Légy felkészülve az új kiberbiztonsági kihívásokra

Az Európai Unió új kiberbiztonsági irányelve jelentősen bővíti a hatálya alá tartozó szervezetek körét, és szigorúbb követelményeket ír elő

Kibővített hatály

Mail Icon

Postai és futárszolgáltatások

Trash Icon

Hulladékgazdálkodás

Color Icon

Vegyipar

Verse Icon

Élelmiszer

Plugins Icon

Elektronikai gyártás

Shipping Icon

Járműgyártás

Cloud Upload Icon

Digitális szolgáltatások

Besorolás

A 41/2015 BM. rendeletben megismert, korábbi öt fokozatú skálát, egy új besorolás váltja fel, ami meghatározza az alkalmazandó követelmények körét

Alap

Hatáselemzés

A biztonsági osztályba sorolás a szervezet felelőssége, amelyet hatáselemzés alapján kell elvégezni

Jelentős

Intézkedések

A besorolás és a kockázatértékelés alapján az alkalmazandó kontrollokat be kell vezetni

Magas

Eltérések

A belső értékelés alapján a szervezet alkalmazhat eltérő intézkedéseket, amiről kellő bizonyítékkal rendelkezik

2000+

Érintett szervezet

19

Kontrollcsoport

900+

Követelmény

Incidenskezelés

Jelentős események bejelentésének szabályai

A jelentős eseményekről elsőként 24 órán belül, majd 72 órán belül és 1 hónapon belül is jelentést kell tenni a felügyeleti hatóságnak

  • Súlyos működési zavar
  • Pénzügyi veszteség
  • Vagyoni károkozás

Korai bejelentés

Előzetes bejelentés a hatóság részére az incidens felmerülésekor 24H

Részletes bejelentés

Incidens feltárt körülményei alapján a bejelentés pontosítása 72H

Záró jelentés

A CSIRT vagy az illetékes hatóság kérésére további információk közlése, majd az incidens lezárását követő 1 hónappal szükséges jelentést tenni annak kezeléséről

Rendszeres képzések

Tudatosság növelése

Képzési terv

Elszámoltathatóság

Tudatosság

Növekvő felelősség

A NIS2 irányelvben az alapvető és fontos szervezetek vezetésének felelőssége is növekszik, valamint erősebb figyelmet kap a képzés és tudatosság

  • Rendszeres oktatások
  • Képzési tervek
  • Tematikus programok
  • Folyamatos felügyelet
  • Vezetőség felelőssége
  • Kockázatarányosság

Követelmények

A szervezetekre szigorúbb, de egységes követelmények vonatkoznak

Pages Icon

Evidenciák

A megfelelés igazolása a szervezetek felelőssége, amihez megfelelő bizonyítékokat kell fenntartaniuk

Symbol Icon

Kockázatelemzés

Azonosítani, majd kezelni kell a kiberbiztonsági kockázatokat és fenyegetéseket

Változáskövetés

A biztonsági helyzetet befolyásoló változás esetén eljárást kell alkalmazni azok kezelésére

Capture Video Icon

Fizikai biztonság

A védelemnek ki kell terjednie a fizikai térre a véletlen és szándékos károkozás elkerülése érdekében

Comment Author Avatar Icon

Felelősök kijelölése

Ki kell jelölni és bejelenteni a hatóság részére a biztonságért felelős személyt

Search Icon

Audit

A szervezetek 2 évente auditot kell végeztessenek, melyet a hatóság felügyel

Szigorúbb büntetési tételek

Az irányelv be nem tartása szankciókat vonhat maga után, amelyek súlyossága a jogsértés mértékétől függően változhat

Alapvető szervezetek

10M

globális árbevétel 2%

  • Hatósági ellenőrzés
  • Rendkívüli ellenőrzés
  • Figyelmeztetés
  • Eltiltás
  • Bírság

Fontos szervezetek

7M

globális árbevétel 1.4%

  • Hatósági ellenőrzés
  • Rendkívüli ellenőrzés
  • Figyelmeztetés
  • Eltiltás
  • Bírság

Határidők

Hazai szabályozás

Magyarországon a Kibertanúsítási törvény (2023. évi XXIII.) ülteti át a hazai jogrendbe az irányelvet

2024. június 30.

2024. június 30.

Önazonosítás, nyilvántartásba vételre bejelentkezés 2024. június 30-ig Biztonsági osztályba sorolás Elektronikus információs rendszerek biztonságáért felelős személy kijelölése

Nyilvántartásba vétel

2024. október 18.

2024. október 18.

Védelmi intézkedések alkalmazása Felügyeleti díj megfizetése

Kontrollok alkalmazása

2024. december 31.

2024. december 31.

Első kiberbiztonsági audit vonatkozásában szerződéskötés az auditorral

Szerződéskötés auditorral

2025. december 31.

2025. december 31.

Első kiberbiztonsági audit lefolytatásának határideje

Első kiberbiztonsági audit

GYIK

Gyakori kérdések

Kire vonatkozik a NIS2 irányelv?
A NIS2 irányelv azokra a szervezetekre vonatkozik, amelyeket az irányelvben meghatározott szempontok, kritériumok alapján alapvető vagy fontos szervezetnek minősítenek. Alapvető szervezetek azok a szervezetek, amelyek kritikus infrastruktúrát üzemeltetnek vagy ilyen jellegű szolgáltatást nyújtanak, míg fontos szervezetek azok a szervezetek, amelyek nagy mértékben hozzájárulnak az adott ország szempontjából kritikus gazdasági-társadalmi folyamatok zavartalan működéséhez.
Mikor lép hatályba a NIS2 irányelv?
A NIS2 irányelv 2024. október 18. napjától válik alkalmazandóvá. A tagállamok az irányelvben megfogalmazott követelmények átültetésére és végrehajtására 2024. október 17-ig kaptak haladékot. Ez azt jelenti, hogy a szervezetek számára 2024. október 17.-ig kell megvalósítaniuk a követelményeket, szabályzásokat, mely 2024. október 18. napjától válik számonkérhetővé, ellenőrizhetővé.
Milyen büntetések szabhatók ki a NIS2 irányelv megsértése esetén?
A NIS2 irányelvben megfogalmazott elvárások megsértése esetén szigorú büntetések szabhatók ki az irányelv hatálya alá tartozó szervezetekre, melynek célja, hogy az irányelvben megfogalmazott követelményeket a szervezetek a gyakorlatban is megvalósítsák, átültessék. Az alapvető szervezetekre 10 millió euró vagy az éves bevételük akár 2%-a, míg a fontos szervezetekre 7 millió euró vagy az éve bevételük akár 1,4%-a is kiszabható, mint globális forgalmi bírság, attól függően, hogy melyik összeg a magasabb.
Mi a különbség a NIS2 és GDPR között?
A NIS2 az európai kiberbiztonság számára azt jelenti, amit a GDPR az európai adatvédelem számára, vagyis mindkét szabályozás a maga területén egységes követelményeket fogalmaz meg az Európai Unió tagállamai számára. Míg a GDPR megerősítette és egységesen meghatározta a személyes adatok kezelésével kapcsolatos követelményeket az EU tagállamaiban, a NIS2 célja annak biztosítása, hogy a kritikus infrastruktúrában működő valamennyi európai vállalat és szervezet megfelelő szintű kiberbiztonságot tartson fenn.
Ki az eljáró hatóság, ki végezhet ellenőrzést?
Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) – NIS2 irányelv hatálya alá tartozó szervezetek (alapvető és fontos) esetében lát el hatósági és felügyeleti feladatokat.
Hogyan lehet megfelelni a NIS2 irányelv követelményeinek?
A NIS2 irányelv követelményeinek való megfelelés érdekében a szervezeteknek ki kell dolgozniuk egy kiberbiztonsági stratégiát, amely tartalmazza azokat a célokat, melyeket a szervezeteknek meg kell valósítaniuk. A szervezeteknek különböző eljárásokat, nyilvántartásokat, folyamatokat kell implementálniuk, s egy olyan élő keretrendszert kell kialakítaniuk, amely képes folyamatosan alkalmazkodni a változó kiberbiztonsági környezethez.
Milyen felelőssége van az alapvető és fontos szervezetek ügyvezetésének?
Az alapvető és fontos szervezetek ügyvezetésének felelőssége növekszik a NIS2 irányelvben, annak elődjéhez képest, melynek célja egyfajta nyomásgyakorlás a szervezetek vezetőségére, hogy előmozdítsák és folyamatosan fejlesszék szervezetük kiberbiztonsági érettségét, rezilienciáját.
Milyen jelentéstételi kötelezettségei vannak a NIS2 irányelv hatálya alá tartozó szervezeteknek?
A NIS2 irányelv hatálya alá tartozó szervezeteknek jelentést kell tenniük minden jelentős eseményről. A jelentős esemény alatt olyan esemény értendő, amely súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban, rendszerekben, vagy pénzügyi veszteséget okozott az érintett szervezetnek.

Ajánlat

A NIS2-nek való megfelelés összetett feladat, amely alapos felkészülést igényel

A jogszabály számos követelményt támaszt a szervezetekkel szemben, amelyek teljesítése komoly kihívást jelenthet

Blog

Hírek

  • ISO/IEC 27001:2022 cikksorozat 4.rész

    ISO/IEC 27001:2022 cikksorozat 4.rész

    7. Adatmaszkolás (A.8.11) Az adatmaszkolás elsődleges célja a személyes adatok és a szervezet szempontjából kritikus üzleti vagy egyéb adatok titkosítása a jogosulatlan megismerés és…

  • Az új kiberbiztonsági törvény – és minden amit tudnod kell róla!

    Az új kiberbiztonsági törvény – és minden amit tudnod kell róla!

    Magyarországon 2024-tól hatályba lép a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „kibertan tv”. Ez az új 2023. évi XXIII.-as jogszabály az EU kiberbiztonsági…

  • Az internet világnapja

    Az internet világnapja

    Az internet megjelenése a XX. században addig nem ismert lehetőségeket nyitott az emberek számára a kommunikáció és a konnektivitás területén. A XXI. században az…

  • Tudj meg többet a NIS2 irányelvről

    Tudj meg többet a NIS2 irányelvről

    A NIS2 (Network and Information Security) irányelv az egész EU-ra kiterjedő kiberbiztonsági jogszabály, amely jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére. Milyen…

  • NIS2: Információk az új követelményekről!

    NIS2: Információk az új követelményekről!

    Az információbiztonság és kibervédelem terén az Európai Unió folyamatosan fejlődő előírásokkal és rendszerekkel próbálja megvédeni a tagállamok vállalatait és intézményeit a kiberfenyegetésekkel szemben. A NIS2,…

Ne várj az utolsó pillanatig, kezdd el a felkészülést ma

Ha nem vagy biztos benne, hogy céged megfelel-e az új irányelv követelményeinek, vedd fel velünk a kapcsolatot

Check Icon

ISO 27001

Check Icon

Tanácsadás

Check Icon

VDP

Check Icon

Sérülékenységvizsgálat

Check Icon

Bug Bounty

Check Icon

Penetrációs teszt