2017) 476 final 2, 2017.10.4.)

A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36–58. o.)

Közös közlemény az Európai Parlamentnek és a Tanácsnak – Ellenálló képesség, elrettentés, védelem: az Unió erőteljes kiberbiztonságának kiépítése (JOIN(2017) 450 final, 2017.9.13.)

Bizottsági szolgálati munkadokumentum – A 2013-as uniós kiberbiztonsági stratégia eredményeinek értékelése (SWD(2017) 295 final, 2017.9.13)

Az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 73–114. o.)

A Tanács 2013/488/EU határozata (2013. szeptember 23.) az EU-minősített adatok védelmét szolgáló biztonsági szabályokról (HL L 274., 2013.10.15., 1–50. o.).

Az eredeti dokumentum tartalmazza a 2013/488/EU határozat további módosításait. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról (HL L 218., 2013.8.14., 8–14. o.)

Az Európai Parlament és a Tanács 526/2013/EU rendelete (2013. május 21.) az Európai Uniós Hálózat- és Információbiztonsági Ügynökségről (ENISA) és a 460/2004/EK rendelet hatályon kívül helyezéséről (HL L 165., 2013.6.18., 41–58. o.)

Közös közlemény az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának – Az Európai Unió kiberbiztonsági stratégiája: Nyílt, megbízható és biztonságos kibertér (JOIN(2013) 1 final, 2013.2.7.)

utolsó frissítés 01.03.2018