Mit kell tudni a NIS 2 irányelv szerinti megfelelésről?

A NIS 2 irányelv a 2016-os NIS irányelvnek a 2020-as években létrejött, az egyre nagyobb fenyegetést jelentő kiberbiztonsági kockázatokhoz igazított verziója. Az eredeti NIS irányelv az EU tagállamok kritikus infrastruktúrákba tartozó vállalatainak vonatkozásában írt elő kockázatkezeléssel kapcsolatos feladatokat és jelentési kötelezettséget. Ezzel kapcsolatosan a tagállamok hatóságai közötti együttműködést és információ-cserét is kötelezővé tette. Az elmúlt évek kiberbiztonsági eseményei rávilágítottak arra, hogy nem elégséges a szabályozást kizárólag ezen gazdasági szereplők szűk körére koncentrálni, mivel a kibertámadások a társadalmi alapfunkciók egyéb területeit működtető szektorokban is gyakorivá váltak. Emiatt született meg az új NIS 2, mely további vállalati szegmensekre vonatkozóan vezet be kötelezettségeket, a kiberbiztonság fokozása érdekében. Ezt az irányelvet minden tagállamnak implementálni kellett, mely Magyarországon a 2023. évi XXIII. törvény (A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről, röviden: kibertan tv.) formájában lépett hatályba. A törvénynek történő megfelelőséget az SZTFH által engedélyezett auditor céggel kell tanúsítani.

Ide kattintva megnézhet egy ajánlott rövid összefoglaló videót a NIS2-ről.

Miért érdemes a NIS 2 (vagyis a kibertan. tv.) megfeleléssel foglalkoznunk?

A törvénynek való nem megfelelést a jogalkotó bírsággal szankcionálja, ezért mindenképpen javasolt a szükséges lépések végrehajtása, a törvényben előírt határidőn belül.

Mindezen túl, nyomatékosítani kell, hogy napjainkra a kiberbűnözés olyan súlyos problémát jelent már világszinten, hogy gyakorlatilag minden, kibertérben megjelenő vállalkozás potenciális célpontja lehet kiberbűnözői entitásoknak. (A növekvő fenyegetésekről itt írtunk korábban: Miért kell(ene) vállalkozásunk kiberbiztonságával foglalkoznunk? – CyberShield Consulting). Egy sikeres támadás nagyon súlyos pénzügyi veszteséget okozhat, a vállalkozás alapműködésének teljes vagy részleges megzavarása, vagy akár időszakos leállítása által. Ezt a valós és folyamatosan fennálló kockázatot lehet drasztikusan csökkenteni a NIS 2 irányelvben megfogalmazott elvárások bevezetésével, vagyis egy jól működő információbiztonság irányítási rendszer megvalósítása által.

Milyen lépések végrehajtása szükséges a törvényi megfeleléshez?

Milyen lépések végrehajtása szükséges a törvényi megfeleléshez?

Milyen feladatot kell első körben elvégezni?

Önazonosítást, azaz annak vizsgálatát, hogy érintettek vagyunk-e. Ehhez első körben azt kell tisztáznunk, hogy vállalkozásunk mikro, kis, közép, vagy esetleg nagyvállalkozásnak minősül-e:

Milyen feladatot kell első körben elvégezni?

Miután meghatároztuk, hogy az adott vállalkozás mikro, kis, közép, vagy esetleg nagyvállalkozásnak minősül, szükséges annak vizsgálata, hogy a vállalkozás tevékenysége beleesik-e a törvényalkotó által meghatározott kategóriákba:

a vállalkozás tevékenysége beleesik-e a törvényalkotó által meghatározott kategóriákba

Amennyiben érintettek vagyunk, a következő feladatokat kell minél előbb végrehajtanunk:

Amennyiben érintettek vagyunk, a következő feladatokat kell minél előbb végrehaj

A nyilvántartásba vétel legkésőbb 2024. június 30-ig meg kell hogy történjen, de gyakorlati szempontból célszerű, hogy a biztonsági osztályba sorolásban az információs rendszerek biztonságáért felelős személy részt vegyen. Ezért a fentiekben részletezett lépéseket érdemes már az első negyedévben végrehajtani.

Milyen törvényi előírások vonatkoznak az Információbiztonságért felelős kijelölésére?

Nincsenek ilyen előírások, bárki elláthatja a törvényalkotó szerint ezt a feladatot. A hatóság elvárja azonban, hogy név szerint legyen megjelölve az illető, számára dedikált telefonszámmal és e-mail címmel, amelyeken elérhető a hatóság által.

Milyen szakmai szempontokat érdemes figyelembe venni az Információbiztonságért felelős kijelölésekor?

Fontos a szakmai háttér és a megbízhatóság, mivel a későbbi, információbiztonsági feladatok végrehajtása során egyfajta kontaktpontként is funkcionál mind a hatóság és a társaság közt, mind pedig az információbiztonsági feladatokat végrehajtó belső munkavállalók, vagy esetlegesen külsősként foglalkoztatott tanácsadó cég közt.

Miben tudja az Ön cégét a fenti feladatokban a Cybershield Consulting Hungary Kft. támogatni?

  • Szakmai segítség az önazonosításban,
  • Információbiztonsági felelős pozíció betöltése megbízási szerződéssel,
  • Nyilvántartásba vételhez szükséges kérelem előkészítése, segítség a benyújtásban,
  • Biztonsági osztályba sorolás elvégzése,
  • NIS 2 felkészítési előaudit lefolytatása az esetleges információbiztonsági, üzletmenetfolytonossági és adatvédelmi hiányosságok feltárása érdekében,
  • Közreműködés az előaudit során feltárt hiányosságok megszüntetésében,
  • Felkészítés a törvényileg előírt auditra (2025 végéig kell végrehajtani).
Amennyiben felkeltettük érdeklődését, lépjen velünk kapcsolatba:
info@cybershieldconsulting.hu
© 2023 CyberShield Consulting. Minden jog fenntartva.
Instagram Linkedin