EU NIS2 módosítás
Az Európai Bizottság javaslatot tett a NIS2 módosítására, amely új követelményeket vezetne be a kritikus infrastruktúrát üzemeltető szervezetek számára. A NIS2 alapvetően már most is minimális kiberbiztonsági kötelezettségeket ír elő, de a tervezett változtatások ezt tovább mélyítik és konkretizálják.
Az egyik legfontosabb új elem a ransomware-incidensek részletesebb jelentési kötelezettsége. A javaslat szerint a szervezeteknek nemcsak az incidens tényét kell jelenteniük, hanem adott esetben olyan érzékeny információkat is, mint a váltságdíj követelésének ténye, annak kifizetése és a címzett. Ez a megközelítés azt mutatja, hogy az EU már nemcsak a támadások kezelésére, hanem azok gazdasági és operatív dinamikájának feltérképezésére is törekszik.
A javaslat továbbá módosítja a szabályozás hatókörét is. Bizonyos szektorok, például a tengeralatti adatátviteli infrastruktúra bekerülnek a szabályozás alá, míg más területeken finomhangolják az érintett szervezetek körét. Emellett kiterjesztenék azt a követelményt is, hogy az EU-ban szolgáltatást nyújtó, de ott nem letelepedett vállalatoknak kötelező legyen képviselőt kijelölni egy tagállamban.
A szabályozás fókusza áthelyeződik az implementációról a végrehajtásra és ellenőrzésre. A 27 uniós országból huszonkettő már átültette a NIS2-t nemzeti jogába, és azok közül az országok közül, amelyek még nem hajtották végre, többen is kidolgozták a nemzeti keretrendszereket felvázoló jogszabálytervezeteket. A következő szakaszban a hatóságok várhatóan aktívabban ellenőrzik majd a megfelelést, és szigorúbban lépnek fel a hiányosságokkal szemben.
A szabályozás egyre inkább operatív szintű adatokat követel meg, ami növeli az átláthatóságot, de egyben érzékeny információk kezelését is szükségessé teszi. A ransomware külön kiemelése azt jelzi, hogy az EU ezt a fenyegetést stratégiai szinten kezeli, nem pusztán technikai incidensként.
