NIS2 regisztráció - első lépés a kiberbiztonság felé
A NIS2 célja, hogy az Európai Unió tagállamaiban egységesen magas szintű kiberbiztonsági védelem valósuljon meg, különös tekintettel a kritikus infrastruktúrákat üzemeltető szervezetekre. A magyarországi bevezetését a 2023. évi XXIII. törvény (kiberbiztonsági törvény, kibertv.) szabályozza, amely előírja a szükséges lépéseket és határidőket. A hazai implementáció során az érintett szervezeteknek 2024. június 30-ig kell regisztrálniuk a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH), ez az első és legfontosabb lépés, amely megalapozza a további folyamatokat.
A regisztrációt követően a szervezeteknek számos további lépést kell megtenniük, hogy megfeleljenek a NIS2 irányelv előírásainak.
Az Ön szervezetére vonatkozik az új NIS2 irányelv? Tesztelje az RSM NIS2 kalkulátorával!
NIS 2 határidők
- 2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kell végeznie és nyilvántartásba vételre kell jelentkeznie az SZTFH 420 jelű űrlap kitöltésével.
- 2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
- 2024. december 31-ig: A NIS2 érintett szervezetnek meg kell kötni a kiválasztott auditorral a szerződést.
- 2025. december 31-ig: A kiválasztott auditor lefolytatja az első kiberbiztonsági auditot.
NIS2 tanácsadó segítségét kérem
Kiberbiztonsági hiányosságok feltérképezése – GAP elemzés
A GAP elemzés elengedhetetlen eszköz a vállalatok számára, hogy feltérképezzék, milyen feladatok várnak rájuk a NIS2 kapcsán. Ez a lépés segít azonosítani a kiberbiztonsági hiányosságokat és kidolgozni a megfelelő akciótervet.
Azok a cégek, amelyek már rendelkeznek ISO27001 tanúsítvánnyal vagy az 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról követelményeinek megfelelnek, előnyös helyzetben vannak, hiszen már rendelkeznek belső folyamatokkal és szabályzatokkal. Számukra a NIS2 által támasztott követelmények integrálása kevésbé jelent majd kihívást, de
fontos kiemelni, hogy egy ISO27001 tanúsítvány nem jelent teljes NIS2 megfelelést.
A különbségek feltérképezése minden esetben szükséges ahhoz, hogy egy megfelelő akcióterv kialakításával biztosítva legyen a NIS2 követelményeknek való megfelelés.
Kiberbiztonság integrálása a vállalat életébe – kockázatmenedzsment
A kiberbiztonság integrálása a szervezeti infrastruktúrába gondosan összehangolt tevékenységeket igényel annak biztosítására, hogy a kiberbiztonságra vonatkozó alapvető NIS2 követelmények teljesüljenek, és a szervezetet fenyegető, rendszerekből származó kockázatokat hatékonyan és költséghatékonyan kezeljék.
A jól végrehajtott kockázatkezelési folyamat irányítja a szervezetet az információi és rendszerei védelmére vonatkozó bevált gyakorlatok kidolgozásában azáltal, hogy segít a vezetésnek megérteni az információik és rendszereik védelmére tervezett vagy bevezetett biztonsági intézkedéseket és ellenőrzéseik jelenlegi állapotát, hogy megalapozott döntéseket hozhasson és olyan befektetések, amelyek megfelelően csökkentik a kockázatot elfogadható szintre.
A szervezet kockázatelemzés alapján testre szabhatja az intézkedéseket, majd ezeket valamilyen rendszer szerint rangsorolhatja és végrehajthatja. A rangsorolásra megfelelő megoldás lehet a kockázat alapú priorizálás. Az intézkedések priorizálása nem elhanyagolható, mivel az intézkedések nagyon széleskörűek, sok területet érintenek, így érdemes a legnagyobb kockázatot jelentő területekkel foglalkozni elsősorban.
Kockázatelemzés – felkészülés a NIS2 követelményekre
A kockázatelemzés nem csupán egy kötelező elem, hanem egy hasznos eszköz is, amely segít a vállalatoknak a kiberbiztonsági feladatok prioritásainak meghatározásában és reális képet kapjanak a fenyegetettségi szintjükről. Egy alaposan kidolgozott kockázatkezelési terv a NIS2 követelményeinek megfelelően nem csupán a szabályozásnak tesz eleget, hanem hozzájárul a vállalat hosszú távú stabilitásához és növekedéséhez is.
A NIS2 irányelv és ezzel együtt a megfelelő kockázatmenedzsment bevezetése nem teher, hanem egy lehetőség a vállalatok számára, hogy megerősítsék digitális védelmüket.
NIS2 irányelv betartása - hogyan segít az RSM?
Az RMS NIS2 tanácsadása során tapasztalt informatikai auditor/könyvvizsgáló szakembereink segítik NIS2 irányelv előrírásainak való megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.