Az új és a régi: NIS2 és GDPR a vállalati információbiztonságban

A NIS2 (Network and Information Systems Directive, version 2) irányelvet valószínűleg ma még igen kevesen említik meg a cégvezetők közül, amikor információvédelemről esik szó, pedig 2024. október 18-tól már ezt az új információbiztonsági keretrendszert is működtetnie kell az érintett cégeknek.

A NIS2 az új GDPR?

A két jogszabály nagyon hasonló célokat fogalmaz meg, ezért lehet alapja az összehasonlításuknak. Ugyanakkor a NIS2 még úgy sem fogja a GDPR-t felváltani, hogy az új jogszabály jóval komplexebb elvárásokat fogalmaz meg az információs rendszerek és a bennük tárolt adatok védelmével kapcsolatban. Tehát a NIS2 nem az új GDPR. A két keretrendszer összehasonlítása viszont segítséget adhat az új kötelezettségek megértéséhez és támpontot adhat az arra való felkészüléshez is.

Fókuszban a biztonság

A GDPR elsősorban a személyes adatok és a magánélet védelmére összpontosít. Azért hozták létre, hogy szabályozza a személyes adatok feldolgozásának módját, és ezzel kötelezettségeket rójon minden  személyes adatokat kezelő társaságra.

A NIS2 ezzel szemben a hálózati és információs rendszerek biztonságára és azok kiberbűnözéssel szembeni ellenállóképességének növelésére összpontosít. Egyszerre védi az azokban tárolt adatokat és az azokkal megvalósított funkciókat is. A NIS2 a kiberbiztonsági minimumkövetelmények rögzítésén túl összehangolja a tagállamok kiberfenyegetések elleni küzdelemét is azáltal, hogy szabályozza a kiberbiztonsági incidensek jelentésének kötelezettségét és módját is.  Tehát minden szempontból több és komplexebb.

Nem annyira várt péntek

Érdekes párhuzam (és semmivel sem több annál), hogy mind a GDPR, mind a NIS2 hatályba lépését is egyformán pénteki napra időzítették. Első ránézésre mindkét rendeletben jelentős időt igyekeztek addig beépíteni a felkészülés biztosítására, de a NIS2-irányelv átültetését szolgáló „Kiberbiztonsági és kibertanúsítási törvény” eddig megjelent elemeinek komplexitását nézve ez egyáltalán nem tűnik olyan bőkezűnek.

A NIS2 követelmények megismerése és adaptálása az érintett cégek számára várhatóan lényegesen több személyi és anyagi ráfordítást fog igényelni, mint azt a GDPR esetében tapasztalhatták. A visszaszámlálás 2024 január 1-jén már elindult, és egy kicsivel több mint 10 hónap áll az érintettek rendelkezésére, hogy felismerjék, vonatkozik-e rájuk az új jogszabály, ha vonatkozik, akkor pedig elvégezzék a szükséges regisztrációt a szabályozó hatóságnál (SZTFH), és felkészüljenek a 2025-ben esedékes első NIS2 hatósági auditukra.

Átfogó ellenőrzés és kötelező auditok a kiberbiztonságért

A NIS2-irányelvet átültető, a kiberbiztonsági tanúsításról szóló 2023. évi XXIII. törvény kötelező auditot ír elő minden érintett társaság számára, amit ráadásul kétévente meg kell ismételni. Ez egy lényeges különbség a GDPR-megfelelés ellenőrzésének gyakorlatához képest. Abban mindkét keretrendszer azonos, hogy egyformán tartalmazza az elszámoltathatóság alapelvét és azt hogy az érintetteknek a megfelelés mellett képesnek kell lenniük annak igazolására is, de amíg arra viszonylag kicsi az esély, hogy kétévente célzott GDPR-ellenőrzésekre kerüljön sor valakinél, addig a NIS2-megfelelést biztosan vizsgálni fogják kétévente az érintett társaságoknál.

A GDPR esetében lehetőség van kisebb erőfeszítéssel is megúszni a dolgot: ha papíron igazolható a megfelelés, az sokszor elegendő lehet a végső sikerhez is. A kötelező és rendszeres hatósági auditok, valamint az azok részét képező gyakorlati tesztek miatt ez a lehetőség nem áll nyitva a NIS2 esetében.

NIS2 vs. GDPR: szűkített célcsoport

A GDPR egy átfogó hatályú, minden olyan szervezetre vonatkozó rendelet, amely EU-lakosok személyes adatait kezeli, függetlenül annak méretétől, árbevételétől és más jellemzőjétől.

A NIS2-irányelv ezzel szemben a kockázatosnak ítélt ágazatokban (energetika, gyártás, közlekedés, egészségügy stb.) működő társaságokra vonatkozik, és néhány kivételtől eltekintve teljesen kizárja a KKV-szektor szereplőit. Ez az előzetes számítások szerint közvetlenül 3-4000 gyártó, szolgáltató és kutatási tevékenységet végző céget érint Magyarországon. A beszállítói láncolatokat is figyelembe véve viszont ennél jóval magasabb, 10 ezer körül lehet azon társaságok száma, amelyek üzleti működésére akár közvetve is, de hatással lesz a NIS2.

Az érintettség feltárására szolgáló önvizsgálat néhány lépésben elvégezhető. Amennyiben ehhez támogatásra lenne szükséges, forduljon bizalommal szakértőinkhez.

IBF: az elkerülhetetlen szerepkör

A GDPR és a NIS2 is új szerepköröket hívott életre a szervezetekben az adat- és információvédelemi elvárásoknak való megfelelés koordinálására. A legtöbb cég számára opcionális a GDPR adatvédelmi tisztviselőjének kijelölése, mert ilyen személyt csak jelentős mennyiségű vagy jelentős hatású személyes adatkezelés esetén kötelező kiállítaniuk.

Ezzel szemben a NIS2 információbiztonsági felelősét (IBF) minden esetben ki kell nevezni és kötelezően regisztrálni is kell a NIS2 felügyeleti hatóságnál (SZTFH). Tekintettel a rendszeres hatósági auditokra, illetve a jövőben kötelezően jelentendő kiberbiztonsági incidensekre, a feladatkör valódi és komoly felelősséggel, illetve tartalommal is kerül feltöltésre, nem csak papíron jön létre.

A jogszabály lehetővé teszi az információbiztonsági felelős szerepkör kiszervezését, ami sokat segíthet azoknak, akik jelenleg nem rendelkeznek házon belül a szükséges kompetenciákkal vagy erőforrásokkal. Erre ugyanis sok esetben vagy nem alkalmas az információs rendszerek működtetéséért felelős IT-menedzser vagy IT-rendszergazda, vagy időben nem tudja azt a meglévő feladatai mellett ellátni.

Jelentős szankciók árnyékában

A GDPR rendelkezéseinek megsértése jelentős büntetést vonhat maga után, amely akár 20 millió eurót vagy az éves globális forgalom 4%-át is elérheti, attól függően, hogy melyik a magasabb.  A NIS2 esetében a bírság planfonja az éves forgalom 2%-át de legfeljebb 10 millió euro, ugyanakkor a szankciókat nem csak a társaságra, hanem annak vezető tisztségviselőjére is kiterjesztették azzal, hogy végső esetben kezdeményezhető annak ideiglenes eltiltása is.

Míg a GDPR-megfelelés hatósági ellenőrzése esetleges, arra egy cég életében nem is feltétlenül kerül sor, addig a NIS2-előírások teljesítését kétévente fogja a vizsgálni a szabályozó hatóság. Így az ehhez kapcsolódó bírság kockázata folyamatosan kíséri majd az érintett társaságokat.

Konklúzió

A GDPR és a NIS2 is segítenek a mai digitális környezetben felmerülő sokrétű kihívások kezelésében, elveik és rendelkezéseik pedig a szabályozási kötelezettségeken túlmutatóan elősegítik a felelősségvállalást, a biztonság, az átláthatóság és fenntarthatóság kultúráját a digitális területeken. A szellemiségük, céljaik és a szervezetekben betöltött szerepük miatt ugyan hasonlóságokat is mutatnak egymással, de a NIS2-megfelelés nem váltja ki a GDPR-megfelelést, illetve nem lehet GDPR-ra való felkészülés tapasztalataira építve megtervezni egy társaság a NIS2 felkészülését.