NIS2 tanácsadásunk során támogatást nyújtunk a NIS2 irányelv elvárásaira való felkészülésben, hogy cége megfeleljen a legújabb kiberbiztonsági előírásoknak.
Mi az a NIS2?
A NIS2 irányelv (NIS2 directive - Network and Information Systems Directive 2) a kiberbiztonság új mérföldköve. A NIS2 egy egységes, magas szintű kiberbiztonsági keretet hoz létre az Európai Unió egészében, amelynek célja, hogy megerősítse a tagállamok és az érintett szervezetek felkészültségét a kiberfenyegetések elleni védekezésre.
A kiberbiztonság napjaink egyik legfontosabb kihívása, és a NIS2 irányelv kulcsfontosságú lépés a digitális infrastruktúra védelmében. Az Európai Unió NIS2 irányelve erre a célra egy olyan szabályozási keretet hozott létre, amely az információbiztonság növelésével kívánja védeni az EU digitális infrastruktúráját.
A NIS2 irányelv előírja az alapvető szolgáltatásokat nyújtó szervezetek és a digitális szolgáltatók számára, hogy megfeleljenek a szigorú kiberbiztonsági követelményeknek, és értesítsék a nemzeti kiberbiztonsági hatóságokat a súlyos kiberbiztonsági incidensekről.
Az RSM NIS2 tanácsadás és NIS2 felkészítés szolgáltatása során tapasztalt informatikai auditor szakembereink - a könyvvizsgálati üzletágunk részeként - segítik NIS2 irányelv előírásainak történő megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.
NIS2 tanácsadás ajánlatot kérek
NIS2 irányelv - kire vonatkozik?
A NIS2 irányelv közvetlenül nem vonatkozik a magyar vállalkozásokra, hanem azt az EU tagállamoknak, így Magyarországnak is, be kell építeniük a saját nemzeti jogrendszerükbe.
A magyarországi implementáció során a Kiberbiztonsági tv. (2024. évi LXIX. törvény Magyarország kiberbiztonságáról) és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) játssza a kulcsszerepet. A Kibertbiztonsági tv., valamint a 418/2024. (XII. 23.) Korm. rendelet részletezi a kiberbiztonsági tanúsítás és felügyelet hazai szabályozását, míg a SZTFH feladata a kiberbiztonsági előírások betartásának ellenőrzése és a szabályozás végrehajtása.
A NIS2 érintettek körét hazai viszonylatban a kiberbiztonsági tv. szabályozza, amely alapján a kiberbiztonsági törvény II. és III. melléklete részletezi azon kiemelten kritikus és kritikus ágazatokat, amelyek a törvény hatálya alá esnek.
A stratégiai szempontból kiemelten kritikus ágazatok a NIS2 tekintetében következők:
- az energia , energiagazdálkodás,
- a közlekedés és szállítás,
- az egészségügy, gyógyszeripar,
- a víz, és szennyvíz,
- a banki és pénzügyi szolgáltatások,
- hírközlési szolgáltatás, a digitális infrastruktúra,
- a kihelyezett IKT szolgáltatások,
- a világűr földi támogatói infrastruktúrái.
Fontos, hogy ezen ágazatok esetében még van egy méret alapú kritérium. Az előírások közép- és nagyvállalatokra vonatkoznak, azaz legalább 50 fő alkalmazottal vagy legalább éves 10 millió euró árbevétellel rendelkeznek.
A méretszabályok nem vonatkoznak az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltatókra.
A 2024. évi LXIX. törvény alapján a kritikus ágazatokban működő szervezeteknek számos biztonsági intézkedést kell megvalósítaniuk, amiket az informatikáért felelős miniszter rendeletben határoz meg.
NIS2 érintettség - NIS2 kalkulátor
Az RSM NIS2 kalkulátorának segítségével Ön is ellenőrizheti vállalata NIS2 érintettségét.
Ellenőrizze NIS2 érintettségét az RSM NIS2 kalkulátorának segítségével!
NIS2 irányelv betartása - hogyan segít az RSM?
Az RMS NIS2 tanácsadása során tapasztalt informatikai, NIS2 auditor/könyvvizsgáló szakembereink segítik NIS2 irányelv előírásainak való megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.
Az RSM NIS2 tanácsadási szolgáltatásai magában foglalják a következő tevékenységeket:
GAP elemzés:
- Felmérjük szervezete jelenlegi működési állapotát
- Azonosítjuk a jelenlegi és a NIS2, a kiberbiztonsági tv., a 7/2024 MK rendelet és a kapcsolódó kormányrendelet követelményei közötti különbségeket
- Részletes jelentést készítünk a feltárt kiberbiztonsági hiányosságokról.
NIS2 tanácsadás:
- Felmérjük a szervezet jelenlegi kiberbiztonsági állapotát
- Azonosítjuk a különbségeket
- Felmérjük a releváns IT kockázatokat
- Kockázatarányos akciótervet készítünk a hiányosságok javítására.
NIS2 felkészítés:
- Biztonsági osztályba sorolás
- GAP elemzés
- Kockázatelemzés és kockázatkezelési akcióterv
- NIS2 compliant szabályzatok
- Tudatossági képzés
- Audit támogatás
Milyen NIS2 követelmények vannak?
A 2024. évi LXIX. törvény Magyarország kiberbiztonságáról célja, hogy a társadalom gyors digitális átalakulásával és összekapcsolódásával lépést tartson, és biztosítsa az elektronikus információs rendszerek és azok fizikai környezetének biztonságát.
A NIS2 érintett szervezetekre vonatkozó követelmények a következők:
1. Nyilvántartásba vétel:
Az érintett szervezeteknek a korábbi törvény alapján 2024. január 1-től nyilvántartásba kellett vetetniük magukat. Azoknak a szervezeteknek, melyek már 2024.01.01. előtt megkezdték tevékenységüket, ezt 2024. június 30-ig kellett teljesíteniük. Új szervezet esetében ez a megalakulásuktól, fejlődő társaságok esetében pedig a törvény hatálya alá eséstől számított 30 napon belül kell, hogy megtörténjen. Részletes tájékoztatást a Kiberbiztonsági t. 8. § (5) bekezdése nyújt.
2. Elektronikus információs rendszerek biztonsági osztályba sorolása:
Az érintett szervezeteknek az elektronikus információs rendszereiket biztonsági osztályba kell sorolniuk.
3. Felügyeleti díj fizetési kötelezettség, illetve a megfelelő védelmi intézkedések alkalmazása.
4. Auditorral való szerződéskötés:
Az érintett szervezeteknek szerződést kell kötniük az általuk választott NIS2 auditor-ral (akkreditált auditorok nyilvántartása).
NIS2 határidők – mire figyeljen?
- 2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kellett végeznie és nyilvántartásba vételre kellett jelentkeznie az SZTFH 420 jelű űrlap kitöltésével. Új vagy fejlődő társaságok esetében a törvény hatálya alá kerülést követő 30 nap áll rendelkezésre, hogy benyújtsák a jelentkezést.
- 2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
- A 2024. évi LXIX. törvény alapján a nyilvántartásba vételt követően 120 napon belül szerződést kell kötni egy, az SZTFH honlapján szereplő, akkreditált auditot végző szervezettel. Azok a vállalatok, melyek 2025. január 1. előtt megkezdték működésüket, 2025. augusztus .31-ig kötelesek ezt teljesíteni.
- A 2025. január 1. előtt nyilvántartásba vett vállalatoknak 2025. február 15-ig le kellett jelenteniük az SZTFH részére azon európai tagállamok listáját, ahol az adott szervezet szolgáltatásnyújtást végez.
- 2026 június 30-ig: Azoknál a szervezeteknél, melyek 2025.01.01. előtt megkezdték tevékenységüket, a kiválasztott auditornak le kell folytatnia az első kiberbiztonsági auditot. Minden más szervezet esetében erre két év áll rendelkezésre a Kiberbiztonsági törvény 16. § (2) bekezdés b) pontja alapján.
NIS2 szankciók, a kiberbiztonsági előírások be nem tartás esetén
Amennyiben NIS2 irányelv hatálya alá tartozó szervezet nem tartja be a NIS2 irányelv előírásait Magyarországon, jelentős pénzügyi következményekkel kell számolnia.
A Kiberbiztonsági tv. és egyéb magyar NIS2 jogszabályok megsértésére vonatkozó, a felügyeleti hatóság által kiszabható szankciók mértékét a 418/2024. (XII. 23.) Korm. Rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról 3. melléklete határozza meg. Az érintett szervezet kiszabott NIS2 bírságot 8 napon belül köteles megfizetni, több jogszabálysértés együttes fennállása esetén a bírság kiszabható legnagyobb mértéke az egyes jogszabálysértésekért kiszabható bírságok legnagyobb mértékének összege. A bírság a határidő leteltét követően újra kiszabható.
Az alapvető szolgáltatásokat nyújtó entitások esetében a bírság elérheti a 10 millió eurót vagy az éves globális árbevétel 2%-át, míg a fontos szolgáltatásokat nyújtó szervezeteknél ez az összeg 7 millió euró vagy az előző évi bevételek 1,4%-a lehet.
A NIS2 követelmények nem teljesítése esetén a kiberbiztonsági tv-ben szereplő szabályozás szerint a tanúsító hatóság határidő kitűzésével felszólítja a szervezetet a hiányosság javítására. Amennyiben ennek ellenére sem teljesíti a szervezet a követelményekben megszabottakat, a hatóság a szabálytalanság mértékével arányos büntetést szabhat ki, amely további nemteljesítés esetén megismételhető. A cél az, hogy a kritikus infrastruktúrákat üzemeltető szervezetek felkészültebbek legyenek a kiberfenyegetésekkel szemben, és időben hozzanak lépéseket a megfelelés biztosítása érdekében. Ezért kiemelten fontos, hogy a vállalatok már most elkezdjék a szükséges intézkedések bevezetését.