• NDAlegal

Kiberbiztonság 2. rész – Vajon digitális szolgáltató vagy a NIS-irányelv szerint?

Korábbi cikkünkben megismertük a kiberbiztonság fogalmát és elemeztük a kibervédelem szabályozásának szükségességét. Jelen cikkünkben áttekintjük a NIS-irányelv fontosabb rendelkezéseit, elsődlegesen a digitális szolgáltatók szempontjából.


A NIS-irányelv elsősorban a hálózati és információs rendszerek és szolgáltatások megfelelő szintű védelme érdekében került megalkotásra, a kibervédelem szabályozásának lefektetése érdekében. Magyarország a NIS-irányelvvel összefüggő jogharmonizációs kötelezettségeinek eleget téve, megfelelően módosította az Ekertv.-t, és megalkotta a szükséges kormányrendeleteket is.


A NIS irányelv által hozott újítások az alapvető szolgáltatásokat nyújtó szereplőkre és a digitális szolgáltatókra vonatkoznak. Maga az Irányelv konkrétan nem határozta meg, hogy kik az alapvető szolgáltatást nyújtó szereplők, kritériumokat fogalmazott meg, melyek segítségével a tagállamok beazonosíthatták őket. A rendelkezések értelmében, azok a közjogi vagy magánjogi szervezetek lehetnek alapvető szolgáltatást nyújtó szereplők, akik kritikus társadalmi és/vagy gazdasági tevékenységek fenntartásához nyújtanak alapvető szolgáltatást, például ilyen szolgáltatás lehet a közlekedés, a pénzügyi szolgáltatás, vagy éppen az energia szolgáltatása is. Fontos, hogy akkor lehetnek ezek a szervezetek alapvető szolgáltatást nyújtó szereplők, ha szolgáltatásnyújtásuk hálózati és információs rendszerektől függ, valamint egy szolgáltatásaikat érintő biztonsági esemény jelentős zavart okozna a szolgáltatásukban.


Lényeges, hogy digitális szolgáltatónak kell tekinteni minden digitális szolgáltatást nyújtó szereplőt, amelynek szolgáltatása ugyan nem nélkülözhetetlen, de társadalmi szempontból kiemelt jelentőséggel bír. Ilyen digitális szolgáltatók lehetnek például az online piacterek, hiszen mind lehetővé teszik az online adásvételi és szolgáltatási szerződések megkötését, gondoljunk például egy webshopra, vagy éppen a Jófogásra vagy a Vaterára, de akár egy mozijegy vásárlását lehetővé tevő üzemeltető társaságra, mind digitális szolgáltatónak tekinthetőek, kivéve, ha a szabályozás kivételi kategóriájába tartoznak. Digitális szolgáltatók a felhőalapú számítástechnikai szolgáltatások – mint például a Google Drive, Dropbox, OneDrive – vagy éppen az online keresőprogramok is. A keresőszolgáltatások, mint például a Google, információk megtalálását elősegítő segédeszközöket biztosítanak a felhasználók számára, lehetővé teszik, hogy a felhasználók különböző lekérdezések segítségével, kereséseket végezzenek weboldalakon, és a keresett tartalommal összefüggésben információkat, hivatkozásokat találjanak. Kiemelendő ugyanakkor, hogy nem tartoznak az online keresőprogramok fogalmába a weboldalakon található keresési funkciók, valamint az ár összehasonlító weboldalak sem.


A gazdasági és társadalmi folyamatok megfelelő adatvédelmi és információbiztonsági működésének támogatására, illetve a kiberbiztonság ösztönzésére célszerű volt létrehozni olyan szervezeteket, amelyek feladataik ellátása keretében akár erősíthetik is a kommunikációt és az információcserét a tagállamok között, valamint hatóságként, illetve eseménykezelő központként akár megfelelő kontrollként is szolgálhatnak a szolgáltatók számára.


Magyarország a 270/2018.(XII.20.) Korm. rendeletben a digitális szolgáltatók tekintetében a Nemzetbiztonsági Szakszolgálatot – melynek szervezetén belül korábban létrehozásra került a Nemzeti Kibervédelmi Intézet – jelölte ki az eseménykezelési, valamint a hatósági felügyeletet ellátó szervként, míg a 271/2018.(XII.20.) Korm. rendeletben, a honvédelmi célú elektronikus információs rendszereket érintő biztonsági események és fenyegetések kezelése vonatkozásában a Katonai Nemzetbiztonsági Szolgálat, a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszereit érintő biztonsági események és fenyegetések kezelése kapcsán az Információs Hivatal került kijelölésre illetékes szervként.


Kiemelten fontos, hogy mind az alapvető szolgáltatásokat nyújtó szereplőknek, mind a digitális szolgáltatóknak szükséges olyan megfelelő és arányos műszaki és szervezési intézkedéseket meghozniuk belső eljárásaik során, amelyek a szolgáltatásaik során általuk használt hálózati és információs rendszerek biztonságát fenyegető kockázatokat minimalizálják, illetve kezelik. Ezen felül a Végrehajtási rendeletben foglaltak alapján, szükséges lehet kockázatelemzés keretében azonosítani a kockázatokat és azok mértékét, a létesítményeket fenyegető veszélyeket és azok potenciális hatását is.


Ahogyan a GDPR is előírja a 33-34. cikkében az adatvédelmi incidensek bejelentését, úgy a NIS-irányelv alapján az alapvető szolgáltatást nyújtó szereplőket és a digitális szolgáltatókat is terheli incidensbejelentési kötelezettség a szolgáltatásaik szempontjából jelentős zavart okozó biztonsági események vonatkozásában. Biztonsági eseménynek, kockázatnak kell tekinteni minden olyan eseményt, amely ténylegesen kedvezőtlen hatást gyakorol a hálózati és információs rendszerek biztonságára. Akár olyan eset is előfordulhat, hogy a keletkezett incidens egyszerre adatvédelmi incidens és információbiztonsági incidens is, így szükséges bejelenteni az adatvédelmi hatósághoz és az illetékes számítógép-biztonsági eseményekre reagáló csoportokhoz (CSIRT) is.


Következő cikkünkben röviden áttekintjük a digitális szolgáltatók főbb kötelezettségeit és az irányadó magyar szabályozást a NIS-irányelv jogharmonizációjához kapcsolódóan.

dr. Tarjányi Karolina

dr. Nagy Dóra Adriána


#kockázatelemzés #onlinekeresőprogramok #incidensbejelentés #felhőalapúszámítástechnikaiszolgáltatások #onlinepiacterek #digitálisszolgáltatók #NISirányelv #kibervédelem