Mi is az a NIS2?
Ahogy a szolgáltatásoknál röviden leírtam a NIS 2 irányelv – a folyamatosan változó kiberbiztonsági veszélyekre reagálva – a kiberbiztonsággal kapcsolatos további fejlesztéseket célozza meg az EU-ban.
A NIS2 rendelkezéseit 2024. október 17-ig minden EU-tagállamnak be kell vezetnie a saját jogszabályaiban. Azok a vállalatok, amelyek nem felelnek meg az irányelv követelményeinek, nemcsak kiberbiztonsági incidenseket és reputációs veszteségeket, hanem súlyos pénzbüntetéseket is kockáztatnak. Ha az érintett vállalat a lentebb felsorolt szektorok valamelyikében működik, úgy az irányelvnek való megfelelés elengedhetetlen lesz számára.
Kikre is vonatkozik a NIS2?
A 2024. évi LXIX. Magyarország kiberbiztonságáról szóló törvény 2. és 3. mellékletében rögzítettek alapján az alábbi ágazatok kerültek a kiemelten kockázatos és a kockázatos ágazatokban működő szolgáltatókként és szervezetekként meghatározásra.
Kiemelten kockázatos ágazatok:
- Energetika (villamos energia, távfűtés és hűtés, kőolaj, földgáz, hidrogén)
- Közlekedés (légi, vasút, közút, vízi, tömegközlekedés)
- Egészségügy
- Ivóvíz, szennyvíz (víziközmű szolgáltatás)
- Hírközlési szolgáltatás
- Digitális infrastruktúra
- Kihelyezett IKT szolgáltatások
- Űralapú szolgáltatás
Kockázatos ágazatok:
- Postai és futárszolgálatok
- Élelmiszer (előállítása, feldolgozása és forgalmazása)
- Hulladékgazdálkodás
- Vegyszerek előállítása és forgalmazása
- Gyártás (orvostechnikai eszközök, számítógép, elektronikai és optika termékek, villamosberendezések, gépjárművek, pótkocsik és félpótkocsik, egyéb szállítóeszközök, cement, mész és gipsz, máshova nem sorolt termékek gyártása)
- Digitális szolgáltatók
- Kutatás
A NIS2 megfeleléssel kapcsolatos fontosabb mérföldkövek:
A NIS2-nek való megfelelés során az érintett szervezeteknek számos adminisztratív és kiberbiztonságot érintő teendője van, melyekkel kapcsolatos nem teljesülés esetén a hatóság szankciókkal/bírsággal sújthatja az érintett szervezetet. Ezen teendők az alábbiak:
- Adminisztratív:
- Hatósági nyilvántartásba vétel, melynek határideje: 2024.06.30. További részletek és nyilvántartásba vétel kezdeményezése: SZTFH honlapja
- Auditori szerződéskötés, melynek határideje: 2024.12.31.
- Az első audit lefolytatása, melynek vég-határideje: 2025.12.31.
- Kiberbiztonsági:
- Biztonsági intézkedések alkalmazása, melynek keretében ki kell alakítani az információbiztonsági szabályozási rendszert, folyamatokat, kontroll környezetet, ki kell jelölni biztonsági felelőst, valamint a rendszereket biztonsági osztályba kell sorolni. Ezen tevékenység határideje: 2024.10.18.
A NIS2 hatályos magyarországi végrehajtási rendelete a 7/2024. (VI. 24.) MK rendelet (a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről), mely 2024.06.25-én lépett hatályba.