Facebook image

NIS2 tanácsadás - NIS2 felkészítés

NIS2 tanácsadásunk során támogatást nyújtunk a NIS2 irányelv elvárásaira való felkészülésben, hogy cége megfeleljen a legújabb kiberbiztonsági előírásoknak.

Kérdése van?
Forduljon hozzánk bizalommal!

Balogh Zoltán

IT audit manager

Mosonyi Ádám

Partner, Bejegyzett könyvvizsgáló

Telefon

Mi az a NIS2?

A NIS2 irányelv (NIS2 directive - Network and Information Systems Directive 2) a kiberbiztonság új mérföldköve. A NIS2 egy egységes, magas szintű kiberbiztonsági keretet hoz létre az Európai Unió egészében, amelynek célja, hogy megerősítse a tagállamok és az érintett szervezetek felkészültségét a kiberfenyegetések elleni védekezésre.

A kiberbiztonság napjaink egyik legfontosabb kihívása, és a NIS2 irányelv kulcsfontosságú lépés a digitális infrastruktúra védelmében. Az Európai Unió NIS2 irányelve erre a célra egy olyan szabályozási keretet hozott létre, amely az információbiztonság növelésével kívánja védeni az EU digitális infrastruktúráját.

A NIS2 irányelv előírja az alapvető szolgáltatásokat nyújtó szervezetek és a digitális szolgáltatók számára, hogy megfeleljenek a szigorú kiberbiztonsági követelményeknek, és értesítsék a nemzeti hatóságokat a súlyos kiberbiztonsági eseményekről.

Az RSM NIS2 tanácsadás és NIS2 felkészítés szolgáltatása során tapasztalt informatikai auditor szakembereink - a könyvvizsgálati üzletágunk részeként -  segítik NIS2 irányelv előírásainak történő megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.

NIS2 tanácsadás ajánlatot kérek

NIS2 irányelv - kire vonatkozik?

A NIS2 irányelv közvetlenül nem vonatkozik a magyar vállalkozásokra, hanem azt az EU tagállamoknak, így Magyarországnak is, be kell építeniük a saját nemzeti jogrendszerükbe.

A magyarországi implementáció során a Kibertan tv. (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) játssza a kulcsszerepet. A Kibertan tv. részletezi a kiberbiztonsági tanúsítás és felügyelet hazai szabályozását, míg a SZTFH feladata a kiberbiztonsági előírások betartásának ellenőrzése és a szabályozás végrehajtása.

2024. június 24-én vált hatályossá Magyarországon a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan törvény” IT követelményrendszerét tartalmazó kormányrendelete.7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről.

A NIS2 törvényhez kapcsolódó végrehajtási rendelet összefoglalja azokat a követelményeket, amelyek alapján az érintett cégek NIS2  felkészülés elindítható.

A NIS2 érintettek körét hazai viszonylatban a kibertan tv. szabályozza, amely alapján a kiberbiztonsági törvény I. és II. melléklete részletezi azon kiemelten kritikus és kritikus ágazatokat, amelyek a törvény hatálya alá esnek.

Fontos, hogy ezen ágazatok esetében még van egy méret alapú kritérium. Az előírások közép- és nagyvállalatokra vonatkoznak, azaz legalább 50 fő alkalmazottal vagy legalább éves 10 millió euró árbevétellel rendelkeznek. 

A méretszabályok nem vonatkoznak az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltatókra.

 

NI2 kritikus ágazatok, NIS2 kiemelten kritikus ágazatok

A 2023. évi XXIII. törvény alapján a kritikus ágazatokban működő szervezeteknek számos biztonsági intézkedést kell megvalósítaniuk, beleértve az információbiztonsági irányítási rendszer kialakítását, biztonsági események kezelését, és az üzletmenet folytonosságának biztosítását.

NIS2 érintettség - NIS2 kalkulátor

Az RSM NIS2 kalkulátorának segítségével Ön is ellenőrizheti vállalata NIS2 érintettségét.

Ellenőrizze NIS2 érintettségét az RSM NIS2 kalkulátorának  segítségével!

NIS2 irányelv betartása - hogyan segít az RSM?

Az RMS NIS2 tanácsadása során tapasztalt informatikai, NIS2 auditor/könyvvizsgáló szakembereink segítik NIS2 irányelv előírásainak való megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.

Az RSM NIS2 tanácsadási szolgáltatásai magában foglalják a következő tevékenységeket:

GAP elemzés:

  • Felmérjük szervezete jelenlegi működési állapotát
  • Azonosítjuk a jelenlegi és a NIS2, a kibertan.tv. és a 7/2024z MK rendelet tervezet elvárásokkövetelményei közötti különbségeket
  • Részletes jelentést készítünk a feltárt  kiberbiztonsági hiányosságokról.

NIS2 tanácsadás:

  • Felmérjük a szervezet  jelenlegi kiberbiztonsági állapotát
  • Azonosítjuk a különbségeket
  • Felmérjük a releváns IT kockázatokat
  • Kockázatarányos akciótervet készítünk a hiányosságok javítására.

NIS2 felkészítés:

  •  Biztonsági osztályba sorolás 
  • GAP elemzés
  • Kockázatelemzés és kockázatkezelési akcióterv
  • NIS2 compliant szabályzatok
  • Tudatossági képzés
  • Audit támogatás

NIS2 tanácsadás - hogyan segít az RSM

Milyen NIS2 követelmények vannak?

A 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről célja, hogy a társadalom gyors digitális átalakulásával és összekapcsolódásával lépést tartson, és biztosítsa az elektronikus információs rendszerek és azok fizikai környezetének biztonságát.

A NIS2 érintett szervezetekre vonatkozó követelmények a következők:

1. NIS2 regisztráció - nyilvántartásba vétel: 

Az érintett szervezeteknek 2024. január 1-től nyilvántartásba kell venniük magukat. Azoknak a szervezeteknek, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, ezt 2024. június 30-ig kellett teljesíteniük. Minden más szervezet esetén a Kibertan tv. 26. § (2) bekezdése szerinti 30 napos határidő áll rendelkezésre.

2. Elektronikus információs rendszerek biztonsági osztályba sorolása: 

Az érintett szervezeteknek az elektronikus információs rendszereiket biztonsági osztályba kell sorolniuk. 

3. Felügyeleti díj fizetési kötelezettség, illetve a megfelelő védelmi intézkedések alkalmazása.

4. Auditorral való szerződéskötés: 

Az érintett szervezeteknek szerződést kell kötniük az általuk választott NIS2 auditor-ral (akkreditált auditorok nyilvántartása).

NIS2 határidők – mire figyeljen? 

  • 2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kellett végeznie és nyilvántartásba vételre kellett jelentkeznie az SZTFH 420 jelű űrlap kitöltésével.
  • 2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
  • 2024. december 31-ig: A NIS2 érintett szervezetnek meg kell kötni a kiválasztott auditorral a szerződést.
  • 2025. december 31-ig: A kiválasztott auditor lefolytatja az első kiberbiztonsági auditot.

NIS2 határidők

NIS2 szankciók, a kiberbiztonsági előírások be nem tartás esetén

Amennyiben NIS2 irányelv hatálya alá tartozó szervezet nem tartja be a NIS2 irányelv előírásait Magyarországon, jelentős pénzügyi következményekkel kell számolnia.

A Kibertan. tv. és egyéb magyar NIS2 jogszabályok megsértésére vonatkozó a felügyeleti hatóság által kiszabható szankciók mértékét a 305/2023. a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló rendelet 1. melléklete határozza meg.

Az érintett szervezet a kiszabott NIS2 bírságot 8 napon belül köteles megfizetni, több szabálysértés együttes érvényesülése esetén a legnagyobb kiszabható szankció az egyes szabálytalanságok kiszabható legmagasabb bírságának összege. A bírság a határidő leteltét követően újra kiszabható.

A NIS2 követelmények nem teljesítése esetén a kibertan.tv-ben szereplő szabályozás szerint a tanúsító hatóság határidő kitűzésével felszólítja a szervezetet a hiányosság javítására. Amennyiben ennek ellenére sem teljesíti a követelményekben megszabottakat, így a hatóság a szabálytalanság mértékével arányos büntetést szabhat ki, amely további nemteljesítés esetén megismételhető.

A cél az, hogy a kritikus infrastruktúrákat üzemeltető szervezetek felkészültebbek legyenek a kiberfenyegetésekkel szemben, és időben hozzanak lépéseket a megfelelés biztosítása érdekében. Ezért kiemelten fontos, hogy a vállalatok már most elkezdjék a szükséges intézkedések bevezetését.

NIS2 kérdésem van


    Felkeltettük érdeklődését?

    Kérjen ajánlatot, vagy forduljon kérdéseivel szakértő kollégáinkhoz!

    Szakértőink rendszeresen publikálnak szakmai anyagokat