A NIS 2 - vagyis a hálózat- és információbiztonsági irányelv 2 - egy olyan uniós irányelv, amelynek célja az informatikai rendszerek és hálózatok biztonságának növelése az egész blokkban. A jogszabály a 2016-os irányelv frissítése, az újabb kiberbiztonsági kihívásokra reagálva kibővíti elődjének hatókörét.
A szabályozás az EU területén működő és a fogyasztóknak alapvető szolgáltatásokat nyújtó szervezetekre vonatkozik, ideértve a bankokat, az energiaszolgáltatókat, az egészségügyi intézményeket, az internetszolgáltatókat, a közlekedési vállalatokat és a hulladékfeldolgozókat.
Úgy tudni, a NIS2 direktíva Magyarországon több mint 2500 közép- és nagyvállalatra érvényes.
A szabályozás előírja, hogy ha egy vállalkozás kiberbiztonsági jogsértés áldozatává válik, 24 órája lesz arra, hogy figyelmeztető értesítést küldjön a hatóságoknak – ez szigorúbb határidő, mint a korábbi 72 órás volt.
A cégeknek egyenként át kell vizsgálniuk technológiai beszállítóikat is a kiberfenyegetések és a sebezhetőségek szempontjából.
Az irányelvet október 18-tól kell alkalmazniuk a tagállamoknak. A végrehajtás azonban máris akadozik, mivel a legtöbb uniós tagállam még nem ültette át az irányelveket saját nemzeti jogszabályaiba
–mutatott rá összeállításában a CNBC.
„A végrehajtás helyzete jelentősen eltér az egyes blokkokban” – mondta Tim Wright, a Fladgate partner és technológiai ügyvédje. Márpedig a NIS 2 mint szabályozás hatékonysága nagymértékben függ majd az uniós tagállamok következetes végrehajtásától és betartatásától.
„A kiberbűnözők célba vehetik a NIS2 átültetésében lemaradó országokat, vagy az ellátási láncok gyenge pontjait kereshetik, és a kisebb, kevésbé biztonságos eladókat és beszállítókat támadhatják meg, hogy hozzáférjenek a nagyobb, jobban védett szervezetekhez” - hívta fel a figyelmet.
Azok a cégek egyébként, amelyek nem felelnek meg a feltételeknek, jókora bírságot kockáztatnak.
Az olyan „kiemelt fontosságú" szervezetek esetében, mint a közlekedési, a pénzügyi és a vízügyi vállalatok, a NIS 2-nek való megfelelés elmulasztása akár 10 millió eurós, vagy a globális éves bevétel 2 százalékáig terjedő bírsággal is járhat.
A „fontos” vállalkozások - mint például az élelmiszeripari, vegyipari és hulladékgazdálkodási vállalatok - akár 7 millió eurós vagy a globális éves bevételük 1,4 százalékát kitevő bírsággal számolhatnak a jogsértésért. De akár fel is függeszthetik a cégek szolgáltatását.