Search
Generic filters

NIS2 kisokos

február 2, 2023

NIS2
Majdnem minden amit a NIS2 EU direktíváról és annak 2024-es bevezetéséről tudnia kell. Cikkünket folyamatosan frissítjük!

2023. január 16-án hatályba lépett a NIS2 Irányelv. Az EU tagállamainak 2024. október 17-ig át kell ültetniük a saját jogrendszerükbe. Az elfogadott és kihirdetett hazai rendelkezések pedig kötelező érvényűek a hazai vállalkozások és szervezetek számára.

A NIS irányelv lényege

A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.

A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptetett hatályba a magyar jogrend. Három szektorban írta elő a digitális szolgáltatást nyújtó vállalkozások regisztrációs és biztonsági eseményekkel kapcsolatos bejelentési kötelezettségét. Ezen szektorok az online piactér, online keresőszolgáltatás és a felhőalapú számítástechnikai szolgáltatás.

Az NBSZ (Nemzetbiztonsági Szakszolgálat), mint eljáró hatóság felügyelete alá tartozik a dokumentáció hozzáférés, helyszíni ellenőrzés – a figyelmeztetés és bírságolás mellett.

NIS2 és főbb újdonságai

Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.

A NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése elkerülhetetlenné vált a biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése valamint a jelentési kötelezettségek terén.

Megfelelő és arányos technikai, szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.

A NIS2 főbb újdonságai dióhéjban

Kibővített személyi hatály

Az alapvető szolgáltatásokat nyújtók, digitális szolgáltatók, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezeteket és eddig nem érintett új szektorokat is érint.

Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami és magánkézben lévő közép és nagyvállalatokra vonatkozik. Az irányelv alapján a fontos szervezetek ellenőrzését utólag, míg az alapvető szervezetekét előre végzi el az NBSZ.

Kiemelten kritikus ágazatok (alapvető szerveztek):

  • energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
  • szállítás (légi, vízi, vasúti, közúti)
  • banki szolgáltatások
  • pénzügyi piaci infrastruktúrák
  • egészségügy
  • ivóvíz, szennyvíz
  • digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
  • közigazgatás
  • világűr

Egyéb kritikus ágazat (fontos szervezetek):

  • postai és futárszolgáltatások
  • hulladékgazdálkodás
  • vegyszerek gyártása, előállítása és forgalmazása
  • élelmiszer előállítás, feldolgozás, forgalmazás
  • gyártás (pl.: számítógépek, elektronikai és optikai termékek, orvostechnikai és diagnosztikai eszközök, gépjárművek, pótkocsik)
Jelentéstételi kötelezettségek és jelentős események

A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) vagy a nemzeti hatóságnak.

Egy esemény akkor tekintendő jelentősnek, ha:

  • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
  • pénzügyi veszteséget okozott az érintett szervezetnek
  • az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára
Kockázatkezelési és kiberbiztonsági intézkedések

A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük amely kiterjed

  • a kockázatelemzési és információbiztonsági szabályzatokra
  • üzletmenet folytonosságra
  • katasztrófa utáni helyreállításra
  • ellátási láncok biztonságának biztosítására
  • kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
  • titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
  • HR biztonságra
  • hitelesítési megoldásokra
  • biztonságos hang-, video- és szöveges kommunikációra
  • illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára
Az ügyvezetés többlet-felelőssége
  • A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
  • Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
  • Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.
Szigorodó felügyeleti szabályok

A NIS2 Irányelv alapján az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak. Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírsággal sújtható. Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig közigazgatási bírsággal sújthatók.

Nyilvántartás és adatszolgáltatási kötelezettségek

Egyes szervezetek (Pl; DNS szolgáltatók, domain nyilvántartók, felhőszolgáltatók, adatközpont szolgáltatók, online piacterek, keresőprogram szolgáltatók) kötelesek lesznek bizonyos adatokat megadni magukról az illetékes tagállami hatóságnak. Ezen adatszolgáltatással az Európai Uniós Kiberbiztonsági Ügynökség („ENISA”) létrehozza e szervezetek nyilvántartását.

A NIS2 bevezetésének részleteiről és kapcsolódó szolgáltatásainkról folyamatosan tájékoztatjuk partnereinket és érdeklődő olvasóinkat.

 

NIS2

NIS2 kisokos

február 2, 2023

Majdnem minden amit a NIS2 EU direktíváról és annak 2024-es bevezetéséről tudnia kell. Cikkünket folyamatosan frissítjük!

2023. január 16-án hatályba lépett a NIS2 Irányelv. Az EU tagállamainak 2024. október 17-ig át kell ültetniük a saját jogrendszerükbe. Az elfogadott és kihirdetett hazai rendelkezések pedig kötelező érvényűek a hazai vállalkozások és szervezetek számára.

A NIS irányelv lényege

A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.

A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptetett hatályba a magyar jogrend. Három szektorban írta elő a digitális szolgáltatást nyújtó vállalkozások regisztrációs és biztonsági eseményekkel kapcsolatos bejelentési kötelezettségét. Ezen szektorok az online piactér, online keresőszolgáltatás és a felhőalapú számítástechnikai szolgáltatás.

Az NBSZ (Nemzetbiztonsági Szakszolgálat), mint eljáró hatóság felügyelete alá tartozik a dokumentáció hozzáférés, helyszíni ellenőrzés – a figyelmeztetés és bírságolás mellett.

NIS2 és főbb újdonságai

Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.

A NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése elkerülhetetlenné vált a biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése valamint a jelentési kötelezettségek terén.

Megfelelő és arányos technikai, szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.

A NIS2 főbb újdonságai dióhéjban

Kibővített személyi hatály

Az alapvető szolgáltatásokat nyújtók, digitális szolgáltatók, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezeteket és eddig nem érintett új szektorokat is érint.

Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami és magánkézben lévő közép és nagyvállalatokra vonatkozik. Az irányelv alapján a fontos szervezetek ellenőrzését utólag, míg az alapvető szervezetekét előre végzi el az NBSZ.

Kiemelten kritikus ágazatok (alapvető szerveztek):

  • energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
  • szállítás (légi, vízi, vasúti, közúti)
  • banki szolgáltatások
  • pénzügyi piaci infrastruktúrák
  • egészségügy
  • ivóvíz, szennyvíz
  • digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
  • közigazgatás
  • világűr

Egyéb kritikus ágazat (fontos szervezetek):

  • postai és futárszolgáltatások
  • hulladékgazdálkodás
  • vegyszerek gyártása, előállítása és forgalmazása
  • élelmiszer előállítás, feldolgozás, forgalmazás
  • gyártás (pl.: számítógépek, elektronikai és optikai termékek, orvostechnikai és diagnosztikai eszközök, gépjárművek, pótkocsik)
Jelentéstételi kötelezettségek és jelentős események

A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) vagy a nemzeti hatóságnak.

Egy esemény akkor tekintendő jelentősnek, ha:

  • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
  • pénzügyi veszteséget okozott az érintett szervezetnek
  • az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára
Kockázatkezelési és kiberbiztonsági intézkedések

A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük amely kiterjed

  • a kockázatelemzési és információbiztonsági szabályzatokra
  • üzletmenet folytonosságra
  • katasztrófa utáni helyreállításra
  • ellátási láncok biztonságának biztosítására
  • kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
  • titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
  • HR biztonságra
  • hitelesítési megoldásokra
  • biztonságos hang-, video- és szöveges kommunikációra
  • illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára
Az ügyvezetés többlet-felelőssége
  • A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
  • Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
  • Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.
Szigorodó felügyeleti szabályok

A NIS2 Irányelv alapján az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak. Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírsággal sújtható. Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig közigazgatási bírsággal sújthatók.

Nyilvántartás és adatszolgáltatási kötelezettségek

Egyes szervezetek (Pl; DNS szolgáltatók, domain nyilvántartók, felhőszolgáltatók, adatközpont szolgáltatók, online piacterek, keresőprogram szolgáltatók) kötelesek lesznek bizonyos adatokat megadni magukról az illetékes tagállami hatóságnak. Ezen adatszolgáltatással az Európai Uniós Kiberbiztonsági Ügynökség („ENISA”) létrehozza e szervezetek nyilvántartását.

A NIS2 bevezetésének részleteiről és kapcsolódó szolgáltatásainkról folyamatosan tájékoztatjuk partnereinket és érdeklődő olvasóinkat.