Bő egy hónapjuk maradt az érintett cégeknek, hogy nyilvántartásba vetessék magukat mint NIS2-kötelezettek. Ennek ütemtervéről részletesen írtunk, és a rendelkezés kapcsán a titkosítás témáját is körbejártuk. Ezúttal a jelentéskészítésről, illetve a hiányosságok szankcionálásáról lesz szó.
Ki, kinek és mikor jelent
Az újragondolt direktíva részben a korábbi szabályozás szigorúbbra szabott változata. Ennek megfelelően továbbra is kiemelt figyelmet kapnak az incidensjelentési eljárások, melyek feltételeinek biztosítása minden érintett kötelezően elvégzendő feladata. Ki kell jelölni legalább egy CSIRT-t (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csapat), illetve gondoskodni kell a működésükhöz szükséges erőforrások és műszaki tudás rendelkezésre állásáról.
Alapvető változás a korábbi előíráshoz képest, hogy bármilyen jelentős IT-biztonsági incidens következik be a szervezet működése során, arról azonnal tájékoztatni kell a nemzeti hatóságokat. Ez Magyarországon a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NKI), amely 2019 óta látja el az eseménykezelési feladatokat és a hatósági felügyeletet.
A NIS2 direktíva rendelkezik arról, mely események tartoznak ebbe a kategóriába. Az irányelv I. és II. mellékletében felsorolt ágazatokba tartozó szervezetek informatikai működésében bekövetkező súlyos zavarok vagy pénzügyi veszteséget okozó események jelentéskötelezettséget vonnak maguk után. Ugyanígy jelenteni szükséges az egyéb természetes vagy jogi személyeket érintő vagy érinteni képes incidenseket is, melyek jelentős vagyoni vagy nem vagyoni kárt okozhatnak.
A gyors reakcióidő nem előny, hanem követelmény
A jelentésnek számos lépésből kell állnia. Elsőként egy korai figyelmeztetésből, amit az incidens azonosítását követő 24 órán belül kell elküldeni. Tartalmazza a történtekkel kapcsolatos minimális információkat, beleértve azt is, hogy az incidens érintett-e más szektorokat vagy országokat, és hogy feltételezhető-e az ártó szándék az esemény okozója irányából.
72 órán belül kell elküldeni a teljes incidensriportot, illetve a nemzeti CSIRT kérésére helyzetjelentést is kell adnia az érintett vállalatnak. A végső beszámolót az incidens bekövetkezését követő 1 hónapon belül kötelező elkészíteni, kivéve az olyan eseteket, amikor a kiberbiztonsági esemény elhárítása még nem ért véget. Ebben az esetben újabb helyzetjelentést kell adnia a szervezetnek, majd a végső jelentést az esemény lezárultát követően kell az NKI-nak eljuttatni.
A fentiek kizárólag a hatóságok tájékoztatására szolgáló rendelkezések, azonban a nemzeti CSIRT mellett az ügyfelek tájékoztatását is előírja a NIS2. Eszerint haladéktalanul értesíteni kell a szervezettel kapcsolatban álló ügyfeleket és partnereket, melyek szolgáltatásaira veszélyt jelent a bekövetkezett kiberbiztonsági esemény.
A jelentéstételi kötelezettségen túl önkéntes riportokat állíthatnak össze az alapvető és fontos entitások a nem jelentős incidensekről, kiberfenyegetésekről és megelőzött IT-biztonsági eseményekről. Azok a szervezetek is élhetnek jelentéstételi lehetőségükkel, melyek nem tartoznak az irányelv hatálya alá.
Negatív ösztönzőeszközök
A tagállamoknak kötelességük betartatni az Európai Unió megújult kibervédelmi direktíváját a rendelkezés hatálya alá eső szervezetekkel. Ennek érdekében akár rendszeresen is végezhetnek külső auditokat vagy vizsgálatokat, illetve ellenőrzési célokból elkérhetik a vonatkozó dokumentációt. A NKI ösztönző jogkörrel is rendelkezik, amely magába foglalja az IT-biztonsági hiányosságokról szóló figyelmeztetések és kijavításukra kötelező utasítások küldését, illetve az érintetté vált ügyfelek közvetlen értesítését.
Az adminisztratív lépések mellett azonban közigazgatási bírság kiszabásának is teret engedett a jogalkotó, az eredeti NIS-irányelvhez képest jelentősen megemelt tételekkel. Az érintett szervezet besorolásától és a mutatott hozzáállástól (együttműködés elmulasztása, a szabályok ismételt be nem tartása) függően akár több millió euró megfizetésére is kötelezhetők az alacsony kiberbiztonsági érettségi szinten álló szervezetek. Kivételt a közszféra képez; a jogszabály szerint az államigazgatási szervekre nem vonatkozik a közigazgatási bírság.
További motivációt jelent a NIS2-nek való megfelelőség eléréséhez a személyes felelősségre vonás terhe. Ez a szervezet legfelső vezetését és az alapvető szervezeteket képviselő természetes személyeket érinti, azaz nem csupán a vállalati büdzsé láthatja kárát a gondatlan hozzáállásnak.
Ez a cikk független szerkesztőségi tartalom, mely a Balasys IT Zrt. támogatásával készült. Részletek »
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak