A NIS2-irányelv az Európai Unió egyik legjelentősebb kiberbiztonsági szabályozása. Célja, hogy egységes európai jogi keretet hozzon létre a kiberbiztonság fenntartása érdekében, különös tekintettel 18 kritikus ágazatra, mint az energia, az közlekedés és az egészségügy. Az irányelv felszólítja a tagállamokat, hogy határozzanak meg nemzeti kiberbiztonsági stratégiákat, és működjenek együtt az EU-val a határokon átnyúló reagálás, valamint végrehajtás érdekében.
Az uniós irányelv jelentősen kiszélesítette a szabályozás hatókörét, ugyanis már nemcsak a közszférát célozta, hanem a piaci szereplők széles körére is kiterjesztette a követelményeket. Beleértve azokat a vállalkozásokat, amelyek a digitális gazdaság kulcsszereplői. Emiatt a hatóságok számára számos új feladat merült fel, hiszen a szabályozás kiterjesztése az érintettek körének bővülésével is járt. Mindezt rendezetten kellett kezelni, hogy biztosítsák a jogszabályok hatékony alkalmazását.
A törvényalkotás gyakorlati megközelítésben
„A törvényalkotási munka során a gyakorlatias megközelítés azt diktálta, hogy minden releváns rendelkezést egyetlen törvényben egyesítsenek, így az érintetteknek – függetlenül attól, hogy milyen jogcímen érintettek – már nem kell több különálló jogszabályból összeállítaniuk a rájuk vonatkozó előírásokat”
– mondta Marsi Tamás, a Nemzeti Kibervédelmi Intézet (NKI) főosztályvezetője.
Az új szabályozás továbbá egyértelműen meghatározza a különböző szervek és hatóságok közötti feladat- és hatáskörmegosztást. Ez nemcsak a hatékonyabb működést biztosítja, hanem hozzájárul ahhoz is, hogy az érintettek egyértelmű iránymutatást kapjanak a jogszabályok alkalmazásáról.
„A szabályozás kiterjesztésével és a piaci szereplők bevonásával fokozódik a szereplők közötti párbeszéd és információcsere. Ez lehetőséget teremt az együttműködésre, a legjobb gyakorlatok megosztására, valamint a fenyegetésekkel kapcsolatos tapasztalatok gyorsabb átadására, ami a közös védekezés hatékonyságát növeli. Az incidensek bekövetkezési esélye így csökken, míg azok hatásai enyhülnek, köszönhetően az egységesebb védekezési stratégiáknak és a gyorsabb reagálási képességeknek”
– tette hozzá Marsi Tamás.
Magyarország: a megfelelés útján
Magyarországon a NIS2-irányelv átültetésére való felkészülés vegyes képet mutat. Egyes szektorok, például az energiaszolgáltatás és a telekommunikáció, jelentős előrelépéseket tettek, hiszen ezek a területek már korábban is szigorúbb kiberbiztonsági előírások szerint működtek. Ugyanakkor számos közepes méretű vállalkozás és intézmény nehezen birkózik meg az új követelményekkel, amelyek az incidenskezeléstől a kockázatértékelésig terjednek.
A hazai szakértők szerint a legnagyobb kihívást a megfelelő technológiai infrastruktúra kiépítése, valamint a szakemberhiány okozza. A cégek jelentős részénél hiányzik a kiberbiztonsági tudatosság, és a beruházási források korlátozottsága tovább nehezíti a megfelelést.
Nemzetközi vonatkozások: a jó gyakorlatok és a kihívások
A NIS2 nem csupán nemzeti, hanem nemzetközi szinten is kihívás elé állítja a vállalatokat és a kormányzatokat. Az észak-európai országok, például Finnország és Svédország élen járnak az irányelv implementációjában, mivel már korábban is erős kiberbiztonsági szabályozásaik voltak. Ezekben az országokban a kormányzat szoros együttműködésben dolgozik a magánszektorral, ami jelentősen megkönnyíti az új szabályok betartását.
Ezzel szemben több dél- és kelet-európai ország, például Románia vagy Bulgária komoly akadályokkal néz szembe, különösen az erőforrások hiánya és az elavult technológiai rendszerek miatt. Ezek az eltérések rávilágítanak az uniós tagállamok közötti fejlettségi különbségekre, amelyek akadályozhatják az egységes kiberbiztonsági szint elérését.
„Fontos leszögezni, hogy nem vagyok sem jogász, sem kiberbiztonsági szakértő. A direktíva körüli pontos kollaboráció, adminisztráció és a reportálás áll közel a szakterületemhez. Így ebből a székből nehéz pontosan megmondani, hogy Magyarországon hogyan állunk az implementálással, de azt gondolom, hogy a regisztrált közel háromezer kritikus szervezet közül az év elején kevesen mondhatják el magukról, hogy lefolytatták az auditot. Mi jellemzően ez előtt vagy után tudunk segíteni abban, hogy mi a leghatékonyabb módja az incidenskezelésnek, vannak use caseink, viszont először az alapokkal kell foglalkozniuk azoknak, akik eddig nem tették”
– mondta Berki Gergő, a TopDesk tanácsadási alelnöke Európa, Amerika, ázsiai csendes-óceáni térségben.
Az élenjárók nincsenek messze
„Az általam menedzselt országokban és azokban, amelyekkel napi kapcsolatban vagyok, az a tapasztalatom, hogy ugyan fontos a NIS2, de nem élvez akkora prioritást. Ennek több oka is van, egyrészt fejlettebb és érettebb módon kezelik a kiberbiztonsági intézkedéseiket a NIS óta, ezért kevesebb igazán új, egész szervezetet átívelő változásokat kell implementálniuk. Másrészt az egységes, EU-s direktíva néhány eleme országonként optimalizálható, a nap végén így a végleges szabályozás más lesz Németországban, mint itthon”
– osztotta meg tapasztalatait Berki Gergő.
Németország abban a tekintetben is jó példa, hogy ők a legfelkészültebbek a kérdéskörben, hiszen évtizedeket átölelő kiberbiztonsági stratégiájuk van.
„A NIS2 nem rázta meg a piacot, csupán néhány apróbb változtatást kellett eszközölniük a megfeleléshez. Ezt követik a Benelux államok, ahol szintén az adminisztrációval kapcsolatban vannak teendőik a szervezeteknek, kevésbé az alapvető intézkedésekkel.
Ellenben a DORA-nál azt látjuk, hogy A DACH (Németország, Ausztria, Svájc) és Benelux régiót ez az intézkedés mozgatta meg jobban, és a felkészüléshez nagyobb erőforrásokat vontak be”
– folytatta a szakértő.
A NIS2 mint az EU technológiai és kiberbiztonsági vezető szerepének megerősítője?
A NIS2 egységesít a tagállamok között azt, amire már régóta szükség volt. Ezenfelül ösztönzi a technológiai innovációt, hiszen a szigorúbb szabályozás új megoldások és biztonsági rendszerek fejlesztésére sarkallja az országokat.
„Az uniós cégek a NIS2-nek köszönhetően versenyelőnybe kerülhetnek, mivel szigorú biztonsági normák bizalmat építenek a nemzetközi piacokon. Ezt tapasztalom az amerikai piacon is, különösen az Egyesült Államokban: az EU-s trendeket idővel követik, mivel az európai sztenderdekben megbíznak. Sok vállalat járt el hasonlóan a GDPR kapcsán is, hiszen bár nem álltak törvényi kötelezettség alatt, a megfelelőséget különös minőség övezi” – mondta Berki Gergő.
„Az új jogszabályi környezet az egyre komplexebb kiberfenyegetések világában hatékonyan támogatja a kritikus infrastruktúrák, a közigazgatási szervek és más érintett ágazatok védelmét. A technológiai implementáció szempontjából a követelményjegyzék pontosan meghatározza azokat az alapvető műszaki és szervezeti intézkedéseket, amelyeket a kiberbiztonsági követelmények teljesítése érdekében alkalmazni kell, mindezt a kockázattal arányos védelem elvének megfelelően. Ez teszi lehetővé továbbá, hogy az érintett szervezetek a nemzetközi szinten is versenyképes védelmi megoldásokat alkalmazzanak, miközben figyelembe veszik a hazai adottságokat is”
– mondta Marsi Tamás.
Magyarország mint NIS-mintapélda?
Amiben mindenképpen előrébb járunk, mint a többi EU-tagállam, az a jogalkotás. Az ez irányú rendelkezések jóval korábban elkészültek, mint más országokban, a hatóságok is igyekeztek minél szélesebb körben tájékoztatni az érintett szervezeteket, így felkészülni is több időnk volt. Ez mindenképpen példamutató. Dániában például még mindig a jogszabály elkészülésére várnak.
(Kép: unsplash)
