NIS2 irányelv
A NIS2 irányelv (NIS2 directive - Network and Information Systems Directive 2) a kiberbiztonság új mérföldköve. A NIS2 egy egységes, magas szintű kiberbiztonsági keretet hoz létre az Európai Unió egészében, amelynek célja, hogy megerősítse a tagállamok és az érintett szervezetek felkészültségét a kiberfenyegetések elleni védekezésre.
A kiberbiztonság napjaink egyik legfontosabb kihívása, és a NIS2 irányelv kulcsfontosságú lépés a digitális infrastruktúra védelmében.
A NIS2 kiberbiztonsági audit a felkészülés utolsó lépése, amely audit során a rendszer biztonsági intézkedéseit és védelmi mechanizmusait értékelik, hogy megbizonyosodjanak arról, megfelelnek a NIS2 irányelv által előírt követelményeknek.
NIS2 kire vonatkozik?
Magyarországon több ezer – egyes becslések szerint akár 5-6000 - szervezetet érint az új kiberbiztonsági szabályozás, azonban fontos kiemelni, hogy a NIS2, irányelv lévén nem alkalmazandó azonnal a magyar jogrendszerben, annak átültetése szükséges a magyar jogszabályi környezetbe.
A hazai kiberbiztonsági szabályozás központjában a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (röviden: kibertan. tv.) áll, melynek I. és II. melléklete határozza meg, hogy mely kritikus és kiemelten kritikus ágazatokba tartozó vállalatok esnek a NIS2 törvény hatálya alá.
2024. június 24-én vált hatályossá Magyarországon a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan törvény” IT követelményrendszerét tartalmazó kormányrendelete.7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről.
A NIS2 irányelv a közép- és nagyvállalatokra vonatkozik, azaz legalább 50 fő alkalmazottal vagy legalább éves 10 millió euró árbevétellel rendelkeznek.
A NIS2 törvényben meghatározott méretszabályok nem vonatkoznak az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltatókra.
Az Ön szervezetére vonatkozik az új NIS2 irányelv? Tesztelje az RSM NIS2 kalkulátorával!
NIS2 regisztráció – nyakunkon a határidő!
A NIS2 megfelelés egyik követelménye, hogy az érintett szervezeteknek 2024. január 1-től nyilvántartásba kell venniük magukat.
Azoknak a társaságoknak, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, a NIS2 regisztrációt 2024. június 30-ig kell teljesíteniük.
Minden más szervezet esetén a Kibertan tv. 26. § (2) bekezdése szerinti 30 napos határidő áll rendelkezésre. A kibertan. tv. hatálya alá tartozó vállalatoknak az SZTFH 420 jelű űrlap segítségével kell benyújtaniuk a regisztrációs jelentkezést.
A NIS2 nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.
NIS2 regisztráció
A NIS2 regisztráció során - mely a Cégkapun keresztül zajlik - a NIS2 érintett vállalatoknak az alábbi információkat kell megadni:
- cégadatok,
- kapcsolattartási adatok,
- bizonyos technikai adatok,
- az információbiztonsági felelős elérhetőségeit.
NIS2 - érintett a vállalatom?
A NIS2 érintettségről végső soron a felügyeleti tevékenységeket ellátó szervezet az SZTFH mondja ki a döntést.
Az előzetes félelmekkel ellentétben olyan nem történhet, hogy ha egy olyan társaság NIS 2 regisztrációt nyújt be, ami nem tartozik a NIS2 irányelv hatálya alá, mégis nyilvántartásba kerül és érintett szervezet lesz.
A hatóság minden NIS2 regisztrációs kérelmet alaposan felülvizsgál, melynek két lehetséges kimenetele van: vagy elfogadásra, vagy elutasításra kerül a NIS2 regisztráció.
Amennyiben nem biztos benne, hogy az Ön szervezete NIS2 érintett, akkor vegye fel a kapcsolatot az SZTFH-val vagy küldje be az űrlapot és a hatóság dönt az érintettségről.
Regisztráljon NIS2 webináriumunkra és tudja meg a részleteket!
NIS2 határidők – mire kell figyelni az érintett társaságoknak?
A NIS2 irányelvnek történő megfelelés nem ér véget a NIS 2 regisztrációval. A kiberbiztonsági törvény hatálya alá tartozó vállalatoknak számos egyéb teendőjük van, a folyamat végén pedig a kiválasztott kiberbiztonsági auditor lefolytatja az első kiberbiztonsági auditot.
NIS 2 határidők:
- 2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kell végeznie és nyilvántartásba vételre kell jelentkeznie az SZTFH 420 jelű űrlap kitöltésével.
- 2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
- 2024. december 31-ig: A NIS2 érintett szervezetnek meg kell kötni a kiválasztott auditorral a szerződést.
- 2025. december 31-ig: A kiválasztott auditor lefolytatja az első kiberbiztonsági auditot.
NIS2 szankciók
Amennyiben a NIS2 irányelv hatálya alá tartozó vállalat nem tartja be a NIS2 irányelv előírásait, jelentős pénzügyi következményekkel kell számolnia. Az önazonosítást követő NIS2 regisztráció elmulasztása is szankciókat vonhat maga után.
Igaz, hogy Magyarországon még nem jelent meg a pontos szankciókat részletező jogszabályi csomag, de piaci információk szerint a legalacsonyabb büntetési tétel 50 millió forint, a legmagasabb pedig a 350 millió forintos tételt is elérheti.
Ráadásul a NIS2 irányelvet megsértő vállalatok vezetői akár a tevékenységük gyakorlásától is eltilthatók.
A szabályozás betartását az SZTFH felügyeli, és ők hozzák meg a szankciókat is, ha szükséges.
A cél az, hogy a kritikus infrastruktúrákat üzemeltető szervezetek felkészültebbek legyenek a kiberfenyegetésekkel szemben, és időben hozzanak lépéseket a megfelelés biztosítása érdekében. Ezért kiemelten fontos, hogy a vállalatok már most elkezdjék a szükséges intézkedések bevezetését.
