A Bizottság iránymutatása a NIS2 irányelv 4. cikke (1) és (2) bekezdésének alkalmazásáról, amely az Európai Unió Hivatalos Lapjában jelent meg 2023. szeptember 18-án, kitér néhány olyan fő területre, amely azon szervezetek számára fontos, akik megpróbálják megérteni, hogy a NIS2 irányelvnek kell-e megfelelniük, vagy a digitális működési rezilienciáról szóló törvénynek (DORA), illetve más
ágazatspecifikus uniós jogi aktusoknak.
A NIS2 irányelv 4. cikkének (1) bekezdése előírja, hogy amennyiben
ágazatspecifikus uniós jogi aktusok (például a pénzügyi ágazatban alkalmazandó DORA) előírják az alapvető vagy fontos szervezetek számára, hogy kiberbiztonsági kockázatkezelési intézkedéseket vezessenek be vagy bejelentsék a jelentős incidenseket, és amennyiben ezek a követelmények
hatásukban legalább egyenértékűek a NIS2 irányelvben meghatározott kötelezettségekkel, a NIS2 irányelv vonatkozó rendelkezései
nem vonatkoznak az ilyen szervezetekre. Az ágazatspecifikus rendelkezéseket kell alkalmazni.
Ez a rendelkezés továbbá előírja, hogy amennyiben az
ágazatspecifikus uniós jogi aktusok
nem terjednek ki egy adott ágazatban működő, a NIS2 irányelv hatálya alá tartozó valamennyi szervezetre,
továbbra is a NIS2 irányelv vonatkozó rendelkezéseit kell alkalmazni azokra a szervezetekre, amelyekre az említett ágazatspecifikus uniós jogi aktusok nem terjednek ki.
A NIS2 irányelv 4. cikke (2) bekezdésének a) pontja előírja, hogy a kiberbiztonsági kockázatkezelési intézkedéseket, amelyeket az
ágazatspecifikus uniós jogi aktusok alapján az alapvető vagy fontos szervezetek kötelesek elfogadni, a NIS2 irányelvben meghatározott kötelezettségekkel hatásukban egyenértékűnek kell tekinteni, amennyiben ezek az intézkedések hatásukban legalább egyenértékűek a NIS2 irányelv 21. cikkének (1) és (2) bekezdésében meghatározottakkal.
Annak értékelésekor, hogy a kiberbiztonsági kockázatkezelési intézkedésekről szóló ágazatspecifikus uniós jogi aktusban foglalt követelmények hatásukban legalább egyenértékűek-e a NIS2 irányelv 21. cikkének (1) és (2) bekezdésében megállapítottakkal, az ágazatspecifikus uniós jogi aktusban foglalt követelményeknek meg kell felelniük legalább a NIS2-es rendelkezések követelményeinek, vagy túl kell mutatniuk rajtuk, ami annyit jelent, hogy
az ágazatspecifikus rendelkezések tartalmilag részletesebbek lehetnek a NIS2 irányelv megfelelő rendelkezéseihez képest.
Egy ágazatspecifikus uniós jogi aktusnak a NIS2 irányelv 21. cikkének (1) és (2) bekezdésében foglalt követelményekkel való egyenértékűségének értékelésekor fontos szempont, hogy az ágazatspecifikus uniós jogi aktusban előírt kiberbiztonsági kockázatkezelési intézkedéseknek az
„összes veszélyre kiterjedő megközelítésen” kell alapulniuk.
Mivel a hálózati és információs rendszerek biztonságát fenyegető veszélyek különböző eredetűek lehetnek,
bármilyen típusú esemény negatív hatással lehet a szervezet hálózati és információs rendszereire, és potenciálisan incidenshez vezethet. Ezért a szervezet által hozott kiberbiztonsági kockázatkezelési intézkedéseknek nemcsak a szervezet hálózati és információs rendszereit, hanem e rendszerek
fizikai környezetét is védeniük kell minden olyan eseménytől, mint például
szabotázstól, lopástól, tűztől, árvíztől, telekommunikációs hibától vagy feszültség-kimaradástól, vagy jogosulatlan fizikai hozzáféréstől, amely veszélyeztetheti a hálózati és információs rendszerek által tárolt, továbbított vagy feldolgozott adatok, illetve az általuk kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmasságát.
Következésképpen az
ágazatspecifikus uniós jogi aktusban előírt kiberbiztonsági kockázatkezelési intézkedéseknek kifejezetten foglalkozniuk kell a hálózati és információs rendszerek fizikai és környezeti biztonságával a rendszerhibák, emberi hibák, rosszindulatú cselekmények vagy természeti jelenségek tekintetében.
NIS2 és DORA
A NIS2 irányelv és a 2023. szeptember 18-i digitális működési rezilienciatörvény (DORA) közötti kapcsolatról szóló bizottsági iránymutatás a függelékben a következőket fejti ki:
A DORA 1. cikkének (2) bekezdése úgy rendelkezik, hogy a NIS2 irányelv és az azt átültető megfelelő nemzeti szabályok hatálya alá tartozó pénzügyi szervezetek tekintetében
a DORA a NIS2 irányelv 4. cikkének alkalmazásában ágazatspecifikus uniós jogi aktusnak minősül.
Ez az állítás tükröződik a NIS2 irányelv (28) preambulumbekezdésében, amely kimondja, hogy a DORA-rendeletet a NIS2 irányelv vonatkozásában a pénzügyi szervezetek tekintetében ágazatspecifikus uniós jogi aktusnak kell tekinteni.
Következésképpen a DORA információs és kommunikációs technológiai (IKT) kockázatkezelésre (a 6. és azt követő cikkek), az IKT-vel kapcsolatos biztonsági események kezelésére és különösen a jelentős IKT-vonatkozású események bejelentésére (a 17. és azt követő cikkek), valamint a digitális működési rezilienciára vonatkozó tesztekre (a 24. és azt követő cikkek), az információmegosztási megállapodásokra (25. cikk) és a harmadik féltől eredő IKT-kockázatokra (a 28. és azt követő cikkek) vonatkozó
rendelkezéseit kell alkalmazni a NIS2 irányelvben előírtak helyett.
A tagállamok ezért
nem alkalmazhatják a NIS2 irányelv kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségekre, valamint felügyeletre és végrehajtásra vonatkozó rendelkezéseit
a DORA hatálya alá tartozó pénzügyi szervezetekre.
Forrás
A Bizottság iránymutatása a NIS2 irányelv 4. cikke (1) és (2) bekezdésének alkalmazásáról (letölthető)