Megegyezés született az EU új kiberbiztonsági irányelvéről

Pénteken megszületett a politikai konszenzus az Európai Unió kiberbiztonsági védvonalait megerősítő NIS 2 irányelvről, ezzel az eredetileg 2016-ban életbe lépett jogszabályi keret helyébe rövid időn belül új elemeket tartalmazó csomag kerülhet. 

A 2016-tól érvényes NIS direktíva az Európai Unió első, az egész nemzetközösségre kiterjedő, kifejezetten kiberbiztonsági problémákra válaszul létrehozott jogszabálycsomagja volt, melynek módosítását 2020-ban terjesztette elő a Bizottság. A frissített irányelvek létrehozása a digitalizáció fokozatos térnyerése és a gazdaság egyre több szereplőjének problémát okozó kiberfenyegetettség jelentős erősödését követően vált szükségessé az EU végrehajtó szerve szerint.

A NIS 2 irányelv legfontosabb változása, hogy immár lényegesen nagyobb számú közép- és nagyvállalat számára ír elő bizonyos, a kibervédelemmel kapcsolatos kötelező óvintézkedéseket, protokollokat.

Míg a 2016-os eredeti irányelv jórészt a digitális szektorokban működő vállalkozásokra és szervezetekre nézve írt elő kötelezettségeket, addig a NIS 2 esetében a kritikus szektorok (energia, pénzügy, egészségügy, közlekedés stb.) mellett az élelmiszeripari, gyógyászati cégek, különböző gépgyártók és hulladékkezelő cégek is bekerültek a szabályozási ernyő alá.

Az érintett magánvállalkozásoknak és állami tulajdonú entitásoknak részletes kiberbiztonsági belső auditot kell tartaniuk, emellett különböző technológiai és szervezeti változásokat kell életbe léptetniük annak érdekében, hogy a kibertámadásoknak hatékonyabban ellen tudjanak állni. A NIS 2 irányelvben foglaltakat nem teljesítő vállalkozás komoly szankciókra - akár az éves árbevételének 2%-át elérő pénzbírságra - számíthat.

A NIS 2-re az ilyenkor szokásos protokoll szerint már csak formális jóváhagyás vár, a jogszabály implementálására a kihirdetést követően bő 21 hónapjuk lesz a tagállamoknak.