Facebook image
RSM Hungary
HUENDE

NIS2 tanácsadás - NIS2 felkészítés

NIS2 tanácsadásunk során támogatást nyújtunk a NIS2 irányelv elvárásaira való felkészülésben, hogy cége megfeleljen a legújabb kiberbiztonsági előírásoknak.

Kérdése van?
Forduljon hozzánk bizalommal!

Balogh Zoltán

IT audit manager

Mosonyi Ádám

Partner, Bejegyzett könyvvizsgáló

Telefon

Mi az a NIS2?

A NIS2 irányelv (NIS2 directive - Network and Information Systems Directive 2) a kiberbiztonság új mérföldköve. A NIS2 egy egységes, magas szintű kiberbiztonsági keretet hoz létre az Európai Unió egészében, amelynek célja, hogy megerősítse a tagállamok és az érintett szervezetek felkészültségét a kiberfenyegetések elleni védekezésre.

A kiberbiztonság napjaink egyik legfontosabb kihívása, és a NIS2 irányelv kulcsfontosságú lépés a digitális infrastruktúra védelmében. Az Európai Unió NIS2 irányelve erre a célra egy olyan szabályozási keretet hozott létre, amely az információbiztonság növelésével kívánja védeni az EU digitális infrastruktúráját.

A NIS2 irányelv előírja az alapvető szolgáltatásokat nyújtó szervezetek és a digitális szolgáltatók számára, hogy megfeleljenek a szigorú kiberbiztonsági követelményeknek, és értesítsék a nemzeti kiberbiztonsági hatóságokat a súlyos kiberbiztonsági incidensekről.

Az RSM NIS2 tanácsadás és NIS2 felkészítés szolgáltatása során tapasztalt informatikai auditor szakembereink - a könyvvizsgálati üzletágunk részeként - segítik NIS2 irányelv előírásainak történő megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.

NIS2 tanácsadás ajánlatot kérek

NIS2 irányelv - kire vonatkozik?

A NIS2 irányelv közvetlenül nem vonatkozik a magyar vállalkozásokra, hanem azt az EU tagállamoknak, így Magyarországnak is, be kell építeniük a saját nemzeti jogrendszerükbe.

A magyarországi implementáció során a Kiberbiztonsági tv. (2024. évi LXIX. törvény Magyarország kiberbiztonságáról) és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) játssza a kulcsszerepet. A Kibertbiztonsági tv., valamint a 418/2024. (XII. 23.) Korm. rendelet részletezi a kiberbiztonsági tanúsítás és felügyelet hazai szabályozását, míg a  SZTFH feladata a kiberbiztonsági előírások betartásának ellenőrzése és a szabályozás végrehajtása.

A NIS2 érintettek körét hazai viszonylatban a kiberbiztonsági tv. szabályozza, amely alapján a kiberbiztonsági törvény II. és III. melléklete részletezi azon kiemelten kritikus és kritikus ágazatokat, amelyek a törvény hatálya alá esnek.

Fontos, hogy ezen ágazatok esetében még van egy méret alapú kritérium. Az előírások közép- és nagyvállalatokra vonatkoznak, azaz legalább 50 fő alkalmazottal vagy legalább éves 10 millió euró árbevétellel rendelkeznek.

A méretszabályok nem vonatkoznak az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltatókra.

Nis2 kritikus szektorok

A 2024. évi LXIX. törvény alapján a kritikus ágazatokban működő szervezeteknek számos biztonsági intézkedést kell megvalósítaniuk, amiket az informatikáért felelős miniszter rendeletben határoz meg.

NIS2 érintettség - NIS2 kalkulátor

Az RSM NIS2 kalkulátorának segítségével Ön is ellenőrizheti vállalata NIS2 érintettségét.

Ellenőrizze NIS2 érintettségét az RSM NIS2 kalkulátorának segítségével!

NIS2 irányelv betartása - hogyan segít az RSM?

Az RMS NIS2 tanácsadása során tapasztalt informatikai, NIS2 auditor/könyvvizsgáló szakembereink segítik NIS2 irányelv előírásainak való megfelelés felkészítését, amely után cége megfelelhet a kiberbiztonsági követelményeknek.

Az RSM NIS2 tanácsadási szolgáltatásai magában foglalják a következő tevékenységeket:

GAP elemzés:

  • Felmérjük szervezete jelenlegi működési állapotát
  • Azonosítjuk a jelenlegi és a NIS2, a kiberbiztonsági tv., a 7/2024 MK rendelet  és a kapcsolódó kormányrendelet követelményei közötti különbségeket
  • Részletes jelentést készítünk a feltárt kiberbiztonsági hiányosságokról.

NIS2 tanácsadás:

  • Felmérjük a szervezet jelenlegi kiberbiztonsági állapotát
  • Azonosítjuk a különbségeket
  • Felmérjük a releváns IT kockázatokat
  • Kockázatarányos akciótervet készítünk a hiányosságok javítására.

NIS2 felkészítés:

  • Biztonsági osztályba sorolás
  • GAP elemzés
  • Kockázatelemzés és kockázatkezelési akcióterv
  • NIS2 compliant szabályzatok
  • Tudatossági képzés
  • Audit támogatás

nis2 szolgáltatások

Milyen NIS2 követelmények vannak?

A 2024. évi LXIX. törvény Magyarország kiberbiztonságáról célja, hogy a társadalom gyors digitális átalakulásával és összekapcsolódásával lépést tartson, és biztosítsa az elektronikus információs rendszerek és azok fizikai környezetének biztonságát.

A NIS2 érintett szervezetekre vonatkozó követelmények a következők:

1. Nyilvántartásba vétel:

Az érintett szervezeteknek a korábbi törvény alapján 2024. január 1-től nyilvántartásba kellett vetetniük magukat. Azoknak a szervezeteknek, melyek már 2024.01.01. előtt megkezdték tevékenységüket, ezt 2024. június 30-ig kellett teljesíteniük. Új szervezet esetében ez a megalakulásuktól, fejlődő társaságok esetében pedig a törvény hatálya alá eséstől számított 30 napon belül kell, hogy megtörténjen. Részletes tájékoztatást a Kiberbiztonsági t. 8. § (5) bekezdése nyújt.

2. Elektronikus információs rendszerek biztonsági osztályba sorolása:

Az érintett szervezeteknek az elektronikus információs rendszereiket biztonsági osztályba kell sorolniuk.

3. Felügyeleti díj fizetési kötelezettség, illetve a megfelelő védelmi intézkedések alkalmazása.

4. Auditorral való szerződéskötés:

Az érintett szervezeteknek szerződést kell kötniük az általuk választott NIS2 auditor-ral (akkreditált auditorok nyilvántartása).

NIS2 határidők – mire figyeljen?

  • 2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kellett végeznie és nyilvántartásba vételre kellett jelentkeznie az SZTFH 420 jelű űrlap kitöltésével. Új vagy fejlődő társaságok esetében a törvény hatálya alá kerülést követő 30 nap áll rendelkezésre, hogy benyújtsák a jelentkezést.
  • 2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
  • A 2024. évi LXIX. törvény alapján a nyilvántartásba vételt követően 120 napon belül szerződést kell kötni egy, az SZTFH honlapján szereplő, akkreditált auditot végző szervezettel.
  • A 2025.01.01. előtt nyilvántartásba vett vállalatoknak 2025.02.15-ig le kell jelenteniük az SZTFH részére azon európai tagállamok listáját, ahol az adott szervezet szolgáltatásnyújtást végez.
  • 2025. december 31-ig: Azoknál a szervezeteknél, melyek 2025.01.01. előtt megkezdték tevékenységüket, a kiválasztott auditor lefolytatja az első kiberbiztonsági auditot. Minden más szervezet esetében erre két év áll rendelkezésre a Kiberbiztonsági törvény 16. § (2) bekezdés b) pontja alapján.

NIS2 határidők

NIS2 szankciók, a kiberbiztonsági előírások be nem tartás esetén

Amennyiben NIS2 irányelv hatálya alá tartozó szervezet nem tartja be a NIS2 irányelv előírásait Magyarországon, jelentős pénzügyi következményekkel kell számolnia.

A Kiberbiztonsági tv. és egyéb magyar NIS2 jogszabályok megsértésére vonatkozó, a felügyeleti hatóság által kiszabható szankciók mértékét a 418/2024. (XII. 23.) Korm. Rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról 3. melléklete határozza meg. Az érintett szervezet kiszabott NIS2 bírságot 8 napon belül köteles megfizetni, több jogszabálysértés együttes fennállása esetén a bírság kiszabható legnagyobb mértéke az egyes jogszabálysértésekért kiszabható bírságok legnagyobb mértékének összege. A bírság a határidő leteltét követően újra kiszabható.

Az alapvető szolgáltatásokat nyújtó entitások esetében a bírság elérheti a 10 millió eurót vagy az éves globális árbevétel 2%-át, míg a fontos szolgáltatásokat nyújtó szervezeteknél ez az összeg 7 millió euró vagy az előző évi bevételek 1,4%-a lehet. 

A NIS2 követelmények nem teljesítése esetén a kiberbiztonsági tv-ben szereplő szabályozás szerint a tanúsító hatóság határidő kitűzésével felszólítja a szervezetet a hiányosság javítására. Amennyiben ennek ellenére sem teljesíti a követelményekben megszabottakat, így a hatóság a szabálytalanság mértékével arányos büntetést szabhat ki, amely további nemteljesítés esetén megismételhető. A cél az, hogy a kritikus infrastruktúrákat üzemeltető szervezetek felkészültebbek legyenek a kiberfenyegetésekkel szemben, és időben hozzanak lépéseket a megfelelés biztosítása érdekében. Ezért kiemelten fontos, hogy a vállalatok már most elkezdjék a szükséges intézkedések bevezetését.

NIS2 kérdésem van

    Felkeltettük érdeklődését?

    Kérjen ajánlatot, vagy forduljon kérdéseivel szakértő kollégáinkhoz!

    Ajánlatot kérekElérhetőségeink
    További termékeink

    Declaration of Completeness, LUCID (VerpackG)

    Támogatjuk vállalatát a német csomagolási törvény (VerpackG) kötelezettségeinek való megfelelésben a LUCID rendszerbe történő regisztrációban, jelentés- és nyilatkozattételben, valamint a LUCID nyilatkozat...

    Tovább

    ISO 27001 felkészítés – ISO 27001 belső audit

    Az ISO 27001 szabványhoz kapcsolódóan támogatjuk szervezetét az információbiztonság-irányítási rendszer (IBIR) kialakításában, bevezetésében, fejlesztésében és fenntartásában az ISO 27001...

    Tovább

    Doing Business in Hungary

    Doing Business in Hungary 2017

    Magyarország adószabályozással, számvitellel, joggal, bérszámfejtéssel és könyvvizsgálattal kapcsolatos szabályai.

    Tovább
    Szakértőink rendszeresen publikálnak szakmai anyagokat
    További blogbejegyzések