NIS2
Cégünk szakértői több éves tapasztalattal rendelkeznek az információbiztonsági követelmények vizsgálatában és auditálásában, gyakorlati kivitelezésében és élhető implementálásában, így biztosítva az ügyfeleink számára az elvárásoknak történő megfelelést.
Munkatársaink nemzetközi szinten elismert képesítésekkel rendelkeznek és folyamatosan részt vesznek oktatásokon, képzéseken.
Több éves jártasságot szereztünk az ipari környezetet érintő biztonsági kontrollok hatékony megvalósításában is, amely jelentősége kiemelt, hiszen az IT területen alkalmazható biztonsági megoldások nem ültethetők át egy az egyben az OT környezetre.
Mi az a NIS2?
A NIS2 (Network and Information System 2) irányelv az Európai Unió egészét érintő jogszabály, melynek célja, hogy a tagállamok általános kiberbiztonsági szintjét megemelje. A NIS2 2023-ban lépett hatályba, a korábbi, 2016-ban bevezetett uniós kiberbiztonsági szabályokat aktualizálta.
A felügyeleti szerv szerepét a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) fogja ellátni. Amely vállalat nem felel meg a NIS2 elvárásainak, komoly bírságot és lehetséges reputációvesztést kockáztat. Emellett az SZTFH azt a vállalatot, mely nem felel meg a követelményeknek, el is tilthatja bizonyos tevékenységek gyakorlásától.
Kikre vonatkozik?
Az SZTFH becslése szerint mintegy 2500 vállalat lehet érintett Magyarországon. Az a vállalat érintett, mely legalább 50 főt számlál és/vagy 10.000.000 EUR éves árbevétellel rendelkezik.
Az érintett szervezetek feladatai
Az érintett szervezeteknél a NIS2 általi elvárások kiterjednek az alábbiakra:
- hálózati és információs rendszerek,
- fizikai környezet,
- adatok/információk,
- szolgáltatások.
Az érintett vállalatoknak saját magukat biztonsági osztályba (alap, jelentős vagy magas) kell sorolniuk majd az alábbi célokat szükséges kitűzniük:
- kockázatok felmérése,
- információbiztonsági irányítási rendszer kiépítés,
- védelmi intézkedések bevezetése,
- a lehetséges incidensek megelőzése, illetve incidens esetén azok kezelése és a hatások csökkentése,
- az üzletmenet folytonosságának megteremtése.
Az érintett cégek vezetőinek feladatai:
- információbiztonsági felelős kijelölése, illetve feladatainak meghatározása,
- a felhasználókra vonatkozó szabályok meghatározása,
- a vállalati dolgozók számára biztonságtudatossági oktatások biztosítása és ennek szinten tartása.
A felkészítés menete
A felkészítés során szakértőink GAP analízist végeznek el, melynek során a NIS2 által elvárt követelmények esetleges hiányosságait térképezik fel. A folyamat az alábbi főbb lépésekből áll:
- hatókör meghatározása,
- biztonsági osztályba sorolás,
- biztonsági követelmények azonosítása,
- biztonsági képességek, kockázatok felmérése,
- intézkedések tervezése.
A GAP analízis lezárultát követően lépünk a felkészülés szakaszba, melynek során a feltárt hiányosságokat orvosoljuk a következők szerint:
- felelősségek kijelölése,
- folyamatok szervezése,
- szabályzatok elkészítése,
- technológiák, szolgáltatások beszerzése, implementálása,
- a működés dokumentálása.
A vizsgálat, illetve egyúttal a felkészülés zárásával ügyfeleink pontos képet kaphatnak arról, hogy milyen szinten áll az információbiztonsági érettségük és ezáltal mennyire felelnek meg a NIS2 által elvárt követelményeknek. Ennek ismeretében magabiztosan vághatnak bele a NIS2 megfelelést vizsgáló auditoknak.
A megfelelőség értékeléssel, audittal kapcsolatos információk
A felkészülést követően a szervezetnél megfelelőségértékelést, auditot végeznek az SZTFH által nyilvántartásba vett auditorok. A vizsgálat átfutásának ideje 3-6 héttől egészen 3-6 hónapig terjedhet, attól függően, hogy mekkora a szervezet mérete. A folyamat az alábbi főbb lépésekből áll:
Ütemezés – a legfontosabb határidők
- 2024. január 1 – június 30.
A vállalatoknak ezen időszak alatt azonosítaniuk kell, hogy vonatkoznak-e rájuk a NIS2 elvárásai. Amennyiben igen, akkor 2024. június 30-ig jelentkezniük kell nyilvántartásba vételre az SZTFH-nál. Emellett el kell végezniük a biztonsági osztályba sorolást, illetve meg kell határozniuk az elektronikus információs rendszerek biztonságáért felelős személy feladatkörét, akit ki is kell jelölniük. Az SZTFH mint felügyeleti szerv ezen időszak alatt az érintett szervezeteket, illetve az auditorokat nyilvántartásba veszi. - 2024. október 18.
Az érintett vállalatoknak alkalmazniuk kell a NIS2 által elvárt védelmi intézkedéseket, illetve meg kell fizetniük az SZTFH részére a felügyeleti díjat. Az SZTFH részéről elindul a felügyeleti és ellenőrzési tevékenység. - 2024. december 31.
A cégeknek az első kiberbiztonsági audit vonatkozásában szerződést kell kötniük az auditorral. - 2025. december 31.
Az első kiberbiztonsági audit lefolytatásának határideje.
A hatósági felügyelettel kapcsolatos tudnivalók
A SZTFH részére 2024. október 18-ig be kell fizetni a hatósági felügyeleti díjat, melynek összege az előző évi árbevétel 0,015%-a, de maximum 10M Ft. Ezt követően a díjat évente kell megfizetni. Az SZTFH nyilvántartást vezet a NIS2 elvárásokkal kapcsolatban érintett vállalkozásokról és betölti a hatósági ellenőrző szerv szerepét. Indokolt esetben rendkívüli ellenőrzést is elrendelhet, figyelmeztetést adhat ki, illetve egyéb hatóságokkal együttműködve el is tilthatja a vállalatot bizonyos tevékenységektől. Meg nem felelés esetén bírságot is kiszabhat, melynek összege elérheti a 10.000.000 EUR összeget, de legfeljebb az érintett vállalat éves árbevételének 2%-át.
Az auditorok az érintett vállalatok felkérésére végzik el a kiberbiztonsági auditot, mely az alábbi tevékenységeket is magában foglalhatja:
- biztonsági osztályba sorolás vizsgálata és értékelése,
- védelmi intézkedések vizsgálata és értékelése,
- sérülékenység- és behatolásvizsgálat,
- kriptográfiai megfelelőség vizsgálata és értékelése,
- forráskód-vizsgálat.
A kiberbiztonsági auditot kötelező kétévente elvégezni. A lefolytatott vizsgálat eredményét az auditorok megosztják az SZTFH-val.
Biztonsági követelmények
Az alkalmazandó konkrét védelmi intézkedéseket a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben határozza meg.
Az érintett szervezeteknek az eredményes felkészüléshez a 41/2015. (VII. 15.) BM rendeletet, a NIST 800-53 rev. 5, valamint a NIST 800-82-es keretrendszer biztonsági követelményeit érdemes tanulmányozniuk. A NIST 800-53 rev. 5 az üzleti környezetben használt rendszerek (IT), míg a NIST 800-82 az ipari környezetben használt rendszerek (OT) biztonsági követelményeit foglalja magában. Az alkalmazandó védelmi intézkedések tehát az IT mellett az ipari környezetben használt rendszereket (OT) is érinteni fogják.
Jogi háttér
- 2019/881 (EU) rendelet (2019.04.17.) az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
- 2022/2555 (EU) irányelv – NIS 2 (2022.12.14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről
- 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
- 2023. évi XXIII. törvény (Kibertan. törvény) a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről