Egy éve, 2018 májusában mindenki GDPR lázban égett. Ugyanabban a hónapban, május 10-én egy másik, adatbiztonságot érintő uniós szintű szabályozás is életbe lépett (a 2016/1148. számú, úgynevezett NIS direktíva). Az irányelv egyrészt a társadalom működése szempontjából kritikus alapvető szolgáltatásokat nyújtó szereplők - például az energiaszektor, közlekedés, egészségügy, pénzügyi tranzakciók - infrastruktúrájára vonatkozik. Másrészt alkalmazni kell egyes digitális szolgáltatókra - online keresőmotorokra, felhőalapú számítástechnikai szolgáltatásokra és az online piacterekre - is.
Az érintett szolgáltatók megfelelő védelmi szintet kell biztosítsanak az általuk használt hálózati és információs rendszereket fenyegető kockázatok kezeléséhez. A szolgáltatás folytonossága érdekében intézkedéseket kell tenniük az érintett rendszereket érő támadások megelőzésére és azok hatásainak csökkentésére. Ha ilyen esemény történik, azt haladéktalanul be kell jelentsék az illetékes hatóságnak. A kötelezettség elmulasztása esetén, mint például egy biztonsági esemény be nem jelentése, a bírság elérheti az 5 millió forintot - bár ez viszonylag szerény összeg az Egyesült Királysághoz képest, ahol a felső határ 17 millió font. Egy-egy incidens - ha az a személyes adatok megsértésével jár - kettős, a GDPR és a NIS szabályozás szerinti szankciókat is eredményezhet.
Magyarországon a bejelentésköteles szolgáltatást nyújtókra vonatkozó hatósági felügyelet illetékessége megváltozott - hívja fel a figyelmet az EY. Korábban a BM Országos Katasztrófavédelmi Főigazgatóság látta el a felügyeletet, de jelenleg - a 270/2018-as kormányrendelet alapján - a Nemzeti Elektronikus Információbiztonsági Hatóság kapta ezt a feladatot. A biztonsági eseményekről a Nemzetbiztonsági Szakszolgálat eseménykezelő központja vezet nyilvántartást, és szakmai támogatást is nyújt az incidensek kezeléséhez.
