NIS2

Kire és hogyan vonatkozik az új szabályozás?

Gyakorlati tudnivalók a sikeres auditáláshoz.

NIS2

Határidők és teendők

Milyen feltételeknek és mikorra kell teljesülni

Bővebben

NIS2

Monitoring és tanácsadás

Teljeskörű felkészítésért forduljon hozzánk bizalommal!

Kapcsolat

A NIS2 (Network and Information Security Directive 2) az Európai Unió által elfogadott jogszabályi keretrendszer, amely a digitális infrastruktúra és információbiztonság javítására irányul. Célja a kritikus infrastruktúrák és szolgáltatásokra irányuló kibertámadások elleni védelem erősítése, valamint az online biztonsági incidensek kezelésének és jelentésének javítása. 

Az Európai Unió NIS2 irányelve, amely 2022 végén került bevezetésre, Magyarországon 2024. január 1-jétől lépett életbe a kibervédelmi felügyeletet szabályozó 23/2023. (XII. 19.) törvény, ismertebb nevén a Kibertan. törvény hatálya alapján. Ez a törvény kötelezően alkalmazandó a hazai vállalkozásokra és szervezetekre azokban az ágazatokban, amelyeket érint. 

Azért, hogy a lehető leghatékonyabban segíthessük meglévő és jövőbeli ügyfeleinket, partnereinket az NIS2 irányelv előírásainak megfelelésében, összegyűjtöttük az összes releváns információt a kibervédelmi direktívával és annak 2024-ben történő bevezetésével kapcsolatban.

A NIS2 célja

A NIS2 irányelv, előírja azokat a digitális biztonsági normákat, amelyeket az alapvető szolgáltatásokat nyújtó szervezeteknek (ESPs) és a digitális szolgáltatóknak (DSPs) be kell tartaniuk. Az irányelv alapvető célkitűzései közé tartozik: 

  • Az alapvető infrastrukturális szolgáltatások, úgymint a közlekedés, az energiaszolgáltatás, a pénzügyi szektor és az egészségügyi ellátás rendelkezésre állásának és ellenálló képességének biztosítása. 
  • A kibertámadások kockázatának csökkentése. 
  • Az együttműködés és az információcsere elősegítése az Európai Unió tagállamai és a vállalkozások között. 

Az irányelvnek való megfelelés révén a szervezetek javíthatják kiberbiztonsági felkészültségüket és hatékonyabban védelmezhetik hálózataikat, valamint információs rendszereiket a kibertámadásokkal szemben. 

A 2024. február 1-jén történt frissítés szerint nyilvánosságra hozták a társadalmi egyeztetéshez a Biztonsági osztályba sorolás és az alkalmazandó védelmi intézkedésekről szóló miniszteri rendelet tervezetét.

NIS2 kiterjeszti a korábbi NIS irányelvet, bővítve a hatálya alá tartozó szervezetek körét és a kötelező jelentési követelményeket.

A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő szolgáltatók mellett a kockázatos ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is. Ennek megfelelően a NIS2 direktíva részletesen definiált állami, közigazgatási szervezetekre és magánkézben lévő közép- és nagyvállalatokra vonatkozik. 

Rendkívül fontos újdonság azonban, hogy ezen szervezetek és vállalatok beszállítói is az irányelv hatálya alá kerültek függetlenül attól, hogy ezek a beszállítók melyik iparághoz tartoznak! 

A NIS2 előírásai elsősorban a középvállalatokra terjednek ki, azaz olyan vállalkozásokra, amelyek több mint 50 munkavállalót foglalkoztatnak, vagy amelyeknek éves árbevétele meghaladja a 10 millió eurót. Egy friss változás a NIS2 alkalmazásában az, hogy az irányelv érvényességi körét új iparágakra és szervezetekre is kiterjesztették. 

A vállalatok számára jelentős erőfeszítést igényel a NIS2 előírásainak való megfelelés és ez komoly kihívást jelent a felügyeletet ellátó hatóságoknak is. Fontos, hogy időben megkezdődjön a felkészülés, hogy elkerülhető legyen az olyan helyzetek ismétlődése, mint amilyen a GDPR bevezetésekor tapasztalható volt, amikor is több cég nem felelt meg időben a kötelezettségeknek. 

Minden szervezetet érint a virtuális fenyegetések kockázata, és mostantól a törvény kiterjesztése révén azok a szervezetek is beleesnek a szabályozás hatálya alá, amelyeknek szolgáltatásait a vállalatok rendszeresen igénybe veszik. 

A jogszabály célja, hogy ösztönözze az együttműködést az EU tagállamok között a kibertámadásokkal szembeni védekezés terén. A NIS2 előírja a szolgáltatók számára a biztonsági intézkedések bevezetését és az incidensek jelentését, ami növeli az átláthatóságot és a válaszadók gyorsaságát az esetleges támadásokra. Fontos eleme a szektorok közötti együttműködés és a szakértői csoportok létrehozása a kritikus infrastruktúrák védelme érdekében. A NIS2 további előírásokat tartalmaz az IoT eszközök biztonságára vonatkozóan is, hogy csökkentse a kiberbiztonsági kockázatokat az interneten kapcsolódó eszközök használatakor. A direktíva végrehajtása és betartása javítja az EU digitális ellenállóképességét és biztonságát a kibertámadások ellen. 

A NIS2 kiberbiztonsági direktívát az EU tagállamainak, így Magyarországnak is 2024. október 17-ig kell átültetniük a saját jogrendszerükbe. 

A legfontosabb határidők

A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a közvélemény véleményezésére teszi közzé a tervezetet, aminek eredményei befolyásolhatják a végleges szabályozás tartalmát. Az Európai Unió tagállamainak kötelezően be kell vezetniük a NIS2 irányelvet saját nemzeti jogrendszerükbe 2024. október 17-ig. 

  • 2024. június 30-ig a szervezetek kötelesek kérni a nyilvántartásba vételüket az SZTFH-nál, valamint önazonosítást kell végezniük és kijelölni az IT-biztonsági felelőst. 
  • 2024. október 18-ig a kötelezően elvárt védelmi intézkedések bevezetése, valamint a meghatározott felügyeleti díj befizetése. (a szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015 %-a, de legfeljebb 10M forint) 
  • 2024. december 31-ig szerződést kell kötni az akkreditált auditor céggel. 
  • 2025. december 31. az első kiberbiztonsági auditálás elvégzésének határideje. 

Az NIS2 bevezetése kapcsán az érintett vállalatok két fő módszert alkalmazhatnak a szükséges biztonsági tanúsítvány megszerzéséhez:

Megfelelőségi önértékelés

A vállalatok saját maguk értékelik és dokumentálják információbiztonsági rendszerük megfelelőségét, és a kitöltött önellenőrző kérdőívet, valamint a kész dokumentációt 2024. június 30-ig kell benyújtaniuk a hatóság felé. Sikeres elfogadást követően ezek az információk bekerülnek az SZTFH adatbázisába. Ez a folyamat azokra az információs és kommunikációs technológiákra (IKT) alkalmazható, amelyek csak „alap” szintű megbízhatóságot igényelnek és alacsony kockázatúak.

Külső auditori értékelés

A vállalatok egy független harmadik félt bíznak meg a tanúsítási folyamat lebonyolításával. Professzionális auditorok végzik el az objektív kibervédelmi értékelést, és az audit eredményeivel a vállalat szintén bekerül az SZTFH adatbázisába. 

A vállalatok különböző megbízhatósági szinteket állíthatnak be maguk számára, amelyek a következők lehetnek:

Az „alap” szinten a vállalatok az alapvető és gyakori kockázatokra összpontosítanak, amelyek biztonsági incidensek és támadások során felmerülhetnek.

A „jelentős” szinten a vállalatok a kiberbiztonsági kockázatok szélesebb skálájára fókuszálnak, ideértve azokat a fenyegetéseket is, amelyek kevésbé szakképzett és kevesebb erőforrással rendelkező támadók által hajthatók végre. 

A „magas” szinten a vállalatok célja a kibertámadások kockázatának minimalizálása, különösen azokkal szemben, amelyeket magas szintű szakértelmet és jelentős erőforrásokat igénylő támadók hajtanak végre, gyakran kihasználva a legújabb technológiai fejlesztéseket. 

Kötelezettségek

A hazai jogszabályok értelmében a NIS2 hatálya alá eső vállalatoknak számos kiberbiztonsági intézkedést kell megvalósítaniuk. Ezek közül az egyik legfontosabb az incidensbejelentési kötelezettség.

A szervezetek számára előírt, hogy minden súlyosnak minősülő incidenset a felismeréstől számított 24 órán belül jelenteniük kell a biztonsági incidensekre válaszadó csoportoknak és a megfelelő felügyeleti szerveknek. Az események akkor minősülnek súlyosnak, amennyiben: 

  • Komoly üzemzavart okoznak vagy potenciálisan okozhatnak a nyújtott szolgáltatásokban; 
  • Anyagi veszteséget eredményeznek az érintett szervezet számára; 
  • Jelentős, vagyis érzékelhető anyagi vagy immateriális károkat okoznak (vagy képesek okozni) természetes vagy jogi személyeknek. 
A hazai jogszabályok értelmében a NIS2 hatálya alá eső vállalatoknak számos további kiberbiztonsági intézkedést kell megvalósítaniuk.

Ezek közé tartoznak:

  • informatikai biztonsági szabályzat kidolgozása  
  • incidensekre való reagálási terv kidolgozása 
  • üzletmenet-folytonossági terv kidolgozása (BCP) 
  • 72 órán belüli esemény-bejelentési kötelezettség 
  • kritikus incidensek azonosítása 
  • sérülékenységi vizsgálatok elvégzése 
  • katasztrófa utáni helyreállítási terv kidolgozása (DRP) 
  • elektronikus információs rendszerek kockázatelemzése
  • biztonsági kontrollok implementálása 
  • tárolt adatok kockázatelemzése 
  • előírt adminisztratív, fizikai és logikai védelmi intézkedések megvalósítása 
  • hálózat és a teljes rendszer monitorozása 
  • munkavállalók és vezetők képzése 
  • két évente kötelező auditálás 

(a teljes listáért keresse szakértőinket!) 

A vezetők kötelezettségei a NIS2 kapcsán

A vezetőknek nemcsak kötelező tájékoztatniuk és oktatniuk dolgozóikat a kiberfenyegetésekkel kapcsolatban, de számos további feladat is rájuk hárul. Egyik ilyen feladat például az, hogy kijelöljenek egy olyan munkatársat, aki az információbiztonságért felel. Továbbá szükséges lesz kétévente kiberbiztonsági auditot végeztetni a vállalat saját rendszereinek ellenőrzésére, amelynek célja többek között a védelmi besorolások elvégzése és az ellenőrzés, hogy a vállalat megfelel-e a szükséges biztonsági előírásoknak. Az érintett vállalatoknak minden releváns információt össze kell gyűjteniük és át kell adniuk az auditálást végző személynek vagy szervezetnek. Ez jelentős adminisztratív terhet ró a vállalatokra, ráadásul maga az auditálás is költségekkel jár, noha a törvény lehetőséget biztosít a hatóságnak a díjak maximális összegének meghatározására. 

Aki nem felel meg a követelményeknek, az komoly büntetési következményekkel nézhet szembe, amely akár a vállalat árbevételének 2%-át is elérheti, sőt, bizonyos esetekben tevékenységtől való eltiltás is bekövetkezhet. Az auditorok munkáját a hatóság szintén szigorúan felügyeli majd. Fontos tudatosítani, hogy az auditorok és a vállalatok felelőssége közös, így a szerződésben egyértelműen rögzíteni kell a felek kötelezettségeit és felelősségét. 

Büntetések mértéke a rendelet be nem tartása esetén

A rendelet elmulasztása esetén jelentős közigazgatási bírságok kerülhetnek kiszabásra: 

  • Az alapvető infrastruktúrákat üzemeltető szervezetek esetében a büntetés elérheti a 10 millió eurót, vagy az éves globális forgalom 2%-át. 
  • A kritikus jelentőségű szervezetekre a bírság összege 7 millió euró lehet, vagy az előző évi árbevétel 1,4%-a. 

Emellett a nemzeti felügyeleti hatóságoknak jogukban állhat, hogy súlyos esetekben egyes vállalkozásokat tevékenységük gyakorlásától vagy vezetőiket tisztségüktől való gyakorlásától eltiltsák. 

Támogatjuk a felkészülést!
Szakértő kollégáink az alábbi kérdésekben tudják segíteni a felkészülést és a jövő évi sikeres auditot:

  • Pontos, részletes és teljeskörű analízist végzünk meglévő folyamatain,
  • Mély szakmai tudással, több évtizedes széleskörű kiberbiztonsági tudással rendelkezünk, 
  • Szerteágazó hazai és nemzetközi szakmai kapcsolataink révén a legmegfelelőbb megoldást biztosítjuk az esetleges biztonsági kockázatok kiküszöbölésére.

.

Forduljon hozzánk bizalommal!

NIS2 információs vonal:

+36 20 661 5661

e-mail: nis2@gloster.hu