NIS2 regisztráció – még nem késett el
A NIS2 érintett vállalatnak június 30-ig kellett regisztrálni a kijelölt felügyeleti hatóságnál, a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH).
A rendelkezésre álló adatok alapján, már közel 4000 olyan cég van, amely sikeresen elvégezte a NIS2 regisztrációt. Ez a szám azt is jelenti, hogy a SZTFH által előzetesen várt, körülbelül 2500 társaságnál jóval több hazai vállalkozást érint a NIS2 irányelv, és várhatóan ez a szám még növekedni fog.
NIS2 szankciók
A NIS2-vel kapcsolatos szankciók kiterjednek a regisztrációra is (186/2024. (VII. 8.) Korm. rendelet a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló 305/2023. (VII. 11.) Korm. rendelet módosításáról),azonban érdekesség, hogy a jogszabály szerint a regisztrációs kérelmet június 30-ig be kellett nyújtani, szankcionálásra csak október 18-tól van lehetősége a felügyeleti hatóságnak.
Így azok a cégek, amelyek még nem nyújtották be a NIS2 regisztrációjukat az SZTFH 420 nyomtatványon keresztül, október 17-ig ezt még szankció nélkül megtehetik!
Érdemes a vállalatoknak azt a határidőt komolyan venni, ugyanis a regisztráció elmulasztása, jelentős bírsággal járhat, melyet a NIS2 szankciókról készített blogbejegyzésünkben foglaltunk össze részletesen.
Milyen NIS2 feladatok és határidők várnak jelenleg a szervezetekre?
- Fontos, hogy azok a vállalatok, amelyek még nem regisztráltak az SZTFH-nál, de a kibertan. tv. hatálya alá esnek, október 17-ig benyújtsák regisztrációs kérvényüket!
- Október 18-tól a társaságoknak alkalmazniuk kell az elektronikus információs rendszereik (EIR) biztonsági osztályának megfelelő védelmi intézkedéseket, és be kell fizetniük a hatóság felé a felügyeleti díjat.
- A felügyeleti díj fizetési határideje nem az idei naptári évben várható.
NIS2 auditor – mikor kell választani?
Augusztus 28-án felkerültek az első NIS2 auditorok az SZTFH audit nyilvántartásába, ahol jelenleg 5 szervezet közül választhatnak az érintettek.
A kiberbiztonsági auditorral 2024. december 31-ig kell megkötni a szerződést és 2025. december 31-ig kell lefolytatni az első auditot, amelyet két évente szükséges megismételni.
Ezen határidő alól kivételt képeznek a DÁP kötelezett szervezetek, amelyeknek 2025. május 30-ig kell lefolytatniuk az első kiberbiztonsági auditot.
Mi alapján válasszak NIS2 auditort?
Sok szervezet esetén felmerül a kérdés, hogy mi alapján válasszon auditort.
Fontos, hogy csak azon szervezetek végezhetnek NIS2 szerinti kiberbiztonsági auditot, amelyek szerepelnek a Szabályozott Tevékenységek Felügyeleti Hatóságának nyilvántartásában.
Az audit cégekre biztonsági osztályok szerint követelményeket határozott meg a hatóság, a nyilvántartásban pedig minden auditor kapott egy biztonsági osztályt, amely jelzi, hogy legfeljebb milyen biztonsági osztályba sorolt EIR-t auditálhatnak, tehát például Jelentős biztonsági osztályba tartozó auditor auditálhat Alap és Jelentős besorolású rendszereket.
Az audit díja nem hatósági áras, hanem hatósági ársapkás lesz, melynek mértéke függ majd a szervezet méretétől, az EIR-ek számától, az árbevételtől és a biztonsági osztálytól.
Miért fontos a NIS2 megfelelés?
A kiberbiztonsági szabályozások célja, hogy növeljék a szervezetek ellenálló képességét a kibertámadásokkal szemben. A megfelelés nemcsak jogi kötelezettség, hanem versenyelőnyt is jelenthet a piacon. Azok a szervezetek, amelyek magas kiberbiztonsági érettségi szintet érnek el, bizalmat építhetnek ki ügyfeleik és partnereik körében, ami hosszú távon növelheti piaci helyzetüket.
A szervezeteknek érdemes minél előbb megkezdeniük a felkészülést a kiberbiztonsági auditokra. Ez magában foglalja a jelen információbiztonsági állapot felülvizsgálatát (GAP-elemzés),a szükséges fejlesztések végrehajtását, és az auditorokkal való együttműködést. A megfelelő felkészülés nemcsak a megfelelés biztosítását szolgálja, hanem a szervezet kiberbiztonsági érettségének növelését is.
