keresés a weboldalon

Zala Vármegyei Kereskedelmi és Iparkamara

Magyarország kiberbiztonságának jövője az európai uniós NIS2 irányelv tükrében

Az eGOV hírlevelében bemutatott Nemzetbiztonsági Szemle 12. évfolyam 3. számában közzétett Magyarország kiberbiztonságának jövője az európai uniós NIS2 irányelv tükrében című kutatást.

A tanulmány célul tűzte ki, hogy felhívja a figyelmet Európa kiberbiztonsági helyzetére a legújabb nemzetközi kiberbiztonsági tanulmányok segítségével, továbbá bemutatja azon uniós direktívákat, különös tekintettel a NIS2-re, amelyek az elkövetkezendő években meg fogják határozni a térség kiberbiztonsági politikáját, valamint bemutatja a hazai implementáció eddig megvalósult folyamatait, és rávilágít a megvalósítási nehézségekre.

Számos kiberbiztonsággal foglalkozó szervezet és ügynökség adatai azt mutatják, hogy globálisan a kibertámadások száma évről évre nő, azonban az elmúlt években Európát ért kibertámadások száma a többi régióhoz képest is kiemelkedő.

A NIS2 az első irányelv hatékonyságának értékelése és az új kihívásokra való válaszadás alapján született, célja a digitális fenyegetésekkel szembeni felkészültség további javítása és az EU-s kritikus infrastruktúrák biztonságának megerősítése. Az irányelv elsődleges célja továbbra is az EU tagállamainak kritikus infrastruktúráinak és digitális szolgáltatásainak megerősítése a digitális fenyegetésekkel szemben. Azonban számos új ágazat került az irányelv hatálya alá, aminek köszönhetően az eddig még nem érintett, új ágazatok szereplőinek is meg kell valósítaniuk az elvárt biztonsági követelményeket. Vélhetően az újonnan bekerült szervezetek, amelyekre korábban nem vonatkoztak információbiztonsággal kapcsolatos követelmények, nagyobb energia és erőforrás befektetése révén tudnak elérni egy, az irányelv követelményeit megjelenítő jogszabálynak való megfelelést, mint azon szereplők, akik a NIS1 direktíva szerint érintettek voltak. Az új szabályozás által érintett ágazatok két nagy csoportba sorolódnak, amelyek a kiemelten kritikus ágazatok és az egyéb kritikus ágazatok. Az egyéb kritikus ágazatok közé jellemzően olyan szektorok tartoznak, amelyek nem létfontosságúak, azonban nemzetgazdasági és államigazgatási szempontból kiesésük jelentős negatív hatással járna. Az ágazatok a következők:

  • postai és futárszolgáltatások;
  • hulladékgazdálkodás;
  • vegyszerek gyártása, előállítása és forgalmazása;
  • élelmiszer-termelés, -feldolgozás és -forgalmazás;
  • gyártás;
  • digitális szolgáltatók;
  • kutatás

Fontos felhívni a figyelmet, hogy a „kiemelten kockázatos ágazatok” nem azonos a „kritikus infrastruktúrákkal”, amelyek védelmével külön direktíva, a CER foglalkozik. A direktíva hatálya alá azon ágazatok szervezetei tartoznak, amelyek legalább 50 főt foglalkoztatnak, és/vagy éves nettó árbevételük meghaladja a 10 millió eurót (körülbelül 3,9 milliárd forint). Ennek megfelelően főként közép- és nagyvállalatok érintettek.

A zero trust kiberbiztonsági szemléletnek az alkalmazását szorgalmazza a NIS2, ennek köszönhetően az érintett szervezetek, többek között az alapvető szolgáltatást nyújtó szervezetek kiberrezilienciájukat jelentősen képesek lesznek fokozni. A zero trust megközelítés azt vallja, hogy a fenyegetések mindenütt jelen lehetnek, még a belső hálózaton belül is, így minden kommunikációt és hozzáférést alaposan és rendszeresen ellenőrizni kell.

Az alapvető szervezetek esetén, amennyiben elmulasztják a kiberbiztonsági kockázatkezelési intézkedések megtételét, vagy nem tesznek eleget jelentéstételi kötelezettségüknek, legalább 10 millió euró vagy a szervezet előző évi bevételének akár a 2%-a is lehet közigazgatási bírság mértéke. A fontos szervezetek (nem alapvető szervezetnek minősülő szervezetek) esetén ez az összeg némileg alacsonyabb, mint a fenti értékhatárok.

A tudományos munka teljes terjedelemben ide kattintva érhető el.