Facebook image
RSM Hungary
HUENDE
Fenntarthatóság és ESGAdótanácsadásBérszámfejtésAdóellenőrzésVámDigitálisTranszferárCsaládi vállalatÁfaSzámvitelIngatlan...RSM Film and MovieRSMIFRSGDPRBrexitTanácsadásJogCégértékelésVéleményAdójogi képviseletAuditEKAERHR tanácsadás
Bezár
Mentés
Balogh Zoltán
Audit

NIS2 irányelv – regisztrációs határidő és jelentős szankciók!

A NIS2 irányelv által érintett hazai vállalatoknak 2024. június 30-áig kellett benyújtani a NIS2 regisztrációs kérelmüket a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felé. Bár Magyarországon több ezer társaságot érint a NIS2 törvény, sokan még azt sem tudják, hogy az új kiberbiztonsági előírás rájuk is vonatkozik. Pedig, ha a NIS2 irányelv hatálya alá tartozó vállalat nem tartja be a NIS2 irányelv előírásait és a NIS2 határidőket, jelentős – akár 50-350 millió forintig terjedő – bírsággal is számolnia kell.

NIS2 irányelv

A NIS2 irányelv (NIS2 directive - Network and Information Systems Directive 2) a kiberbiztonság új mérföldköve. A NIS2 egy egységes, magas szintű kiberbiztonsági keretet hoz létre az Európai Unió egészében, amelynek célja, hogy megerősítse a tagállamok és az érintett szervezetek felkészültségét a kiberfenyegetések elleni védekezésre.

A kiberbiztonság napjaink egyik legfontosabb kihívása, és a NIS2 irányelv kulcsfontosságú lépés a digitális infrastruktúra védelmében.

A NIS2 kiberbiztonsági audit a felkészülés utolsó lépése, amely audit során a rendszer biztonsági intézkedéseit és védelmi mechanizmusait értékelik, hogy megbizonyosodjanak arról, megfelelnek a NIS2 irányelv által előírt követelményeknek.

NIS2 kire vonatkozik?

Magyarországon több ezer – egyes becslések szerint akár 5-6000 - szervezetet érint az új kiberbiztonsági szabályozás, azonban fontos kiemelni, hogy a NIS2, irányelv lévén nem alkalmazandó azonnal a magyar jogrendszerben, annak átültetése szükséges a magyar jogszabályi környezetbe. 

A hazai kiberbiztonsági szabályozás központjában a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről  (röviden: kibertan. tv.) áll, melynek I. és II. melléklete határozza meg, hogy mely kritikus és kiemelten kritikus ágazatokba tartozó vállalatok esnek a NIS2 törvény hatálya alá. 

2024. június 24-én vált hatályossá Magyarországon a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan törvény” IT követelményrendszerét tartalmazó kormányrendelete.7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről.

A NIS2 irányelv a közép- és nagyvállalatokravonatkozik, azaz legalább 50 fő alkalmazottal vagy legalább éves 10 millió euró árbevétellel rendelkeznek.

A NIS2 törvényben meghatározott méretszabályok nem vonatkoznak az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltatókra. 

Az Ön szervezetére vonatkozik az új NIS2 irányelv? Tesztelje az RSM NIS2 kalkulátorával!

NIS2 kalkulátor

NIS2 kritikus ágazatok, NIS2 kiemelten kritikus ágazatok

Tudja meg milyen NIS2 előírások vonatkoznak a minimális üzletmenettel rendelkező szervezetekre!

A stratégiai szempontból kiemelten kritikus ágazatok a NIS2 tekintetében következők:

  • az energia , energiagazdálkodás,
  • a közlekedés és szállítás,
  • az egészségügy,  gyógyszeripar,
  • a víz, és szennyvíz
  • a banki és pénzügyi szolgáltatások, 
  • hírközlési szolgáltatás, a digitális infrastruktúra, 
  • a kihelyezett IKT szolgáltatások, 
  • a világűr földi támogatói infrastruktúrái.
Fontos, hogy ezen ágazatok esetében még van egy méret alapú kritérium. Az előírások közép- és nagyvállalatokra vonatkoznak, azaz legalább 50 fő alkalmazottal vagy legalább éves 10 millió euró árbevétellel rendelkeznek.

A méretszabályok nem vonatkoznak az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltatókra.

NIS2 regisztráció – nyakunkon a határidő! 

A NIS2 megfelelés egyik követelménye, hogy az érintett szervezeteknek 2024. január 1-től nyilvántartásba kell venniük magukat. 

Azoknak a társaságoknak, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, a NIS2 regisztrációt 2024. június 30-ig kell teljesíteniük. 

Minden más szervezet esetén a Kibertan tv. 26. § (2) bekezdése szerinti 30 napos határidő áll rendelkezésre. A kibertan. tv. hatálya alá tartozó vállalatoknak az SZTFH 420 jelű űrlap  segítségével kell benyújtaniuk a regisztrációs jelentkezést.

A NIS2 nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet  tartalmazza.  

NIS2 regisztráció

A NIS2 regisztráció során - mely a Cégkapun keresztül zajlik - a NIS2 érintett vállalatoknak az alábbi információkat kell megadni: 

  • cégadatok, 
  • kapcsolattartási adatok,
  • bizonyos technikai adatok,
  • az információbiztonsági felelős elérhetőségeit.

NIS2 - érintett a vállalatom? 

A NIS2 érintettségről végső soron a felügyeleti tevékenységeket ellátó szervezet az SZTFH mondja ki a döntést.  

Az előzetes félelmekkel ellentétben olyan nem történhet, hogy ha egy olyan társaság NIS 2 regisztrációt nyújt be, ami nem tartozik a NIS2 irányelv hatálya alá, mégis nyilvántartásba kerül és érintett szervezet lesz. 

A hatóság minden NIS2 regisztrációs kérelmet alaposan felülvizsgál, melynek két lehetséges kimenetele van: vagy elfogadásra, vagy elutasításra kerül a NIS2 regisztráció. 

Amennyiben nem biztos benne, hogy az Ön szervezete NIS2 érintett, akkor vegye fel a kapcsolatot az SZTFH-val vagy küldje be az űrlapot és a hatóság dönt az érintettségről. 

Regisztráljon NIS2 webináriumunkra és tudja meg a részleteket!

NIS2 határidők – mire kell figyelni az érintett társaságoknak?

A NIS2 irányelvnek történő megfelelés nem ér véget a NIS 2 regisztrációval.  A kiberbiztonsági törvény hatálya alá tartozó vállalatoknak számos egyéb teendőjük van, a folyamat végén pedig a kiválasztott kiberbiztonsági auditor lefolytatja az első kiberbiztonsági auditot. 

NIS 2 határidők:

  • 2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kell végeznie és nyilvántartásba vételre kell jelentkeznie az SZTFH 420 jelű űrlap kitöltésével.
  • 2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
  • 2024. december 31-ig: A NIS2 érintett szervezetnek meg kell kötni a kiválasztott auditorral a szerződést.
  • 2025. december 31-ig: A kiválasztott auditor lefolytatja az első kiberbiztonsági auditot.

 

NIS2 szankciók 

Amennyiben a NIS2 irányelv hatálya alá tartozó vállalat nem tartja be a NIS2 irányelv előírásait, jelentős pénzügyi következményekkel kell számolnia. Az önazonosítást követő NIS2 regisztráció elmulasztása is szankciókat vonhat maga után. 

Igaz, hogy Magyarországon még nem jelent meg a pontos szankciókat részletező jogszabályi csomag, de piaci információk szerint a legalacsonyabb büntetési tétel 50 millió forint, a legmagasabb pedig a 350 millió forintos tételt is elérheti. 

Ráadásul a NIS2 irányelvet megsértő vállalatok vezetői akár a tevékenységük gyakorlásától is eltilthatók.

A szabályozás betartását az SZTFH felügyeli, és ők hozzák meg a szankciókat is, ha szükséges.

A cél az, hogy a kritikus infrastruktúrákat üzemeltető szervezetek felkészültebbek legyenek a kiberfenyegetésekkel szemben, és időben hozzanak lépéseket a megfelelés biztosítása érdekében. Ezért kiemelten fontos, hogy a vállalatok már most elkezdjék a szükséges intézkedések bevezetését.

NIS2 tanácsadás, kérje szakértőink segítségét!

    nis2 tanácsadásportfolioblogger
    További blogbejegyzések

    NIS2 tanácsadás

    NIS2 tanácsadásunk során támogatást nyújtunk a NIS2 irányelv elvárásaira való felkészülésben, hogy cége megfeleljen a legújabb kiberbiztonsági előírásoknak.

    Tovább a szolgáltatáshoz
    Olvasta már?

    Balogh Zoltán

    IT audit manager

    Zoltán több éves IT tanácsadói tapasztalattal rendelkező szakember. Számos helyi és nemzetközi vállalat könyvvizsgálatát támogató informatikai vizsgálatot vezetett különféle szektorokban, többek között banki, biztosítói, autóipari, egészségügyi gyártói és élelmiszeripari területeken. Részt vett információbiztonsági irányítási rendszerek bevezetésében és tapasztalatot szerzett informatikai belső auditok végrehajtásában is. Pályafutása során nemzetközi tanácsadó cégek szakértőjeként dolgozott. Rendelkezik IRCA által tanúsított ISO27001 vezető auditor képesítéssel és tanúsított IT Risk Manager.

    NIS2 tanácsadás - NIS2 felkészítés

    NIS2 tanácsadásunk során támogatást nyújtunk a NIS2 irányelv elvárásaira való felkészülésben, hogy cége megfeleljen a legújabb kiberbiztonsági előírásoknak.
    Tovább a szolgáltatáshoz

    Érdeklik az adó, számviteli és jogi változások?

    Iratkozzon fel hírlevelünkre, és legyen mindig naprakész!

    Feliratkozom