Kötelező IT biztonság az EU-ban, NIS2 irányelv összefoglaló

Az Európai Unióban a 2022/2555 NIS2 (Network and Information Systems Directive 2) irányelvet 2021. december 27-én hirdették ki, majd nem sokkal később 2023. január 16-án hatályba is lépett.

Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS2 irányelvet a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak. Bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között biztosan lesznek különbségek. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, mivel  a mikro- és kisvállalkozásokra is vonatkozik a NIS2 amennyiben az érintett szervezet:

a) elektronikus hírközlési szolgáltató,

b) bizalmi szolgáltató,

c) DNS-szolgáltatást nyújtó szolgáltató,

d) legfelső szintű domainnév-nyilvántartó vagy

e) domainnév-regisztrációt végző szolgáltató,

f) honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaság.  

 

A NIS2 jogszabályi változásai és a kétévenkénti kötelező audit részletei című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg.

Védje meg vállalatát: Hibrid SOC és NIS2 megfelelés című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg. 

NIS2 irányelv: Gyakorlati tudnivalók és felkészülési stratégia című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg. 

NIS2 irányelv: Ismerje meg a változásokat és készüljön fel időben! című szakmai webináriumunk felvételét az alábbi képre kattintva tekintheti meg.

 

A NIS2 irányelv lényege

A NIS2 a korábbi (EU) 2016/1148 NIS irányelv továbbfejlesztett változata, mivel hatálybalépése óta jelentős előrelépés történt az Unió kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek.

A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén.

 

Számítógép-biztonsági incidenskezelő csoport

A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. A tagállamoknak ezért ezen irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek.

Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani.

A tagállamoknak egy szélesebb körű védelmi stratégia részeként az aktív kiberbiztonság előmozdítására irányuló szakpolitikákat kell elfogadniuk. A reaktív reagálás helyett az aktív kiberbiztonság a hálózatbiztonságot fenyegető betörések aktív módon történő megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és azon kívül telepített képességek igénybevételével kombinálva.

A rendelet továbbá előírja, hogy egy új európai sérülékenység-adatbázist kell létrehozni, amelyben a szervezetek és a hálózati és információs rendszereket biztosító beszállítóik, valamint az illetékes hatóságok és a CSIRT-ek önkéntes alapon közzétehetik és regisztrálhatják a nyilvánosan ismert sérülékenységeket annak érdekében, hogy lehetővé tegyék a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyek kockázatot jelentenek az uniós szervezetek számára. 

 

Érintett ágazatok

Hazánkban várhatóan több mint 3500 közép- és nagyvállalatra, illetve szervezetre vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés.

1. Közigazgatási ágazathoz tartozó szervezetek:

  • központi államigazgatási szerv, a Kormány kivételével,
  • Sándor-palota,
  • Országgyűlés Hivatala,
  • Alkotmánybíróság Hivatala,
  • Országos Bírósági Hivatal és a bíróságok,
  • az ügyészségek,
  • Alapvető Jogok Biztosának Hivatala,
  • Állami Számvevőszék,
  • Magyar Nemzeti Bank,
  • Magyar Honvédség, a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai,
  • a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
  • a települések képviselő-testületének hivatalai,
  • a központi szolgáltató,
  • a központi rendszer felett rendelkezési jogot gyakorló szervezet.

2. Többségi állami befolyás alatt álló azon gazdálkodó szervezetekre, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozó küszöbértékeket,

3. Nemzeti kiberbiztonsági hatóság vagy a honvédelmi kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosított szervezetekre.

4. Az alábbi szervezetekre, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint középvállalkozásoknak minősülnek vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket.

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek 

  • energia (villamos energia, távfűtés és hűtés, kőolaj, földgáz, hidrogén)
  • közlekedés (légi, vasúti, közúti, vízi közlekedés és tömegközlekedés)
  • egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek) (az egészségügyről szóló törvény szerinti egészségügyi szolgáltató, magas biztonsági szintű biológiai laboratóriumok üzemeltetője, egészségügyi tartalékokat és vérkészleteket kezelő szervezet, gyógyszerek kutatásával és fejlesztésével foglalkozó szervezet, gyógyszeripari alaptermékeket és gyógyszerkészítményeket gyártó szervezet, gyógyszer-nagykereskedő, népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközt gyártó szervezet)
  • ivóvíz, szennyvíz - víziközmű szolgáltatás (a víziközmű-szolgáltatásról szóló törvény szerinti víziközmű-szolgáltató)
  • hírközlési szolgáltatás (az elektronikus hírközlésről szóló törvény szerinti a) elektronikus hírközlési szolgáltató, b) adatkicserélő szolgáltatást nyújtó szolgáltató, a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló törvény szerinti bizalmi szolgáltató)
  • digitális infrastruktúra (a felhőszolgáltató, adatközponti szolgáltatást nyújtó szolgáltató, legfelső szintű doménnév-nyilvántartó, a DNS-szolgáltató, tartalomszolgáltató hálózat szolgáltatója)
  • kihelyezett IKT szolgáltatások (kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató, kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató)
  • világűr, űripar (űralapú szolgáltatások nyújtását támogató földi infrastruktúra üzemeltető)

Kockázatos ágazatokban működő szolgáltatók és szervezetek

  • postai és futárszolgáltatások (a postai szolgáltatásokról szóló törvény szerinti postai szolgáltató)
  • élelmiszer (előállítása, az élelmiszer-higiéniáról szóló, 2004. április 29-i 852/2004/EK európai parlamenti és tanácsi rendelet 2. cikk (1) bekezdés m) pontja szerinti feldolgozása és forgalmazása)
  • hulladékgazdálkodás (a hulladékról szóló törvény szerinti tevékenységet végző gazdálkodó szervezet, az erdőről, az erdő védelméről és az erdőgazdálkodásról szóló 2009. évi XXXVII. törvény 1. melléklete szerinti gazdasági társaságok kivételével)
  • vegyszerek gyártása, -előállítása és -forgalmazása
  • gyártás (orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógép, elektronikai, optikai termék gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása, cement-, mész-, gipszgyártás)
  • digitális szolgáltatások (az online-piactér szolgáltatója, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény szerinti keresőszolgáltató, közösségi média szolgáltatási platform szolgáltatója, doménnév regisztrációt végző szolgáltató, kutatóhelyek)
  • kutatás -kutatóhelyek

 

Ágazati kritériumok

Az AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE szerint a NIS2 hatálya alá tartozik minden olyan szervezet, amely a 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikke szerint középvállalkozásnak minősül, vagy meghaladja az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amely az ezen irányelv hatálya alá tartozó ágazatokban működik, és az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt vagy tevékenységeket végez. 

 

Jogszabályi környezet

  • EU 2022/2555 irányelv
  • 2024. évi LXIX. törvény Magyarország kiberbiztonságáról
  • 418/2024. (XII. 23.) Korm. rendelet (Magyarország kiberbiztonságáról szóló törvény végrehajtásáról)
  • 1/2025. (I. 31.) SZTFH rendelet A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
  • A 2/2025. (I. 31.) SZTFH rendelet A kiberbiztonsági felügyeleti díjról
  • 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
  • A 7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
  • 10/2024. (VIII. 8.) SZTFH rendelet az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről
  • Információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló 10/2023. (V. 15.) SZTFH rendelet
  • A Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló 15/2023. (VII. 31.) SZTFH rendelet
  • A kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló 305/2023. (VII. 11.) Korm. Rendelet
  • Az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. Rendelet
  • Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény

 

Az új kiberbiztonsági törvény, a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény, valamint a hozzá kapcsolódó, kiegészítő szabályokat tartalmazó végrehajtási rendelet, a 418/2024. (XII. 23.) Korm. rendelet 2025. január 1-jén lépett hatályba.

 

A 2024. évi LXIX. törvény hatálybalépésével hatályát vesztette:   

  • a 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról 
  • a 41/2015. (VII. 15) BM rendelet: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről
  • a 2023. évi XXIII. törvény: a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről

 

Integrált szabályozás

Az új kiberbiztonsági törvény egységes keretrendszerbe foglalja a köz- és magánszférára vonatkozó biztonsági követelményeket a korábbi, állami és önkormányzati szervekre vonatkozó 2013. évi L. törvény (Ibtv.) hatályon kívül helyezésével, a vonatkozó szabályozás új törvénybe történő integrálásával. Ennek eredményeképpen megszűnt a korábbi osztott jogi szabályozás, amely külön jogszabályokban rendelkezett az állami és önkormányzati szervek, valamint a piaci szereplők kiberbiztonsági követelményeiről.

A szervezetek - az általuk nyújtott szolgáltatásnak az állam, a társadalom, a gazdaság működése szempontjából való kritikussága, valamint bizonyos esetekben a szervezet mérete alapján - alapvető vagy fontos szervezeteknek minősülnek.  

 

Az alapvető és fontos szervezetek általános kötelezettségei

A törvény hatálya alá tartozó szervezetek vezetőire fontos kötelezettségeket telepít a jogszabály. Ezek közé tartozik például, hogy a szervezet vezetője kockázatmenedzsment keretrendszert hoz létre és működtet, gondoskodik a szervezet által használt elektronikus információs rendszerek, központi szolgáltatások felméréséről és nyilvántartásba vételéről, meghatározza a szervezet rendelkezésében lévő, továbbá a szervezet használatában lévő elektronikus információs rendszerek védelmével kapcsolatos szerepköröket, felelősöket, feladatokat és az ehhez szükséges hatásköröket, kinevezi vagy megbízza az elektronikus információs rendszer biztonságáért felelős személyt.  

 

Adatosztályozás

Közigazgatási szervezet köteles az elektronikus információs rendszerben kezelt adatok bizalmasság, sértetlenség és rendelkezésre állás szerinti osztályozására kormányrendeletben foglaltak szerint.  

 

Biztonsági osztályba sorolás

A törvény hatálya alá eső szervezet rendelkezésében lévő elektronikus információs rendszereit „alap”, „jelentős” vagy „magas” biztonsági osztályba sorolja az érintett elektronikus információs rendszer sértetlensége és rendelkezésre állása, valamint az általa kezelt adat bizalmassága, sértetlensége és rendelkezésre állásának kockázata alapján, szigorodó védelmi előírásokkal. A biztonsági osztályba sorolást dokumentáltan alá kell támasztani.

A biztonsági osztályba sorolásról a szervezet vezetője dönt, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért. A biztonsági osztályba sorolás eredményét a szervezet az elektronikus információs rendszerek nyilvántartásában vagy egyéb belső szabályzatban rögzíti.

A biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket az informatikáért felelős miniszter rendeletben határozza meg.  

 

Elektronikus információs rendszer biztonságáért felelős személy

A szervezet vezetője az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül kijelöli az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást köt.

Magánszféra szereplői, vállalkozások számára könnyítést jelent, hogy az elektronikus információs rendszer biztonságáért felelős személyként kijelölhető vagy megbízható a szervezet gazdasági vezetői feladatait ellátó személy vagy az a személy, aki a szervezeten belül informatikai üzemeltetéssel, informatikai fejlesztéssel kapcsolatos munkakört lát el, illetve ilyen személy közvetlen alárendeltségébe tartozik.  

 

Kiberbiztonsági audit

2025. január 31-én lépett hatályba a 1/2025. (I. 31.) SZTFH rendelet A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról.

A törvény hatálya alá tartozó szervezet – köztük a magánvállalkozás is – köteles kétévente kiberbiztonsági auditot végeztetni a kiberbiztonsági követelményeknek való megfelelés bizonyítására, illetve az illetékes kiberbiztonsági hatóság általi elrendelés esetén. A szervezet köteles a nyilvántartásba vételét követő 120 napon belül a kiberbiztonsági audit elvégzésére a nyilvántartásban szereplő auditorral megállapodást kötni, és a kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni. Az elektronikus információs rendszerek biztonsági osztályba sorolása, valamint a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelőségét az auditor ellenőrzi a kiberbiztonsági audit végrehajtása során. Kiberbiztonsági auditot az az auditor végezhet, amely a feladat ellátásához szükséges szakértelemmel és infrastrukturális feltételekkel rendelkezik, valamint a jogszabály szerinti sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek minősül. Az auditorral szemben támasztott követelményeket az SZTFH elnöke rendeletben határozza meg.

Az auditot kétévente kell kötelezően elvégeztetni, a már működő, tavaly regisztrált cégeknek először 2025-ben.

A NIS2-ben érintett szervezetek számára az auditdíj maximális összegének kiszámítási módja, hogy az alap 1.750.000 Ft-os alapdíjat az alábbi meghatározások szerint felszorozzuk:

  1. A szervezet előző üzleti évi nettó árbevétele alapján a következő táblázat szerinti szorzószámot kell figyelembe venni.
  2. A szervezet elektronikus információs rendszereinek darabszáma alapján a következő táblázat szerinti szorzószámot kell figyelembe venni.
  3. A szervezet elektronikus információs rendszerei biztonsági osztálya alapján a következő szorzószámot kell figyelembe venni:
  • ha a szervezet valamennyi elektronikus információs rendszerének biztonsági osztálya „alap” biztonsági osztály, a szorzószám 1,
  • ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „jelentős” biztonsági osztály, a szorzószám 3,
  • ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „magas” biztonsági osztály, a szorzószám 5.

 

Felügyeleti díj

2025. január 31-én lépett hatályba a 2/2025. (I. 31.) SZTFH rendelet A kiberbiztonsági felügyeleti díjról.

A kiberbiztonsági felügyeleti díj mértéke

A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 7. § (1) bekezdése szerinti kiberbiztonsági felügyeleti díj (a továbbiakban: kiberbiztonsági felügyeleti díj) éves mértéke:

  • a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti azon szervezet, amely egyúttal a Kiberbiztonsági tv.2. és 3. melléklete szerinti szervezet is, valamint a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezet (a továbbiakban együtt: szervezet) tárgyévet megelőző évben közzétett utolsó, a számvitelről szóló 2000. évi C. törvény (a továbbiakban: Szt.) szerinti beszámolója szerinti nettó árbevételének 0,00015 százaléka, ha a szervezet tárgyévet megelőző éves nettó árbevétele nem éri el a 20 milliárd forintot,
  • a szervezet tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevételének 0,0015 százaléka, de legfeljebb 10 millió forint, ha a szervezet tárgyévet megelőző éves nettó árbevétele eléri vagy meghaladja a 20 milliárd forintot.

 

Nyilvántartásba vételi kötelezettség

Az érintett szervezet köteles a működése megkezdését követő vagy a törvény hatálya alá kerülést követő 30 napon belül a törvényben meghatározott adatokat megküldeni az SZTFH részére a nyilvántartásba vétel érdekében.  

 

Jogkövetkezmények

1. lépcső: Intézkedések

Ha a szervezet a jogszabályokban foglalt követelményeket nem teljesíti vagy nem tartja be, a kiberbiztonsági hatóság első lépésben meghatározott intézkedéseket foganatosít. Ilyen intézkedés lehet, hogy a hatóság határidő tűzésével felszólítja a szervezetet a biztonsági hiányosságok elhárítására, kötelezi a szervezetet, hogy tartózkodjon a jogsértő magatartás ismételt elkövetésétől, illetve a szervezet költségére információbiztonsági felügyelőt rendelhet ki.

2. lépcső: Bírság

Abban az esetben, ha az intézkedések nem vezetnek eredményre, a kiberbiztonsági hatóság az eset összes körülményének mérlegelésével a végrehajtási rendeletben meghatározott mértékű bírságot szabhat ki. A bírságot mind a szervezetre, mind a szervezet vezetőjére ki lehet szabni a jogszabályban előírt kötelezettségei be nem tartásáért. A bírság legnagyobb mértéke akár 150.000.000 Ft is lehet a nyilvántartásba vétel érdekében történő adatszolgáltatás elmulasztása miatt.  

 

Incidens bejelentések

A 418/2024 Korm. rendelet 77§ és a 2024.évi 69-es tv. 66§ szerint meghatározták a kiberbiztonsági incidens bejelentésének határidejét, formáját, tartalmát.  

 

Fontosabb határidők

  • 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük (a biztonsági osztályba sorolás június 30-ig nem kötelező feladat), illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére).
  • 2024. január 1-től június 30-ig az érintett szervezeteket nyilvántartásba vétele.
  • 2024. október 18-tól az érintett szervezetek alkalmazzák a kötelezően előírt védelmi intézkedéseket.
  • 2024. október 18. és december 31. között szerződni kell egy akkreditált auditorral.
  • 2025. december 31-ig első kiberbiztonsági auditálás elvégzése.

 

Kötelezettségek

  • incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
  • 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
  • 1 hónapon belüli zárójelentés kötelezettség
  • információbiztonságért felelős személyt kell kijelölni
  • az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
  • kiberbiztonság átfogó megközelítése
  • el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
  • biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
  • meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
  • kiberhigiéniai szakpolitika biztosítása
  • kritikus incidensek azonosítása
  • érintett infrastruktúrák fejlesztése
  • informatikai biztonsági szabályzat kidolgozása (IBSZ)
  • ellátási lánc biztonságának biztosítása (közreműködők)
  • incidensekre való reagálási terv kidolgozása
  • üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
  • katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan) 
  • titkosítási megoldások alkalmazása
  • többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
  • biztonsági kockázatértékelések elvégzése
  • biztonságos hang-, video- és szöveges kommunikáció biztosítása
  • a hálózat és a teljes rendszer monitorozása, felügyelete
  • a munkavállalók és a vezetők képzése
  • biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
  • sérülékenységi vizsgálatok elvégzése
  • nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
  • 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)

 

A management felelőssége

A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca kiberbiztonsági megfelelőségéért, azaz rajta kérheti számon a hatóság.

 

A büntetés mértéke

A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:

  • Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
  • Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
  • További jogkövetkezményként a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.

 

Nyilvántartás, adatszolgáltatási kötelezettségek és a felügyeleti hatóság

Bizonyos szervezetek (DNS szolgáltatók, adatközpontok, legfelső szintű domain név-nyilvántartók, domain név nyilvántartási szolgáltatásokat nyújtó szervezetek, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók és az irányított biztonsági szolgáltatók, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói) kötelesek lesznek bizonyos adatokat kiadni magukról az illetékes tagállami hatóságnak. Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatőság.

 

Miért válassza a Duna Elektronikát a NIS2 felkészüléséhez?

1. Tapasztalt csapatunk kiválóan ismeri az információbiztonsági szabványokat és rendelkezik az NIS2 irányelvvel kapcsolatos legfrissebb tudással. Segítünk az irányelvben foglalt követelmények pontos azonosításában és a megfelelő intézkedések meghozatalában.

2. Egyedi igényekre szabott megoldásokat kínálunk ügyfeleinknek. Felmérjük a kockázatokat és a kihívásokat, majd kidolgozzuk a NIS2 irányelv által előírt intézkedésekhez szükséges stratégiát.

3. A Duna Elektronika nemcsak a NIS2 irányelvnek való megfelelésben segít, hanem átfogó támogatást is nyújt az informatikai biztonság egyéb területein. Legyen szó hálózatbiztonságról, adatvédelemről vagy kibervédelemről, mi mindent bevonunk a biztonságos üzleti környezet kialakításába.

4. Segítünk a BCP és a DRP felülvizsgálatában vagy kidolgozásában, valamint tanácsot adunk a kibertámadások elleni védekezés terén. Ezenkívül oktatást és tanácsadást is nyújtunk, hogy biztonsági tudatosságát és képességeit javíthassa.

5. Mindig naprakész technológiákat és megközelítéseket alkalmazunk a NIS2 irányelv megfelelőségének biztosítására. Korszerű eszközökkel végezzük a sérülékenységi vizsgálatokat és a SOC (Security Operations Center) szolgáltatásokat, hogy Ön mindig a legmagasabb szintű védelmet élvezhesse.

6. Az ügyfelek elégedettsége a legfontosabb számunkra. Folyamatosan arra törekszünk, hogy partnereinkkel hatékony, hosszú távú együttműködést alakítsunk ki. A legoptimálisabb eredmények elérése érdekében mindig ügyfeleink igényeinek, prioritásainak és üzleti céljainak figyelembevételével kínálunk megoldásokat.

7. A NIS2 megfelelésen túl segítünk Önnek más releváns szabályozásokkal, például a GDPR-ral és az adatvédelmi előírásokkal kapcsolatban.

 

Ne halogassa tovább a felkészülést! Vegye fel velünk a kapcsolatot még ma, hogy megkezdjük az Ön NIS2 felkészülését és támogatását!

 

A NIS2 bevezetésének részleteiről folyamatosan frissítjük tájékoztató anyagunkat. Látogassa weboldalunkat rendszeresen vagy kérdését küldje meg közvetlenül szakértőnknek!

 

Márky Donát

IT Security Director

Duna Elektronika Kft.

+36 70 320 3064

donat.marky@dunaelektronika.com