Feleljen meg egyszerűen a NIS2 irányelveknek
Segítünk a felkészülésben, legyen cége biztonságban!
Érint engem a NIS2?
Tudjon meg mindent a NIS2-ről
Mi az a NIS2?
A Network and Information Systems 2 azaz a NIS2 az Európai Unió eddigi legátfogóbb kiberbiztonsági irányelve, melynek célja a tagállamok általános kiberbiztonsági szintjének megemelése. A 2023-ban hatályba lépett NIS2, a korábbi, 2016-os uniós kiberbiztonsági szabályokat aktualizálta.
Felügyeleti szerve hazánkban a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Amely vállalat nem felel meg a NIS2 elvárásainak, komoly pénzbírságot és lehetséges reputációvesztést kockáztat. Emellett az SZTFH azt a vállalatot, mely nem felel meg a követelményeknek, bizonyos tevékenységek gyakorlásától el is tilthatja.
Kikre vonatkozik?
A kiberbiztonsági előírások az 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkező cégekre vonatkoznak. Ám tevékenységi körük okán – méretüktől függetlenül- kisvállalkozások is érintettek lehetnek.
Az SZTFH becslése szerint Magyarországon mintegy 2500 vállalatot érint, sőt beszállítóikat is, akiknek szintén rendelkezniük kell NIS2 minősítéssel.
Érintett ágazatok
- Energia
- Közlekedés
- Egészségügy
- Víz
- Gyógyszeripar
- Digitális infrastruktúrák
- Kihelyezett szolgáltatók
- Világűr
- Posta, futárszolgálatok
- Hulladékgazdálkodás
- Elektronikai gyártás
- Járműgyártás
- Élelmiszer előállítás és forgalmazás
- Digitális szolgáltatások
- Vegyipar
- Kutatóhelyek
Legfontosabb határidők
A vállalatoknak azonosítaniuk kellett, hogy vonatkoznak-e rájuk a NIS2 előírásai. Amennyiben igen, úgy 2024. június 30-ig jelentkezniük kellett nyilvántartásba vételre az SZTFH-nál. Emellett el kellett végezniük a biztonsági osztályba sorolást, illetve ki kellett jelölniük az elektronikus információs rendszerek biztonságáért felelős személyt, és meg kellett határozniuk feladatkörét. Az SZTFH, mint felügyeleti szerv ez idő alatt nyilvántartásba vette az érintett szervezeteket, illetve az auditorokat.
Az érintett vállalatoknak alkalmazniuk kell a NIS2 által elvárt védelmi intézkedéseket, illetve meg kell fizetniük az SZTFH részére a felügyeleti díjat (előző évi árbevétel 0,015 %-a, de max. 10M Ft). Szintén ekkortól az SZTFH elindítja felügyeleti- és ellenőrzési tevékenységét.
Az érintett cégeknek az első kiberbiztonsági audit lefolytatására szerződést kell kötniük az auditorral.
Az első kiberbiztonsági audit lefolytatásának határideje az érintett cégek számára.
SZTFH
- Érintett szervezetek nyilvántartásba vétele
- Auditorok nyilvántartásba vétele
- Felügyeleti tevékenység
- Ellenőrzési tevékenység
Érintett szervezet
- Önazonosítás nyilvántartásba vételre, bejelentkezés 2024. június 30-ig.
- Biztonsági osztályba sorolás
- Elektronikus információs rendszerek biztonságáért felelős személy feladatkörének kijelölése
- Védelmi intézkedések alkalmazása
- Felügyeleti díj megfizetése
- Első kiberbiztonsági audit vonatkozásában szerződéskötés az auditorral
- Első kiberbiztonsági audit lefolytatásának határideje
Az irányelv jogi háttere
- 2019/881 (EU) rendelet (2019.04.17.) az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
- 2022/2555 (EU) irányelv – NIS 2 (2022.12.14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről
- 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
- 2023. évi XXIII. Törvény (Kibertantörvény) a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
- 23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról
- 15/2023. (VII. 31.) SZTFH rendelet a kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól
- 7/2024. (VI. 24.) SZTFH rendelet A kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
- 7/2024. (VI. 24.) MK rendelet A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
A hatósági felügyelettel kapcsolatos tudnivalók
A hatósági felügyeleti díj befizetésének határideje: 2024. október 18.
Ezt követően a díjat évente kell megfizetni. Az SZTFH a NIS2 elvárásokkal kapcsolatban érintett vállalatokról nyilvántartást vezet, valamint hatósági ellenőrző szerepet is ellát. Indokolt esetben elrendelhet rendkívüli ellenőrzést is, figyelmeztetést adhat ki, illetve egyéb hatóságokkal együttműködve bizonyos tevékenységektől el is tilthat vállalatokat. Meg nem felelés esetén bírságot is kiszabhat, melynek összege elérheti a 10.000.000 EUR összeget, de legfeljebb az érintett vállalat éves árbevételének 2%-át.
A tevékenység végzésére jogosult független auditorok feljogosítását, egy hamarosan megjelenő jogi keretrendszer szabályozza majd. Ezután kerülnek nyilvántartásba a kiválasztható auditorok, akik az érintett vállalatok felkérésére elvégzik a kiberbiztonsági auditot, mely az alábbi tevékenységeket is magában foglalhatja:
- Biztonsági osztályba sorolás vizsgálata és értékelése
- Védelmi intézkedések vizsgálata és értékelése
- Sérülékenység- és behatolásvizsgálat
- Kriptográfiai megfelelőség vizsgálata és értékelése
- Forráskód-vizsgálat
A kiberbiztonsági auditot kétévente kötelező elvégezni.
A lefolytatott vizsgálat eredményét az auditorok megosztják az SZTFH-val.
Az érintett vállalkozások feladatai
Átfogó információbiztonsági irányítási rendszer kialakítása, mely az alábbiakra terjed ki:
Hálózati és információs rendszerek
Fizikai környezet
Szolgáltatások
Adatok,
információk
Biztonsági osztályok
A vállalatok önazonosítása során az alábbi biztonsági osztályokba sorolhatók:
Vállalatok feladatai
- A lehetséges incidensek megelőzése. Incidens esetén azok kezelése és a hatások csökkentése.
- Az üzletmenet folytonosság megteremtése a teljes életcikusban.
- Kockázatok felmérése.
- Információbiztonsági Irányítási Rendszer kiépítése.
- Védelmi intézkedések bevezetése.
Cégvezetők feladatai
- Információbiztonsági felelős kijelölése, illetve feladatainak meghatározása
- A felhasználókra vonatkozó szabályok meghatározása
- Munkatársak biztonságtudatosságának javítása és fenntartása: képzések, szimulációs gyakorlatok
- Beszállítók ellenőrzése
Biztonsági követelmények
Az alkalmazandó konkrét védelmi intézkedéseket a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben határozta meg.
Az érintett szervezeteknek az eredményes felkészüléshez a 41/2015 BM rendelet, illetve az NIST 800-53 rev. 5, illetve az NIST 800-82-es keretrendszer biztonsági követelményeit érdemes tanulmányozniuk. Az NIST 800-53 rev. 5 az üzleti környezetben használt rendszerek (IT), míg az NIST 800-82 az ipari környezetben használt rendszerek (OT) biztonsági követelményeit foglalja magában. Az alkalmazandó védelmi intézkedések tehát az IT mellett az ipari környezetben használt rendszereket (OT) is érinteni fogják. Felügyeleti szerve hazánkban a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Amely vállalat nem felel meg a NIS2 elvárásainak, komoly pénzbírságot és lehetséges reputációvesztést kockáztat. Emellett az SZTFH azt a vállalatot, mely nem felel meg a követelményeknek, bizonyos tevékenységek gyakorlásától el is tilthatja.
A legfontosabb biztonsági követelmények az NIST 800-53 alapján
- A vezetőség elkötelezettsége
- Az ellátási lánc biztonsága
- Fizikai és környezeti biztonság
- Kriptográfiai eljárások
- Sérülékenységek kezelése
- Üzletmenet- és ügymenet-folytonossága
- Incidenskezelés
- Kockázatkezelési keretrendszer
- Szabályozás, szerepek, felelősségek, és jogviszonyok kezelése
- Az emberi erőforrások biztonsága
- Biztonságtudatossági képzések
- Hálózatok és információs rendszerek beszerzése, fejlesztése és karbantartása
- Azonosítási és hitelesítési eljárások
Szakértői csapatunk több éves tapasztalattal rendelkezik az információbiztonsági követelmények (pl.: 41/2015 BM rendelet, NIST 800-53, NIST 800-82) megfelelőségi vizsgálatában és auditálásában, gyakorlati szempontból kivitelezhető és élhető implementálásában.
Munkatársaink nemzetközi minősítésekkel (CISA, CISM, CRISC, ISO 27001 LA) is rendelkeznek, emellett folyamatosan képzik magukat.
Az ipari környezetet érintő biztonsági kontrollok hatékony megvalósításában is több éves jártasságunk van, melyet azért fontos kiemelni, mert sok esetben az IT területen alkalmazható biztonsági megoldások nem ültethetők át egy az egyben az OT környezetre.
Hogyan zajlik a felkészítés?
Stratégiai partnerünk az Alverad
Szakértőink GAP analízist végeznek
Feltérképezik a NIS2 által elvárt követelmények esetleges hiányosságait. A folyamat az alábbi főbb lépésekből áll:
- Hatókör meghatározása
- Biztonsági osztályba sorolás
- Biztonsági követelmények azonosítása
- Biztonsági képességek, kockázatok felmérése
- Intézkedések tervezése
Töltse ki az alábbi linkre kattintva a kérdőívet!
Értintettségi kérdőívFelkészülési szakasz
A GAP analízis után következik a felkészülési szakasz, melynek során a feltárt hiányosságokat orvosoljuk. A folyamat az alábbi főbb lépésekből áll:
- Felelősségek kijelölése
- Folyamatok szervezése
- Szabályzatok elkészítése
- Technológiák, szolgáltatások beszerzése, implementálása
- A működés dokumentálása
Audittal kapcsolatos tudnivalók
A felkészülést követően a szervezetnél megfelelőség értékelést, auditot végeznek az SZTFH által nyilvántartásba vett auditorok. A vizsgálat átfutásának ideje a szervezet méretétől függően 3-6 héttől egészen 3-6 hónapig terjedhet.
Megfelelőség értékelésének módszertana és feladatai
Ellenőrzés előkészítése
Ellenőrzési terv elkészítése
Dokumentáció ellenőrzés
Helyszíni ellenőrzés
Helyszíni ellenőrzés nyomon követése
