A NIS2 hazai szabályozásának hatálya alá olyan szervezetek is bekerülhetnek, amelyek üzletmenete, vagy létszáma minimális, de jelentős árbevételük, vagy ágazati szerepük miatt a NIS2 érintetti körbe tartoznak. Ilyen például egy olyan napelempark-üzemeltető, amely kevés alkalmazottal működik, de árbevétel és ágazati kritériumok teljesülése miatt NIS2 érintettnek számít.
NIS2 érintettség – kisebb szervezetek
Hazai viszonylatban a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (Kiberbiztonsági tv.) határozza meg a NIS2 érintett szervezeteket ágazati és méretbeli kritériumok alapján.
Amennyiben egy szervezet a Kiberbiztonsági tv. 2. vagy 3. mellékletében felsorolt ágazatok valamelyikében végez tevékenységet, akkor potenciális NIS2 érintett lehet, függetlenül attól, hogy hány alkalmazottal vagy mekkora üzletmenettel működik.
Például egy napelempark-üzemeltető a villamosenergia-termelés révén a kiemelten kockázatos ágazatba tartozik – tehát ágazati szinten teljesül az egyik feltétel.
Amennyiben a szervezetek a kijelölt ágazatokba tartozik, következő lépésként szükséges megvizsgálni, hogy eléri-e a középvállalati méret határait:
- Több mint 50 fő alkalmazott, VAGY
- Éves nettó árbevétele vagy mérlegfőösszege meghaladja a 10 millió eurót (forintra átszámított értéken).
Ez azért fontos, mert sok olyan szervezet is érintett lehet, amelynek nincs számottevő üzletmenete vagy saját IT-rendszere, de az árbevétele alapján a törvény hatálya alá esik.
NIS2 megfelelés - Minimális üzletmenet, nagy megfelelési kötelezettség
Kevés alkalmazottal, de magas árbevétellel rendelkező vállalkozások esetében gyakori, hogy nincs saját elektronikus információs rendszerük (EIR),azt egy külső szolgáltató üzemelteti.
Jogos kérdésként merülhet fel, hogy hasonló helyzetbe kerülő szervezetek esetén mi a teendő, azonban ez nem mentesíti őket a megfelelés alól – csupán más megközelítést igényel.
A 7/2024. MK rendelet védelmi intézkedései közül elsősorban a szervezeti szintű intézkedésekre kell helyezni a hangsúlyt például:
- megfelelő kiberbiztonsági szabályzatok kialakítása,
- felelősségi körök meghatározása,
- belső eljárásrendek kidolgozása (pl. incidenskezelés, hozzáférés-kezelés),
- oktatás és tudatosságnövelés.
Az elektronikus információs rendszerekkel kapcsolatos védelmi intézkedések esetében pedig célszerű azokat szerződéses úton érvényesíteni a rendszereket üzemeltető partnerekkel szemben, ugyanis a rendszerek megfeleltetése elsősorban azon szervezet feladata, melynek rendelkezési joga van az EIR felett.
NIS2 Kockázatmenedzsment: a megfelelés kulcsa
Az ilyen típusú cégeknél az egyik legfontosabb – és gyakran figyelmen kívül hagyott – elem a kockázatmenedzsment. A jogszabály egyértelműen előírja, hogy a szervezetnek fel kell mérnie és dokumentálnia kell az őt érintő információbiztonsági kockázatokat, valamint ezek kezelésére intézkedéseket kell bevezetnie.
Ez a gyakorlatban nem feltétlenül jelent komplex és költséges megoldásokat – sokszor egy jól átgondolt, szakmailag megalapozott szabályozási rendszer és néhány stratégiai döntés elegendő lehet ahhoz, hogy a szervezet megfeleljen az alapvető követelményeknek.
A NIS2 megfelelés nem választás kérdése
A NIS2 követelmények teljesítése ezeknek a „kisebb”, de a jogszabály által érintettnek minősített cégeknek is kötelező, és a hatósági ellenőrzések során komoly szankciókkal is számolni kell nemmegfelelés esetén. Ugyanakkor egy tudatos és megfelelően felépített tanácsadási folyamat segítségével a megfelelés átlátható, lépésről lépésre megvalósítható és a szervezet is biztonságosabbá válik az egyre növekvő kiberfenyegetések közepette. Keresse fel szakértő kollégáinkat és várja az első kiberbiztonsági auditot felkészülten.
