NIS2 tanácsadás - NIS2 felkészítés

Mi az a NIS2?

A NIS2 irányelv (NIS2 directive - Network and Information Systems Directive 2) a kiberbiztonság új mérföldköve. A NIS2 egy egységes, magas szintű kiberbiztonsági keretet hoz létre az Európai Unió egészében, amelynek célja, hogy megerősítse a tagállamok és az érintett szervezetek felkészültségét a kiberfenyegetések elleni védekezésre.

A kiberbiztonság napjaink egyik legfontosabb kihívása, és a NIS2 irányelv kulcsfontosságú lépés a digitális infrastruktúra védelmében. Az Európai Unió NIS2 irányelve erre a célra egy olyan szabályozási keretet hozott létre, amely az információbiztonság növelésével kívánja védeni az EU digitális infrastruktúráját.

A NIS2 irányelv előírja az alapvető szolgáltatásokat nyújtó szervezetek és a digitális szolgáltatók számára, hogy megfeleljenek a szigorú kiberbiztonsági követelményeknek, és értesítsék a nemzeti kiberbiztonsági hatóságokat a súlyos kiberbiztonsági incidensekről.

Az RSM NIS2 tanácsadás és NIS2 felkészítés szolgáltatása során tapasztalt informatikai auditor szakembereink - a könyvvizsgálati üzletágunk részeként - segítik NIS2 irányelv előírásainak történő megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.

NIS2 tanácsadás ajánlatot kérek

NIS2 irányelv - kire vonatkozik?

A NIS2 irányelv közvetlenül nem vonatkozik a magyar vállalkozásokra, hanem azt az EU tagállamoknak, így Magyarországnak is, be kell építeniük a saját nemzeti jogrendszerükbe.

A magyarországi implementáció során a Kiberbiztonsági tv. (2024. évi LXIX. törvény Magyarország kiberbiztonságáról) és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) játssza a kulcsszerepet. A Kibertbiztonsági tv., valamint a 418/2024. (XII. 23.) Korm. rendelet részletezi a kiberbiztonsági tanúsítás és felügyelet hazai szabályozását, míg a  SZTFH feladata a kiberbiztonsági előírások betartásának ellenőrzése és a szabályozás végrehajtása.

A NIS2 érintettek körét hazai viszonylatban a kiberbiztonsági tv. szabályozza, amely alapján a kiberbiztonsági törvény II. és III. melléklete részletezi azon kiemelten kritikus és kritikus ágazatokat, amelyek a törvény hatálya alá esnek.

A stratégiai szempontból kiemelten kritikus ágazatok a NIS2 tekintetében következők:

• az energia , energiagazdálkodás,
• a közlekedés és szállítás,
• az egészségügy,  gyógyszeripar,
• a víz, és szennyvíz, 
• a banki és pénzügyi szolgáltatások, 
• hírközlési szolgáltatás, a digitális infrastruktúra, 
• a kihelyezett IKT szolgáltatások, 
• a világűr földi támogatói infrastruktúrái.

Fontos, hogy ezen ágazatok esetében még van egy méret alapú kritérium. Az előírások közép- és nagyvállalatokra vonatkoznak, azaz legalább 50 fő alkalmazottal vagy legalább éves 10 millió euró árbevétellel rendelkeznek.

A méretszabályok nem vonatkoznak az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltatókra.

A 2024. évi LXIX. törvény alapján a kritikus ágazatokban működő szervezeteknek számos biztonsági intézkedést kell megvalósítaniuk, amiket az informatikáért felelős miniszter rendeletben határoz meg.

NIS2 érintettség - NIS2 kalkulátor

Az RSM NIS2 kalkulátorának segítségével Ön is ellenőrizheti vállalata NIS2 érintettségét.

Ellenőrizze NIS2 érintettségét az RSM NIS2 kalkulátorának segítségével!

NIS2 irányelv betartása - hogyan segít az RSM?

Az RMS NIS2 tanácsadása során tapasztalt informatikai, NIS2 auditor/könyvvizsgáló szakembereink segítik NIS2 irányelv előírásainak való megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.

Az RSM NIS2 tanácsadási szolgáltatásai magában foglalják a következő tevékenységeket:

GAP elemzés:

• Felmérjük szervezete jelenlegi működési állapotát
• Azonosítjuk a jelenlegi és a NIS2, a kiberbiztonsági tv., a 7/2024 MK rendelet  és a kapcsolódó kormányrendelet követelményei közötti különbségeket
• Részletes jelentést készítünk a feltárt kiberbiztonsági hiányosságokról.

NIS2 tanácsadás:

• Felmérjük a szervezet jelenlegi kiberbiztonsági állapotát
• Azonosítjuk a különbségeket
• Felmérjük a releváns IT kockázatokat
• Kockázatarányos akciótervet készítünk a hiányosságok javítására.

NIS2 felkészítés:

• Biztonsági osztályba sorolás
• GAP elemzés
• Kockázatelemzés és kockázatkezelési akcióterv
• NIS2 compliant szabályzatok
• Tudatossági képzés
• Audit támogatás

Milyen NIS2 követelmények vannak?

A 2024. évi LXIX. törvény Magyarország kiberbiztonságáról célja, hogy a társadalom gyors digitális átalakulásával és összekapcsolódásával lépést tartson, és biztosítsa az elektronikus információs rendszerek és azok fizikai környezetének biztonságát.

A NIS2 érintett szervezetekre vonatkozó követelmények a következők:

1. Nyilvántartásba vétel:

Az érintett szervezeteknek a korábbi törvény alapján 2024. január 1-től nyilvántartásba kellett vetetniük magukat. Azoknak a szervezeteknek, melyek már 2024.01.01. előtt megkezdték tevékenységüket, ezt 2024. június 30-ig kellett teljesíteniük. Új szervezet esetében ez a megalakulásuktól, fejlődő társaságok esetében pedig a törvény hatálya alá eséstől számított 30 napon belül kell, hogy megtörténjen. Részletes tájékoztatást a Kiberbiztonsági t. 8. § (5) bekezdése nyújt.

2. Elektronikus információs rendszerek biztonsági osztályba sorolása:

Az érintett szervezeteknek az elektronikus információs rendszereiket biztonsági osztályba kell sorolniuk.

3. Felügyeleti díj fizetési kötelezettség, illetve a megfelelő védelmi intézkedések alkalmazása.

4. Auditorral való szerződéskötés:

Az érintett szervezeteknek szerződést kell kötniük az általuk választott NIS2 auditor-ral (akkreditált auditorok nyilvántartása).

NIS2 határidők – mire figyeljen?

• 2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kellett végeznie és nyilvántartásba vételre kellett jelentkeznie az SZTFH 420 jelű űrlap kitöltésével. Új vagy fejlődő társaságok esetében a törvény hatálya alá kerülést követő 30 nap áll rendelkezésre, hogy benyújtsák a jelentkezést.
• 2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
• A 2024. évi LXIX. törvény alapján a nyilvántartásba vételt követően 120 napon belül szerződést kell kötni egy, az SZTFH honlapján szereplő, akkreditált auditot végző szervezettel.
• A 2025.01.01. előtt nyilvántartásba vett vállalatoknak 2025.02.15-ig le kell jelenteniük az SZTFH részére azon európai tagállamok listáját, ahol az adott szervezet szolgáltatásnyújtást végez.
• 2025. december 31-ig: Azoknál a szervezeteknél, melyek 2025.01.01. előtt megkezdték tevékenységüket, a kiválasztott auditornak le kell folytatnia az első kiberbiztonsági auditot. Minden más szervezet esetében erre két év áll rendelkezésre a Kiberbiztonsági törvény 16. § (2) bekezdés b) pontja alapján.

NIS2 szankciók, a kiberbiztonsági előírások be nem tartás esetén

Amennyiben NIS2 irányelv hatálya alá tartozó szervezet nem tartja be a NIS2 irányelv előírásait Magyarországon, jelentős pénzügyi következményekkel kell számolnia.

A Kiberbiztonsági tv. és egyéb magyar NIS2 jogszabályok megsértésére vonatkozó, a felügyeleti hatóság által kiszabható szankciók mértékét a 418/2024. (XII. 23.) Korm. Rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról 3. melléklete határozza meg. Az érintett szervezet kiszabott NIS2 bírságot 8 napon belül köteles megfizetni, több jogszabálysértés együttes fennállása esetén a bírság kiszabható legnagyobb mértéke az egyes jogszabálysértésekért kiszabható bírságok legnagyobb mértékének összege. A bírság a határidő leteltét követően újra kiszabható.

Az alapvető szolgáltatásokat nyújtó entitások esetében a bírság elérheti a 10 millió eurót vagy az éves globális árbevétel 2%-át, míg a fontos szolgáltatásokat nyújtó szervezeteknél ez az összeg 7 millió euró vagy az előző évi bevételek 1,4%-a lehet. 

A NIS2 követelmények nem teljesítése esetén a kiberbiztonsági tv-ben szereplő szabályozás szerint a tanúsító hatóság határidő kitűzésével felszólítja a szervezetet a hiányosság javítására. Amennyiben ennek ellenére sem teljesíti a követelményekben megszabottakat, így a hatóság a szabálytalanság mértékével arányos büntetést szabhat ki, amely további nemteljesítés esetén megismételhető. A cél az, hogy a kritikus infrastruktúrákat üzemeltető szervezetek felkészültebbek legyenek a kiberfenyegetésekkel szemben, és időben hozzanak lépéseket a megfelelés biztosítása érdekében. Ezért kiemelten fontos, hogy a vállalatok már most elkezdjék a szükséges intézkedések bevezetését.

NIS2 kérdésem van