Minden, amit tudnia kell az új NIS2 irányelvről
Minden, amit tudnia kell az új NIS2 irányelvről
A NIS2 irányelv az EU 2022-ben elfogadott kiberbiztonsági intézkedéseinek továbbfejlesztett változata, mely magasabb kiberbiztonsági szintet céloz meg a kritikus ágazatokban. Ennek értelmében fontos az időben történő előkészület és alkalmazás, mivel jelentős erőfeszítést és költséget igényelhet. A NIS2 irányelv jelentős hatást fog gyakorolni a kritikus ágazatokban működő szervezetekre és szolgáltatásokra. Az irányelv végrehajtása a tagállamok felelőssége, Magyarországon pedig a 2023. évi XXIII. törvény (Kibertantv.) ülteti át, melynek hatályba lépése fokozatos lesz.
A NIS2 irányelv a kor követelményeinek megfelelő kiberbiztonsági intézkedéseket ír elő, hogy kivédjék a kibertámadások hatásait. A NIS2 irányelv hatálya alá tartozó szervezeteknek olyan intézkedéseket kell alkalmazniuk, melyekkel meg lehet előzni vagy minimalizálni lehet a különböző támadások hatását. Az irányelv nagyvonalakban fogalmazza meg az elvárás rendszerét, a részletszabályozást a tagállamokra bízza. Magyarországon a 2023. évi XXIII. törvény (Kibertan. tv.) tartalmazza a kiberbiztonsági tanúsításról szóló szabályokat.
Javítások és változások a NIS2 irányelvben
A NIS2 célja az előző irányelv hiányosságainak kijavítása és modernizálása a jelen kihívásoknak megfelelően. Biztosítja, hogy az irányelv a jövőben is releváns maradjon. A legfontosabb változások:
- Kiterjeszti az alkalmazási területet, bevonva több ágazatot és vállalkozást a szabályozás hatálya alá.
- Előírja a biztonsági kockázatok felügyeletét és elszámoltathatóságát.
- Részletesebb iránymutatásokat nyújt az incidensek jelentésére vonatkozóan.
- Szigorít a szabályok be nem tartása esetén kiszabott bírságok és szankciók tekintetében.
- Kötelezi az egyes vállalkozásokat a beszállítói láncok kiberbiztonsági kockázatainak kezelésére.
- Igényel szigorúbb végrehajtási normákat és szabályokat a nemzeti ügynökségek felügyelete és a tagállamok büntetési politikáinak összehangolása tekintetében.
- Létrehoz egy uniós nyilvántartást a sérülékenységek összehangolt közzétételére.
Érintett ágazatok
Az irányelv közvetlenül azokat a cégeket érinti, amiknek az éves nettó árbevétele meghaladja a 10 millió eurót és több, mint 50 főt foglalkoztatnak, illetve kritikus ágazatokban a kisebb cégeket is, de közvetve az ő beszállítóikat is érinti. Az irányelv célja, hogy azokat a cégeket kényszerítse a kiberbiztonság növelésére, melyek kiesése nagy hatással lenne társadalmunkra. Így az alábbi iparágak szereplőire hatályos:
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek
- Energetika (villamos energia, távfűtés- és hűtés, olaj, földgáz, hidrogén)
- Közlekedés (légi–, vasúti–, vízi–, közúti– és tömegközlekedés)
- Egészségügy
- Ivóvíz, szennyvíz
- Digitális infrastruktúra
- Kihelyezett IKT szolgáltatások
- Űralapú szolgáltatás
Kockázatos ágazatokban működő szolgáltatók és szervezetek
- Postai és futárszolgáltatások
- Élelmiszer előállítása, feldolgozása és forgalmazása
- Hulladékgazdálkodás
- Vegyszerek gyártása, előállítása és forgalmazása
- Gyártás (orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek, villamos berendezések, gépek és gépi berendezések, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása)
- Digitális szolgáltatók (online piacterek, online keresőmotorok, közösségimédia-szolgáltatási platform szolgáltatói)
- Kutatás (kutatóhelyek)
NIS2 irányelv legfontosab határidők
Törvények
EU-s irányelv: (EU) 2022/2555
Magyar Törvény: 2023/XXIII.
Magyar Végrehajtási rendelet: Még nem jelent meg
Felügyelet
A NIS2 irányelv egységes szankciós keretet állít fel az Unióban a kiberbiztonsági követelmények megsértésére. A szankciók között szerepelhetnek kötelező érvényű utasítások, figyelmeztetések, közigazgatási bírságok vagy eltiltás. Az illetékes hatóságoknak figyelembe kell venniük az egyes esetek sajátos körülményeit, például a jogsértés jellegét, súlyosságát, időtartamát, okozott kárt vagy veszteséget, valamint a jogsértés szándékosságát vagy gondatlanságát.
Kiberbiztonsági felügyeletet ellátó hatóságok
SZTFH, Szabályozott Tevékenységek Felügyeleti Hatósága
MNB, Magyar MNB Nemzeti Bank
NBSZ, Nemzetbiztonsági Szakszolgálat
KNBSZ, Katonai Nemzetbiztonsági Szolgálat
NIS2 feladatok
A NIS2 irányelv által elvárt kiberbiztonsági kockázatkezelési intézkedések, melyek teljesítését 2 évente kötelező, független audit során kell bizonyítani:
- Szabályzatok kidolgozása: kockázatelemzésről és az informatikai rendszerek biztonságára vonatkozó területekről
- Eseménykezelés: incidensek észlelése, reagálás és helyreállás
- Incidensek bejelentése a hatóság felé
- Üzletmenet-folytonosság: tervezés, válságkezelés és helyreállítás
- Ellátási lánc biztonsága: a szervezet és beszállítói közötti informatikai kapcsolatok biztonságával és a beszállítók működésével kapcsolatosan
- Biztonsági szempontok figyelembe vétele a hálózati és informtikai rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek előzetes felmérését
- Kiberhigiéniai gyakorlatok és kiberbiztonsági tudatossági képzés tartása
- Titkosítás alkalmazása és a titkosítás használatára vonatkozó szabályzatok és eljárások kidolgozása
- Humánerőforrás-biztonság és hozzáférés-kezelési szabályozás
- Többtényezős hitelesítési megoldások használata
Milyen követelményeket támaszt a NIS2 az Ön szervezetével szemben?
- Management: A vezetésnek tisztában kell lennie az irányelv követelményeivel és a kockázatkezelésével. Közvetlen felelősségük, hogy a követelményeknek való megfelelés érdekében azonosítsák és kezeljék a kiberkockázatokat.
- Jelentés a hatóságok felé: A szervezeteknek folyamatokat kell kialakítaniuk annak érdekében, hogy megfelelő jelentéseket tudjanak adni a hatóságoknak. Ezek a folyamatok biztosítják, hogy például súlyos események esetén a jelentést 24 órán belül el lehessen juttatni.
- Kockázatkezelés: Olyan intézkedéseket kell végrehajtaniuk, amelyek minimalizálják a kockázatokat: Ez magában foglalja az incidenskezelést, az ellátási lánc biztonságának javítását, a hálózati biztonságát, a hozzáférés ellenőrzését és a titkosítást.
- Üzletmenet-folytonosság: A szervezeteknek mérlegelniük kell, hogyan biztosítják az üzletmenet folytonosságát súlyos kibernetikai incidensek esetén. Ez magában foglalja például a rendszer helyreállítását, a vészhelyzeti eljárásokat és egy válságkezelő csoport létrehozását.
Szankciók
Az irányelv 2023. január 16-án lépett hatályba, de a rendelkezéseit 2024. október 18-tól kell alkalmazni. Ekkorra a szervezeteknek ki kell jelölniük olyan szakembert, aki ellátja az információbiztonsági felelős pozíciót, akinek fel kell készítenie a szervezetet a 2025.12.31-ig lefolytatandó auditra. Fontos azonban megjegyezni, hogy hazánkban körülbelül 2600 cég esik a törvény hatálya alá, az auditorokból és az auditra felkészítő, információbiztonsági szakemberekből, azonban hiány van, így nem javasolt az utolsó pillanatra hagyni a cselekvést. A felügyeleti hatóság többféle szankciót alkalmazhat a követelményeket nem teljesítő szervezetekkel szemben:
- Szervezet figyelmeztetése
- Feltárt biztonsági hiányosságok elhárításának elrendelése
- Szervezet eltiltása a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől (a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével)
- Bírság kiszabása (max. 10 millió euró, vagy ha az magasabb, akkor az árbevétel 2% is lehet, ráadásul ismételhető módon)
- Szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatása az őket potenciálisan érintő fenyegetésről
Összefoglalva, NIS2-re való felkészülés nemcsak kötelezettség, hanem lehetőség is a kiberbiztonság fejlesztésére és az egységes követelmények bevezetésére. A bevált szabványok és keretrendszerek jó példái szolgálhatnak a megfelelésnek. A szigorúbb követelmények javítják a kiberbiztonságot és növelik a szervezetek ellenállóképességét a fenyegetésekkel szemben. Minden érintett szervezetnek érdemes áttekinteni és értékelni a kiberbiztonsági helyzetét, beleértve azokat is, akik partneri kapcsolatban állnak az irányelv hatálya alá tartozó cégekkel. Az ellátási lánc biztonsága érdekében szükség lehet az alvállalkozók megfelelésének ellenőrzésére. A szükséges intézkedések bevezetése és technológiák telepítése szakértelmet igényel, ezért ajánlott külső segítséget kérni, ha belső erőforrás hiányzik. A követelmények alkalmazása, különösen azoknál a cégeknél, ahol korábban nem volt hangsúlyos a kiberbiztonság, hosszabb időt vehet igénybe, ezért javasolt időben elkezdeni a felkészülést.
Kezdje el időben a felkészülést! Vegye fel szakértőinkkel a kapcsolatot még ma!
Probieren Sie unsere AI-basierte Sprachanmeldungsanwendung kostenlos aus!
Beschleunigen Sie Ihre Arbeit mit künstlicher Intelligenz! Mit Hilfe von Alrite können Sie ganz einfach ungarische Transkriptionen und Video-Untertitel für diktierte oder bereits aufgezeichnete Audio- und Videomaterialien erstellen. Die Anwendung bietet die Möglichkeit, Dateien zu speichern, Transkriptionen und Bildunterschriften zu bearbeiten und gemeinsam zu nutzen sowie erweiterte Suchoptionen durchzuführen.