Mit kell tudni a NIS 2 irányelv szerinti megfelelésről?
A NIS 2 irányelv a 2016-os NIS irányelv továbbfejlesztett változata, amelyet a 2020-as években vezettek be az egyre növekvő kiberbiztonsági kockázatok kezelésére. Az eredeti NIS irányelv az EU tagállamok kritikus infrastruktúrákhoz tartozó vállalatok számára írt elő kockázatkezeléssel kapcsolatos feladatokat és jelentési kötelezettséget, továbbá kötelezővé tette a tagállamok hatóságai közötti együttműködést és információcserét. Az elmúlt évek kiberbiztonsági eseményei rávilágítottak arra, hogy nem elegendő a szabályozást kizárólag ezen gazdasági szereplők szűk körére koncentrálni, mivel a kibertámadások egyre gyakoribbak a társadalmi alapfunkciók működését biztosító szektorokban. Ennek eredményeképpen született meg az új NIS 2, mely további vállalati szegmensekre vezet be kötelezettségeket, a kiberbiztonság fokozása érdekében. Az irányelvet minden tagállamnak át kellett ültetnie a nemzeti jogrendjébe, mely Magyarországon a 2023. évi XXIII. törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről, röviden: kibertan tv.) formájában történt, amelyet később a 2024. évi LXIX. Magyarország kiberbiztonságáról szóló törvény módosított – ez a jelenleg hatályos jogszabály, melyet a szakmában röviden csak „kiberbiztonsági törvénynek” nevezünk. Számos érintett tartozik a hatálya alá, egy részük vonatkozásában, a törvénynek való megfelelőséget az SZTFH által engedélyezett auditor cég tanúsítja.
Miért érdemes a NIS 2 (vagyis a kiberbiztonsági tv.) megfeleléssel foglalkoznunk?
A törvénynek való nem megfelelést a jogalkotó bírsággal szankcionálja, ezért mindenképpen javasolt a szükséges lépések végrehajtása, a törvényben előírt határidőn belül.
Mindezen túl, nyomatékosítani kell, hogy napjainkra a kiberbűnözés olyan súlyos problémát jelent már világszinten, hogy gyakorlatilag minden, kibertérben megjelenő vállalkozás potenciális célpontja lehet kiberbűnözői entitásoknak. (A növekvő fenyegetésekről itt írtunk korábban: Miért kell(ene) vállalkozásunk kiberbiztonságával foglalkoznunk? – CyberShield Consulting). Egy sikeres támadás nagyon súlyos pénzügyi veszteséget okozhat, a vállalkozás alapműködésének teljes vagy részleges megzavarása, vagy akár időszakos leállítása által. Ezt a valós és folyamatosan fennálló kockázatot lehet drasztikusan csökkenteni a NIS 2 irányelvben megfogalmazott elvárások bevezetésével, vagyis egy jól működő információbiztonság irányítási rendszer megvalósítása által.
Milyen lépések végrehajtása szükséges a törvényi megfeleléshez?
Milyen feladatot kell első körben elvégezni?
Önazonosítást, azaz annak vizsgálatát, hogy érintettek vagyunk-e. Ehhez első körben azt kell tisztáznunk, hogy vállalkozásunk mikro, kis, közép, vagy esetleg nagyvállalkozásnak minősül-e.
A Jogszabály számos területet konkrétan azonosít, pl. közigazgatási ágazathoz tartozó szervezeteket. Miután meghatároztuk, hogy az adott vállalkozás mikro, kis, közép, vagy esetleg nagyvállalkozásnak minősül, szükséges annak vizsgálata, hogy a vállalkozás tevékenysége beleesik-e a törvényalkotó által meghatározott tevékenységi körökbe.
Amennyiben érintettek vagyunk, a következő feladatokat kell minél előbb végrehajtanunk:
Gyakorlati szempontból célszerű, hogy a biztonsági osztályba sorolásban az információs rendszerek biztonságáért felelős személy részt vegyen.
Nyilvántartásba vételi kérelem megnyitása.
A CyberShield Consulting Hungary Kft. a teljes folyamatban tudja segíteni vállalkozását.
Milyen törvényi előírások vonatkoznak az Információbiztonságért felelős kijelölésére?
Nincsenek ilyen előírások, bárki elláthatja a törvényalkotó szerint ezt a feladatot. A hatóság elvárja azonban, hogy név szerint legyen megjelölve az illető, számára dedikált telefonszámmal és e-mail címmel, amelyeken elérhető a hatóság által.
Milyen szakmai szempontokat érdemes figyelembe venni az Információbiztonságért felelős kijelölésekor?
Fontos a szakmai háttér és a megbízhatóság, mivel a későbbi, információbiztonsági feladatok végrehajtása során egyfajta kontaktpontként is funkcionál mind a hatóság és a társaság közt, mind pedig az információbiztonsági feladatokat végrehajtó belső munkavállalók, vagy esetlegesen külsősként foglalkoztatott tanácsadó cég közt.
Miben tudja az Ön cégét a fenti feladatokban a Cybershield Consulting Hungary Kft. támogatni?
- Szakmai segítség az önazonosításban,
- Információbiztonsági felelős pozíció betöltése megbízási szerződéssel,
- Nyilvántartásba vételhez szükséges kérelem előkészítése, segítség a benyújtásban,
- Biztonsági osztályba sorolás elvégzése,
- NIS 2 felkészítési előaudit lefolytatása az esetleges információbiztonsági, üzletmenetfolytonossági és adatvédelmi hiányosságok feltárása érdekében,
- Közreműködés az előaudit során feltárt hiányosságok megszüntetésében,
- Felkészítés a törvényileg előírt auditra.
Amennyiben felkeltettük érdeklődését, lépjen velünk kapcsolatba!
