Újabb mérföldkő a NIS2 irányelv és a megfelelősségre való felkészülésben - október 18.
A NIS2 hazai szabályozása 2024 október 18-án újabb fontos mérföldkövet lépett át. Ekkortól kell a NIS2 érintett szervezeteknek, az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk.
Az októberi dátumhoz köthető még a felügyeleti díj megfizetésének kezdete a Szabályozott Tevékenységek Felügyeleti Hatósága felé, illetve a szankciókkal kapcsolatos rendeletnek a hatályba lépése.
A Kibertan. tv. és egyéb magyar NIS2 jogszabályok megsértésére vonatkozó, a SZTFH által kiszabható szankciók mértékét a 305/2023. a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló rendelet 1. melléklete határozza meg
Kiberbiztonság: hogyan tovább, mik a következő lépések?
GAP elemzés
A legtöbb társaság már kapott visszajelzést a felügyeleti hatóságtól a NIS2 érintettségi kérdésben, amelyet követően elindultak a NIS2 megfelelésre való felkészülés útján. Első lépésként a szervezetek többsége egy GAP elemzés során felmérte a jelenlegi érintettségi szintjén, amely segítségével azonosítani tudják azokat a kiberbiztonsági területeket, amelyekkel foglalkozni szükséges a jogszabályi követelmények teljesítése érdekében.
Tapasztalataink alapján a szervezetek felkészültségi szintje változó, de általánosságban kijelenthető, hogy a jogszabályok széleskörű kiterjesztése indokolt volt, amely irányt mutat a piaci szereplők számára is, segítve őket abban, hogy megfeleljenek a legújabb biztonsági előírásoknak és technológiai követelményeknek, ezzel elősegítve a gyorsabb és hatékonyabb védekezést a kiberfenyegetésekkel szemben.
Kockázatelemzés
Fontos, hogy a GAP elemzést követően egy megfelelően végrehajtott kockázatelemzéssel javasolt folytatnia az érintett szervezeteknek, mivel ez a lépés nem csak egy kötelező elem a megfelelés során, de az alapját is képezi az intézkedések kiválasztása és bevezetése során, tehát a szervezetek egy kockázat-arányos információbiztonsági rendszert tudnak kialakítani.
Kiberbiztonsági audit
Kiberbiztonsági auditorral 2024. december 31-ig kell megkötni a szerződést és 2025. december 31-ig kell lefolytatni az első auditot, amelyet két évente szükséges megismételni. Fontos, hogy csak azon szervezetek végezhetnek NIS2 szerinti kiberbiztonsági auditot, amelyek szerepelnek a Szabályozott Tevékenységek Felügyeleti Hatóságának nyilvántartásában. Az audit díja nem hatósági áras, hanem hatósági ársapkás lesz, melynek mértéke függ majd a szervezet méretétől, az EIR-ek számától, az árbevételtől és a biztonsági osztálytól.
A NIS2 auditorokról előző blogbejegyzésünkben részletesen írtunk.
Megjelent a hazai kiberbiztonságáról szóló törvénytervezet
2025. január 1-jén hatályba lép az új kiberbiztonságról szóló törvény, amelynek véleményezésre október 23-ig volt lehetőség társadalmi egyeztetés keretein belül. Az új törvénytervezet nemcsak a 2023. évi XIII. törvényt helyezi hatályon kívül, hanem egy átfogó és egységes szabályozási rendszert is bevezet, amely harmonizál az európai uniós jogszabályokkal.
Célja, hogy megerősítse az ország kiberbiztonsági védelmét, és egy hatékonyabb, átláthatóbb struktúrát hozzon létre. Az egységes szabályozás lehetővé teszi a gyorsabb és hatékonyabb reagálást a kiberfenyegetésekre, valamint biztosítja, hogy az állami és piaci szereplők egyaránt megfeleljenek a legmagasabb szintű biztonsági előírásoknak.
NIS2 megfelelés – miért fontos?
A kiberbiztonsági szabályozások célja, hogy növeljék a szervezetek ellenálló képességét a kibertámadásokkal szemben. A megfelelés nemcsak jogi kötelezettség, hanem versenyelőnyt is jelenthet a piacon. Azok a szervezetek, amelyek magas kiberbiztonsági érettségi szintet érnek el, bizalmat építhetnek ki ügyfeleik és partnereik körében, ami hosszú távon növelheti piaci helyzetüket.
A szervezeteknek érdemes minél előbb megkezdeniük a felkészülést a kiberbiztonsági auditokra. Ez magában foglalja a jelen információbiztonsági állapot felülvizsgálatát (GAP-elemzés),a szükséges fejlesztések végrehajtását, és az auditorokkal való együttműködést. A megfelelő felkészülés nemcsak a megfelelés biztosítását szolgálja, hanem a szervezet kiberbiztonsági érettségének növelését is.
