Skip to main content

DORA, NIS2 és kibertörvény – kiberbiztonság a szabályok fókuszában

Az Európai Unióban, így Magyarországon is folyamatosan fejlődnek az informatikai biztonságot szabályozó irányelvek és törvények annak érdekében, hogy az országok lépést tartsanak az egyre növekvő digitális kihívásokkal és fenyegetésekkel. Számos betűszó által takart irányelv, rendelet és törvény kerül alkalmazásra a közeljövőben. Ezeket tekintjük át az alábbiakban.
Display stock market numbers with defocused street lights background

Az Európai Unióban, így Magyarországon is folyamatosan fejlődnek az informatikai biztonságot szabályozó irányelvek és törvények annak érdekében, hogy az országok lépést tartsanak az egyre növekvő digitális kihívásokkal és fenyegetésekkel. Számos betűszó által takart irányelv, rendelet és törvény kerül alkalmazásra a közeljövőben. Ezeket tekintjük át az alábbiakban.

DORA, a pénzügyi szektor ellenállóképességének növelésére

A DORA (EU) 2022/2554 rendelet - ami 2023. január 16-án lépett életbe, és 2025. január 17-től kell alkalmazni - egységes követelményrendszeren keresztül hivatott erősíteni a pénzügyi szektor rezilienciáját a kibertámadásokkal szemben. A Digital Operational Resilience Act, vagyis a Digitális Működési Ellenállóképességről szóló Rendelet célja a kritikus digitális infrastruktúrák és szolgáltatások védelmének javítása az Európai Unió egész területén. Vagyis konkrétabban a kiberfenyegetések elleni védelem megerősítése és az esetleges kiberincidensek gyorsabb és hatékonyabb kezelése. A DORA irányelv alapvetően pénzügyi szolgáltatókra terjed ki, valamint digitális szolgáltatókra, online piacterekre és más digitális platformokra.

A DORA irányelvnek való megfelelés Magyarországon is kiemelkedő fontossággal bír, tekintettel az ország digitális infrastruktúrájának növekvő jelentőségére és az online szolgáltatások iránti növekvő igényre. Az állami és magán szektoroknak egyaránt meg kell felelniük a DORA követelményeinek, hogy biztonságosabbá tegyék a digitális környezetet és minimalizálják a cyber támadások okozta károkat.

EU szint: Hálózat- és Információbiztonsági Irányelv (NIS2)

A 2016-os Hálózati és információs rendszerek kiberbiztonsága irányelv (NIS) helyébe lépő NIS2 (EU) 2022/2555 az Európai Unió felülvizsgált kibervédelmi irányelve 2023. január 16-án lépett hatályba. A NIS2 direktíva célja, hogy erősítse a kritikus infrastruktúrákat a kibervédelem terén.

A DORA-hoz hasonlóan a NIS2 is a digitális infrastruktúrák és szolgáltatások biztonságának további megerősítését célozza az Európai Unióban. A kritikus szektorok, például az energiaellátás, az egészségügy, a közlekedés és a pénzügyi szolgáltatások közepes méretű és nagyvállalatainak digitális biztonságára összpontosít, valamint szigorú követelményeket állapít meg a biztonsági incidensek jelentésére és kezelésére. Az irányelv harmonizálja a különböző tagállamok kiberbiztonsági követelményeit és az intézkedések végrehajtását, viszont azt a tagállamoknak 2024. október 17-ig kell átültetniük a nemzeti jogrendjükbe a benne foglalt intézkedéseket.

Hazai szint: a magyar kiberbiztonsági törvény

A NIS2 irányelvben megfogalmazottakat a 2023. évi XXIII. kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvény ülteti át a magyar jogrendbe. A kibertörvény kiegészíti és részben végrehajtja a NIS2 irányelvet a hazai jogrendszerben, ezáltal biztosítja az irányelv előírásainak hazai végrehajtását és a hazai kiberbiztonsági képességek megerősítését.

A törvény kiterjed a kiberbiztonsági eszközök és szolgáltatások tanúsítására, valamint a kritikus infrastruktúrákat üzemeltető szervezetekre vonatkozó kiberbiztonsági felügyeleti rendszer kialakítására és működtetésére. Természetesen ezek a rendelkezések is összhangban állnak a NIS2 irányelv célkitűzéseivel.

Mindhárom új szabályozásoknak való megfelelés kulcsfontosságú az EU, minden tagország, így Magyarország digitális infrastruktúrájának védelme és a kibertámadások elleni hatékony védekezés érdekében. Vállalati szinten természetesen segíteni tud ebben a Marsh Risk Consulting csapata.

A kibervédelem másik fontos eleme

Magyarországon a NIS2 irányelv és a kibertörvény rendelkezéseinek bevezetése jelentős változásokat hozhat a kritikus infrastruktúrákat működtető szervezetek számára, csakúgy, mint a DORA. Az irányelvnek való megfeleléshez az érintett szervezeteknek korszerű informatikai biztonsági intézkedéseket kell bevezetniük, és folyamatosan monitorozniuk kell a hálózati és információbiztonsági helyzetüket.

Ugyanakkor a kiberbiztonsággal kapcsolatban mindig hangsúlyozzuk, hogy a kiberkockázat nem pusztán informatikai kérdés. A megelőzés mellett ugyanilyen lényegesnek tartjuk a kockázatáthárítást mint megoldást. Sem a két irányelv és a kibertörvény hatálya alá eső vállalkozások, sem más cégek és intézmények nem működhetnek teljes biztonságban kiberbiztosítás nélkül. A cyber biztosítás a már bekövetkezett károkat enyhíti, valamint a felmerülő költségek megtérítésével hozzájárul az üzletmenet mihamarabbi helyreállításához.

A szerző Orbán Éva, a Marsh Kft. cyber biztosítási szakértője.

 

 

Kollégáink

Eva Orban

Eva Csomor