Mi is az a NIS2? Milyen új módosítások léptek életbe 2025. január 1-jével?

Az irányelv részletei
A hazai szabályozás 2025. évi megújulása
Hatósági feladatok ellátása

Az irányelv részletei

Az Európai Unió az egyre gyakoribbá váló kiberfenyegetések miatt 2022-ben megfogalmazta a NIS2 kiberbiztonsági irányelvet, a korábbi EU 2016/1148 NIS (Network and Information Security Directive) folytatásaként.

Az irányelv egységes uniós követelményként írja elő a magas szintű kiberbiztonsági védettségi szint elérését a gazdaság működése szempontjából fontos szervezetek számára, korszerű védelmi intézkedések és technológia bevezetésével, alkalmazásával, valamint az incidensek bejelentési kötelezettségének szigorításával.  Az irányelv egyértelmű célja a kibertámadások és más fenyegetések megelőzése, a már bekövetkezett támadások negatív hatásainak csökkentése, valamint a tagállamok összehangolt együttműködésével egy egységes „védelmi háló” felépítése.

A fenti célokhoz igazodva az egyes tagországok lokális törvényekkel és rendeletekkel határozzák meg a részleteket.

Magyarországon a NIS2 követelményeinek való megfelelést 2024. december 31-ig a 2023. évi XXIII. tv. a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről biztosította, valamint a Miniszterelnöki Kabinetirodát vezető miniszter (továbbiakban MK) rendelete a (biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről) szabályozta.

A hazai szabályozás 2025. évi megújulása

2025. január 1-jén hatályba lépett Magyarország kiberbiztonságáról szóló 2024. évi LXIX. tv. (továbbiakban Kiberbiztonsági tv.) és egyúttal hatályát vesztette a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény:

2024. évi LXIX. törvény Magyarország kiberbiztonságáról, valamint a kapcsolódó végrehajtási rendeletek:

418/2024. (XII.23) Kormány rendelet a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló

7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről

A kiberbiztonság védelmét megalapozó jogszabályok köre ITT érhető el.

Érintett szervezetek köre:

a) közigazgatási ágazathoz tartozó szervezetek (Forrás: Kibervédelmi tv. 1. sz. melléklete)

b) a többségi állami befolyás alatt álló azon gazdálkodó szervezetek, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozó küszöbértékeket,

c) a NKI vagy honvédelmi kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosított szervezet

d) kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint középvállalkozásoknak minősülnek vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket (Forrás: Kibervédelmi tv. 2. és 3. melléklet)

e) méretüktől függetlenül a 2. és 3. melléklet szerinti szervezetekre, ha a szervezet

  • elektronikus hírközlési szolgáltató,
  • bizalmi szolgáltató,
  • DNS-szolgáltató,
  • legfelső szintű doménnév-nyilvántartó vagy
  • doménnév-regisztrációt végző szolgáltató, valamint
  • a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.

A megújuló szabályozás célja az állam biztonságos működése szempontjából fontos szervezetek által használt elektronikus információs rendszerek kibervédelmének biztosítása.

Az új Kibervédelmi törvény hatálya kiterjesztésre került:

  • a többségi állami befolyás alatt álló gazdálkodó szervezetek elektronikus információs rendszereire,
  • törvény hatálya alá vonódnak bizonyos küszöbértékeket teljesítő KKV-k,
  • olyan szervezetekre, amelyeket -összhangban a NIS2 irányelvvel - a kiberbiztonsági hatóság azonosítás útján a törvény hatálya alá von.

Összefoglalóan az új kiberbiztonsági szabályok

  • módosítják a szervezetek feladatainak és kötelezettségeinek körét
  • megújítják a kiberbiztonsággal foglalkozó állami szervezetek reagáló képességét

(Forrás: Nemzeti Kibervédelmi Intézet által kiadott Segédlet)

(Küszöbérték: lásd: a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény 3. § (1)-(3) bekezdés)

Hatósági feladatok ellátása

A kiberbiztonsági hatósági feladatokat – a korábbi gyakorlatnak megfelelőn- továbbra is 4 felügyeleti hatóság látja el:

  1. Nemzeti Kiberbiztonsági Hatóság (NBSZ>-NKI) felügyelete alá tartoznak az alapvető szervezetek (Forrás: Kiberbiztonsági tv. 1 számú mellékelete)
  • közigazgatási ágazat szervezetei
  • állami működés szempontjából kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek
  1. Honvédelmi Kiberbiztonsági Hatóság (a honvédelemért felelős miniszter)
  • honvédelmi célú elektronikus információs rendszerek
  1. Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felügyelete alá tartoznak a fontos szervezetek:
  • kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:

energetika, közlekedés, egészégügy, ivóvíz, szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT szolgáltatások, űralapú szolgáltatás (Forrás: Kiberbiztonsági tv. 2. számú melléklete)

  • kockázatos ágazatokban működő szolgáltatók és szervezetek:

postai-és futárszolgáltatások; élelmiszer előállítása, feldolgozás és forgalmazása; hulladékgazdálkodás, vegyszerek előállítása és forgalmazása; gyártás; digitális szolgáltatók, kutatás (Forrás: Kiberbiztonsági tv. 3. számú melléklete)

  1. Magyar Nemzeti Bank
  • banki szolgáltatások és pénzügyi piaci infrastruktúrák vonatkozásában (DORA rendelet)

(Forrás: Nemzeti Kibervédelmi Intézet által kiadott Segédlet)

Forrás: NKI (2024)

Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH)

hatáskörébe tartozik a hatósági ellenőrzéseken túl a

valamint az érintett szervezetek nyilvántartásba vétele (lásd: űrlapok és nyomtatványok)

  • Megfelelőségértékelő szervezetek nyilvántartásba vételére, adatváltozásának bejelentésére, engedélyezésére irányuló kérelem
  • Auditor szervezet nyilvántartásba vételére, adatváltozásának bejelentésére irányuló kérelem
  • Érintett szervezet nyilvántartásba vételére irányuló kérelem
  • Érintett szervezet adatváltozásának nyilvántartásba vételére irányuló kérelem

Az SZTFH felügyelete alá tartozó szervezetek számára előírt kötelezettségek

  • Nyilvántartásba vétel: a szervezet működésének megkezdését követő vagy a Kiberbiztonsági törvény hatálya alá kerülést követő 30 napon belül.
  • Elektronikus információs rendszerek biztonsági osztályba sorolása és a védelmi intézkedések alkalmazása
  • Felügyeleti díj megfizetése, ennek határideje:2/2025 (I.31.) SZTFH rendeletben a kiberbiztonsági felügyeleti díjról
  • Auditorral megállapodás kötése az audit elvégzésére (ÚJ HATÁRIDŐ!)
    2023. évi XXIII. törvény szerinti nyilvántartás esetén határidő: 2024. december 31. volt.
    2024. évi LXIX. törvény hatályba lépését követő nyilvántartásba vétel esetén 120 napon belül.
  • Első kiberbiztonsági audit elvégeztetése (ÚJ HATÁRIDŐ!)
    2023. évi XXIII. törvény szerinti nyilvántartás esetén a határidő: 2025. december 31.
    2024. évi LXIX. törvény hatályba lépését követő nyilvántartásba vétel esetén, a szervezet nyilvántartásba vételét követő 2 éven belül.
    Auditor cégek nyilvántartása (SZTFH)
    Megfelelőségértékelő szervezetek nyilvántartása (SZTFH)

A Nemzeti Kibervédelmi Intézet (NKI)

2024. évi LXIX. törvény rendelkezik a Nemzeti Kibervédelmi Intézet (nemzeti kibervédelmi hatóság) feladatköréről:
(Forrás: Kibervédelmi tv. 17. pont)

  • vizsgálja az elektronikus információs rendszer biztonságáért felelős személy és helyettese jogszabályban foglalt követelményeknek való megfelelését, megfelelés esetén nyilvántartásba veszi azt;
  • vizsgálja a biztonsági osztályba sorolás megalapozottságát és dönt a nyilvántartásba vételről,
  • nyilvántartásba veszi és nyilvántartja az érintett szervezet adatait;
  • előírhatja az elektronikus információs rendszerek biztonsága tekintetében releváns európai és nemzetközi szabványok és műszaki előírások alkalmazását,
  • ellenőrzi az elektronikus információs rendszerek osztályba sorolására vonatkozó, jogszabályban, vagy az általa meghatározott követelmények teljesülését,
  • elrendeli az ellenőrzése során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását, és az azok felszámolásához szükséges intézkedéseket, valamint ellenőrzi azok eredményességét,
  • ellenőrizhet minden olyan, az elektronikus információs rendszerek védelmére vonatkozó intézkedést, amellyel az érintett elektronikus információs rendszert veszélyeztető fenyegetések kezelhetők,
  • kiberbiztonsági incidens esetén hatósági eljárást indít, valamint a hozzá beérkező kiberbiztonsági incidensekről tájékoztatja a nemzeti kiberbiztonsági incidenskezelő központot,
  • részt vehet információbiztonsági, kiberbiztonsági érintettségű gyakorlatokon, a nemzetközi gyakorlatokon képviseli Magyarországot,
  • közreműködik tudatosító tevékenységekben,
  • jóváhagyja az elektronikus információs rendszerek használatba vételét, a megállapított hiányosságok pótlásáig megtilthatja vagy korlátozhatja az elektronikus információs rendszer használatát, a külföldön történő adatkezelést és a felhőszolgáltatás igénybevételét,
  • alapvető vagy fontos szervezetként azonosíthat valamely szervezetet kormányrendeletben meghatározottak szerint,
  • javaslatot tehet kritikus szervezet, valamint az ország védelme és biztonsága szempontjából jelentős szervezet kijelölésére,
  • hazai információbiztonsági, kiberbiztonsági gyakorlatokat szervezhet, elrendelheti a szervezet gyakorlaton való részvételét.

Az NKI eljárásaival kapcsolatban az elektronikus ügyintézésre használható kérelmek, illetve kitöltési útmutatók az NKI honlapján a hatályos ügyfajták menüpont alatt találhatók meg.