NIS2 vagy GDPR? Vagy mindkettő?

Megosztás Tetszik

A NIS2 (Network and Information Systems Directive, version 2) irányelvet valószínűleg ma még igen kevesen említik meg a cégvezetők közül, amikor információvédelemről esik szó, pedig 2024. október 18-tól már ezt az új információbiztonsági keretrendszert is működtetniük kell az érintett cégeknek – írja blogjában a Grant Thornton.

Ha mondani kellene egy jogszabályt, amelyet kifejezetten az információk védelmére alkottak meg az Európai Unióban, szinte kivétel nélkül mindenkinek a GDPR jutna először eszébe. Nem csoda, hiszen az Általános Adatvédelmi Rendelettel (a GDPR-ral) 2018. május 25. óta minden olyan cégnek meg kellett ismerkednie, ahol személyes adatokat kezelnek, például alkalmazottakról vagy magánszemély ügyfelekről vezetnek nyilvántartást. A NIS2 irányelvet valószínűleg ma még igen kevesen említik meg – olvasható a Grant Thornton írásában.

A NIS2 az új GDPR?

A két jogszabály nagyon hasonló célokat fogalmaz meg, ezért lehet alapja az összehasonlításuknak. Ugyanakkor a NIS2 még úgy sem fogja a GDPR-t felváltani, hogy az új jogszabály jóval komplexebb elvárásokat fogalmaz meg az információs rendszerek és a bennük tárolt adatok védelmével kapcsolatban. Tehát a NIS2 nem az új GDPR. A két keretrendszer összehasonlítása viszont segítséget adhat az új kötelezettségek megértéséhez és támpontot adhat az arra való felkészüléshez is.

Fókuszban a biztonság

A GDPR elsősorban a személyes adatok és a magánélet védelmére összpontosít. Azért hozták létre, hogy szabályozza a személyes adatok feldolgozásának módját, és ezzel kötelezettségeket rójon minden, személyes adatokat kezelő társaságra.

A NIS2 ezzel szemben a hálózati és információs rendszerek biztonságára és azok kiberbűnözéssel szembeni ellenállóképességének növelésére összpontosít. Egyszerre védi az azokban tárolt adatokat és az azokkal megvalósított funkciókat is. A NIS2 a kiberbiztonsági minimumkövetelmények rögzítésén túl összehangolja a tagállamok kiberfenyegetések elleni küzdelemét is azáltal, hogy szabályozza a kiberbiztonsági incidensek jelentésének kötelezettségét és módját is. Tehát minden szempontból több és komplexebb.

Nem annyira várt péntek

Érdekes párhuzam (és semmivel sem több annál), hogy mind a GDPR, mind a NIS2 hatályba lépését is egyformán pénteki napra időzítették. Első ránézésre mindkét rendeletben jelentős időt igyekeztek addig beépíteni a felkészülés biztosítására, de a NIS2-irányelv átültetését szolgáló „Kiberbiztonsági és kibertanúsítási törvény” eddig megjelent elemeinek komplexitását nézve ez egyáltalán nem tűnik olyan bőkezűnek.

A NIS2 követelmények megismerése és adaptálása az érintett cégek számára várhatóan lényegesen több személyi és anyagi ráfordítást fog igényelni, mint azt a GDPR esetében tapasztalhatták. A visszaszámlálás 2024. január 1-jén már elindult, és egy kicsivel több mint 10 hónap áll az érintettek rendelkezésére, hogy felismerjék, vonatkozik-e rájuk az új jogszabály, ha vonatkozik, akkor pedig elvégezzék a szükséges regisztrációt a szabályozó hatóságnál (SZTFH), és felkészüljenek a 2025-ben esedékes első NIS2 hatósági auditukra.

Átfogó ellenőrzés és kötelező auditok a kiberbiztonságért

A NIS2-irányelvet átültető, a kiberbiztonsági tanúsításról szóló 2023. évi XXIII. törvény kötelező auditot ír elő minden érintett társaság számára, amit ráadásul kétévente meg kell ismételni. Ez egy lényeges különbség a GDPR-megfelelés ellenőrzésének gyakorlatához képest. Abban mindkét keretrendszer azonos, hogy egyformán tartalmazza az elszámoltathatóság alapelvét és azt hogy az érintetteknek a megfelelés mellett képesnek kell lenniük annak igazolására is, de amíg arra viszonylag kicsi az esély, hogy kétévente célzott GDPR-ellenőrzésekre kerüljön sor valakinél, addig a NIS2-megfelelést biztosan vizsgálni fogják kétévente az érintett társaságoknál.

A GDPR esetében lehetőség van kisebb erőfeszítéssel is megúszni a dolgot: ha papíron igazolható a megfelelés, az sokszor elegendő lehet a végső sikerhez is. A kötelező és rendszeres hatósági auditok, valamint az azok részét képező gyakorlati tesztek miatt ez a lehetőség nem áll nyitva a NIS2 esetében.

NIS2 vs. GDPR: szűkített célcsoport

A GDPR egy átfogó hatályú, minden olyan szervezetre vonatkozó rendelet, amely EU-lakosok személyes adatait kezeli, függetlenül annak méretétől, árbevételétől és más jellemzőjétől.

A NIS2-irányelv ezzel szemben a kockázatosnak ítélt ágazatokban (energetika, gyártás, közlekedés, egészségügy stb.) működő társaságokra vonatkozik, és néhány kivételtől eltekintve teljesen kizárja a kkv-szektor szereplőit. Ez az előzetes számítások szerint közvetlenül 3-4000 gyártó, szolgáltató és kutatási tevékenységet végző céget érint Magyarországon. A beszállítói láncolatokat is figyelembe véve viszont ennél jóval magasabb, 10 ezer körül lehet azon társaságok száma, amelyek üzleti működésére akár közvetve is, de hatással lesz a NIS2.

Az érintettség feltárására szolgáló önvizsgálat néhány lépésben elvégezhető.

IBF: az elkerülhetetlen szerepkör

A GDPR és a NIS2 is új szerepköröket hívott életre a szervezetekben az adat- és információvédelemi elvárásoknak való megfelelés koordinálására. A legtöbb cég számára opcionális a GDPR adatvédelmi tisztviselőjének kijelölése, mert ilyen személyt csak jelentős mennyiségű vagy jelentős hatású személyes adatkezelés esetén kötelező kiállítaniuk.

Ezzel szemben a NIS2 információbiztonsági felelősét (IBF) minden esetben ki kell nevezni és kötelezően regisztrálni is kell a NIS2 felügyeleti hatóságnál (SZTFH). Tekintettel a rendszeres hatósági auditokra, illetve a jövőben kötelezően jelentendő kiberbiztonsági incidensekre, a feladatkör valódi és komoly felelősséggel, illetve tartalommal is kerül feltöltésre, nem csak papíron jön létre.

A jogszabály lehetővé teszi az információbiztonsági felelős szerepkör kiszervezését, ami sokat segíthet azoknak, akik jelenleg nem rendelkeznek házon belül a szükséges kompetenciákkal vagy erőforrásokkal. Erre ugyanis sok esetben vagy nem alkalmas az információs rendszerek működtetéséért felelős IT-menedzser vagy IT-rendszergazda, vagy időben nem tudja azt a meglévő feladatai mellett ellátni.

Jelentős szankciók árnyékában

A GDPR rendelkezéseinek megsértése jelentős büntetést vonhat maga után, amely akár 20 millió eurót vagy az éves globális forgalom 4%-át is elérheti, attól függően, hogy melyik a magasabb.  A NIS2 esetében a bírság planfonja az éves forgalom 2%-át de legfeljebb 10 millió euro, ugyanakkor a szankciókat nem csak a társaságra, hanem annak vezető tisztségviselőjére is kiterjesztették azzal, hogy végső esetben kezdeményezhető annak ideiglenes eltiltása is.

Míg a GDPR-megfelelés hatósági ellenőrzése esetleges, arra egy cég életében nem is feltétlenül kerül sor, addig a NIS2-előírások teljesítését kétévente fogja a vizsgálni a szabályozó hatóság. Így az ehhez kapcsolódó bírság kockázata folyamatosan kíséri majd az érintett társaságokat.

Konklúzió

A GDPR és a NIS2 is segítenek a mai digitális környezetben felmerülő sokrétű kihívások kezelésében, elveik és rendelkezéseik pedig a szabályozási kötelezettségeken túlmutatóan elősegítik a felelősségvállalást, a biztonság, az átláthatóság és fenntarthatóság kultúráját a digitális területeken. A szellemiségük, céljaik és a szervezetekben betöltött szerepük miatt ugyan hasonlóságokat is mutatnak egymással, de a NIS2-megfelelés nem váltja ki a GDPR-megfelelést, illetve nem lehet GDPR-ra való felkészülés tapasztalataira építve megtervezni egy társaság a NIS2 felkészülését – olvasható a grantthornton.hu-n.