Hogyan állnak az európai országok az új kiberbiztonsági keretrendszer bevezetésével?
A különböző uniós országok eltérő mértékben hajtják végre a január óta hatályos, frissített hálózat- és információbiztonsági irányelvet (NIS2). A jelenlegi helyzet áttekintése érdekében az Euractiv interjút készített Nicolas Sonderral és Mailin von Knobelsdorffal, a PwC kiberbiztonsági szakértőivel.
Mivel az államilag támogatott kiberhadviselés egyre gyakoribbá válik, és a kibertámadások pénzügyi veszteséghez, adatszivárgáshoz, a hírnév csorbulásához és ipari kémkedéshez vezetnek, magasabb szintű kiberbiztonságra van szükség.
A NIS2 irányelv további biztonsági követelményeket vezet be a szervezetek által használt, a társadalom működése szempontjából alapvető fontosságúnak vagy fontosnak tekintett ICT-termékekre. A tagállamoknak 2024 októberéig kell korszerűsíteniük a meglévő kiberbiztonsági kereteket.
Annak meghatározásához, hogy mely termékek és szolgáltatások tartoznak az irányelv hatálya alá, a vállalatoknak többek között ellenőrizniük kell, hogy az uniós tagállamokban milyen jogszabályok vonatkoznak rájuk, és regisztrálniuk kell magukat a helyi hatóságoknál.
A legjobban teljesítők
A két szakértő szerint jelenleg Magyarország mutatja a legelőrehaladottabb bevezetési állapotot. Ennek oka, hogy az ország a NIS1 bevezetésének keretében kibővítette annak hatályát, és ezáltal már részben átültette a NIS2-t is.
"Magyarországnak van egy meglévő törvénye, a "Kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről", amely részben átülteti a NIS2-t, de további felülvizsgálata és módosítása folyamatban van, hogy teljes mértékben megfeleljen a NIS2 szabványoknak" - mondta von Knobelsdorff.
Számos más állam is közzétett törvénytervezeteket, vagy a végrehajtást beépítette a folyamatban lévő, tematikusan kapcsolódó jogalkotási folyamatokba.
"A Cseh Köztársaság szintén felülvizsgálja a törvénytervezetet, de már szilárd alapokkal rendelkezik. A törvénytervezet azonban a NIS2 irányelv által előírt kötelezettségeken túlmutató szabályozást vázol fel" - jelentette ki Sonder.
A Cseh Köztársaság fontolóra veszi az alsóbb szintű kormányzati szervek bevonását, ami a NIS2 irányelv szerint nem szükséges, ezzel szigorúbb megközelítést mutat.
Németország júliusban közzétette a NIS2 bevezetésre vonatkozó második törvénytervezetét. A legutóbbi tervezet csak néhány módosítást tartalmaz, mint például az irányelv által előírt vezetői felelősség és az alapvető vállalatokra vonatkozó igazolási tesztek.
"Németország már túlteljesítette a NIS1 követelményeit, és a NIS2 számos követelményét már megelőzte" - hangsúlyozta Sonder.
A német bevezetésre vonatkozó harmadik törvénytervezet jelenleg felülvizsgálat alatt áll, a NIS2 jelentési kötelezettségekre, kockázatkezelési intézkedésekre és a felügyeleti rendszerre vonatkozó kritériumai több mint 25 különböző törvény és rendelet módosítását teszik szükségessé.
"Az ország a NIS2 szigorítására törekszik azáltal, hogy jelentéstételi kötelezettségeket vezet be az olyan "fontos" szervezetek számára, amelyek nem érik el a vállalati méretre vagy árbevételre vonatkozó küszöbértékeket, de egy meghatározott ágazathoz tartoznak, mint például a minősített bizalmi szolgáltatók" - tette hozzá von Knobelsdorff.
Közepesen teljesítő országok
Írországban a Nemzeti Kiberbiztonsági Központ közzétette az alapvető szolgáltatásokat nyújtó szolgáltatókra vonatkozó NIS-megfelelési iránymutatásokat. A NIS1 iránymutatásai a kiberbiztonsági kockázatok azonosítására, védelmére, észlelésére, az azokra való reagálásra és az azokból való helyreállításra vonatkoznak.
"Mint ilyen, az OES-ek mostantól nem tartalmazzák a NIS2 alá tartozó, újonnan bejegyzett szervezeteket" - pontosított von Knobelsdorff.
Dánia az irányelvet valószínűleg végrehajtási rendeletekkel hajtja végre, hat hónapos megfelelési határidővel. Ennek során Dánia követelményspecifikus vagy ágazatspecifikus alapon jár el, és az első végrehajtási végrehajtási rendelet várhatóan idén télen jelenik meg az energiaágazatban.
Finnországban október elejétől november végéig tartott a konzultáció a NIS2-ről szóló jogszabály kapcsán. A kulcsfontosságú hatóságok nem nyilatkoztak a felügyeletről vagy a kiberbiztonság előírt minimális szintjéről. A kormány célja mégis az, hogy jövő év tavaszán javaslatot nyújtson be az irányelvre vonatkozóan.
A holland kormány a NIS2 irányelvet a 2018 novembere óta hatályos helyi hálózati és információs rendszerek biztonságáról szóló törvény frissítésébe ülteti át, amely meghatározza a holland Nemzeti Kiberbiztonsági Központ törvényben előírt feladatait.
Az átfogó illetékes hatóság szerepét a holland nemzeti digitális infrastruktúra-felügyeletre ruházták. A Nemzeti Kiberbiztonsági Központ tájékoztatása szerint 2024 elején online konzultációra kerül sor a szervezetekkel és magánszemélyekkel a jogszabálytervezetre való reagálás céljából.
A lemaradók
A többi országgal ellentétben Lengyelországban még nincs jogszabálytervezet. Az ország még mindig dolgozik a lengyel kibertörvény módosításán.
"A lengyel kibertörvény módosítása a kiberbiztonsággal kapcsolatos incidensek jelentési eljárásainak egységesítésével és az ipar által vezetett információmegosztó és elemző központok ("ISAC") nemzeti kiberbiztonsági rendszerbe való integrálásával nagyobb kiberbiztonságot kíván elérni" - magyarázta von Knobelsdorff.
A NIS1 norvégiai végrehajtása idén ősszel várható a norvég "digitális biztonsági törvény" bevezetésével. Bár a norvég igazságügyi minisztérium jelezte, hogy a végrehajtási folyamat előrehalad, Norvégia még nem ültette át a NIS1-et vagy a NIS2-t.
A norvég parlament jelenleg a két átültetésre vonatkozó törvénytervezet kidolgozásán dolgozik. A legutóbbi meghallgatási vitát 5-re tűzték ki. Decemberre tűzték ki.
Az Egyesült Királyságban a szabályozási frissítéseket a Digitális, Kulturális, Média- és Sportminisztérium (DCMS) irányítja. Az EU-val konzultálva az Egyesült Királyság a NIS2-höz kíván igazodni. Ennek ellenére nem hajtja végre teljes mértékben az irányelvet, mivel a NIS1-re javasolt reformok kevésbé kiterjedtek, mint a NIS2 irányelvben előírt kötelezettségek.
"Amit tesznek, az a meglévő kiberbiztonsági törvényeik módosítása, például a menedzselt szolgáltatók hozzáadása a NIS-szabályozás hatálya alá, az ellátási lánc biztonságával kapcsolatos több irányelv bevonása, vagy az incidensek jelentésével kapcsolatos kötelezettségek növelése" - magyarázta Sonder.
A brit parlamenti átültetés 2024 nyarán várható.