Megjelent a hálózati és információs rendszerek biztonságáról szóló EU-s irányelv

A hálózati és információs rendszerek biztonságáról szóló irányelv, vagyis az úgynevezett NIS irányelv 2016. július 19-én megjelent az Európai Unió hivatalos lapjában.

A hivatalos lapban történő megjelenését követően 20 nap múlva lép hatályba az irányelv.

Az irányelv az alábbi linken érhető el:

http://eur-lex.europa.eu/legal-content/HU/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.HUN&toc=OJ:L:2016:194:TOC 

A NIS irányelv az első közösségi szintű szabályozás az információbiztonság területén, mely kötelezően és geopolitikai alapon határoz meg szabályokat és kötelező együttműködést egyes intézmények számára. Korábban is megfigyelhető volt a tagállamok információbiztonsággal foglalkozó szervei közötti együttműködés, viszont ez önkéntesen és bizalmi alapon valósult meg.

Az irányelv célja, hogy megfogalmazzon egy közös intézmény és eszköztárat a tagállamok számára, illetve egy európai szintű együttműködés alapjait fogalmazza meg. Ennek megfelelően elkülöníthetünk nemzeti szinten végrehajtandó és közösségi szinten végrehajtandó feladatokat.

Nemzeti szintű feladatok

Az irányelv célja, hogy minden tagállam rendelkezzen minimális képességekkel, a szükséges intézményekkel, szabályokkal, valamint a hálózat- és információbiztonság magas szintjét biztosító nemzeti szintű stratégiával. Az irányelv hatályba lépését követően 21 hónap áll rendelkezésére a tagállamoknak ezen intézkedésekre, a jogszabályok létrehozására, módosítására.

Az irányelv szerint minden tagállamban ki kell jelölni egy vagy több kompetens hatóságot. A hatóság feladata, hogy nemzeti szinten ellenőrizze az irányelv végrehajtását.

Az irányelv előírásai szerint minden tagállamnak ki kell jelölnie egy vagy több (akár szektoronként egy-egy) számítógép-biztonsági eseményekre reagáló csoportot (továbbiakban: CSIRT), amely legalább az adott szektor incidenskezelésért felelős.

Az irányelv a hatályt tekintve 2 csoportra osztható. Elsőként definiálja az ún. alapvető szolgáltatásokat nyújtó szolgáltatók csoportját, melybe a digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor tartozik.

A második alanyi kör a digitális szolgáltatásokat nyújtó szolgáltatók csoportja, melyek körébe pl. az online piactér, keresőmotorok, közösségi hálózatok, felhő szolgáltatók tartoznak.

Az irányelv különböző kijelölési szabályokat, megfelelési kritériumokat, valamint incidens bejelentési kötelezettségeket fogalmaz meg az alapvető szolgáltatásokat nyújtó szolgáltatókra vonatkozóan csakúgy, mint a digitális szolgáltatást nyújtó szolgáltatókra.

A fent felsorolt szektorokban a tagállamoknak ki kell jelölniük a meghatározott szempontok figyelembevételével a hatály alá eső vállalatokat, cégeket. Ehhez szektoronként pontosítani, specializálni kell az irányelv rendelkezéseiben megfogalmazott kijelölés kritériumait.

A szolgáltatók kijelölésére az átültetési időszak (21 hónap) után 6 hónapja lesz a tagállamoknak.

Eu-s szintű feladatok

Közösségi szintű együttműködéseket is megfogalmaz az irányelv, annak érdekében, hogy aktív, kiszámítható és hatékony képességekkel rendelkezzünk az egész EU területén. Ezen célból az irányelv létrehozta a hatóságok együttműködésére szolgáló Együttműködési Csoportot, valamint a CSIRT-ek együttműködését biztosító CSIRT hálózatot.

A szabályozás kitér a határon átnyúló események esetében a tagállamok által követendő eljárásra, együttműködésre is.

Az irányelv hatályba lépését követő 6. hónap végére EU szinten létrehozandó CSIRT-hálózat és az Együttműködési Csoport nemzeti résztvevőit (nemzeti CSIRT és kompetens hatóság) ki kell jelölnie a tagállamok döntéshozóinak.

Hálózat és Információbiztonsági irányelv számos végrehajtási aktus létrehozását írja elő (például: az Együttműködési Csoport működését biztosító eljárási szabályok, biztonsági és bejelentési követelmények a digitális szolgáltatást nyújtó szolgáltatók számára, valamint a digitális szolgáltatókra vonatkozó bejelentési köztelezettség formai és eljárási követelményei) a Bizottság számára. Ezen feladatok végrehajtására 2016. májusában létrehozta a Bizottság a NIS szakértői csoportot, melyben Magyarországot az NKI képviseli.

A NIS irányelvet közösségi szinten mielőbb végre szeretnék hajtani a tagállamok és EU-s intézmények, ezért már megkezdték EU-s szintű végrehajtást azzal, hogy létrehozták a végrehajtási rendeleteket kidolgozó munkacsoportokat, valamint megkezdték a CSIRT hálózat és az Együttműködési Csoport létrehozásának előkészítését informális ülések útján.

Az irányelv átültetését elősegítő tevékenységekben az NKI aktívan részt vesz, így az informális és előkészítő munkacsoportüléseken is képviselte Magyarországot minden alkalommal.