Egyre többet hallani a NIS2 irányelvről és sorra jelennek meg a felkészítést ajánló cégek hirdetései. Ennek ellenére számos cég tanácstalan ebben a témában.

Mi is a NIS2?

A NIS2 az egész Unióban egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv. Sajátossága, ami miatt egyre többeknek meg kell ismerkedniük vele, hogy a kiberbiztonsági szabályozás hatályát jelentősen kiterjesztette, így számos ágazat szereplői belekerültek a kötelezettek körébe. A korábban is fókuszban lévő ágazatok (energetika, közlekedés, ívóvíz-ellátás, pénzügyi infrastruktúra, stb.) mellett jelentősen kibővült az érintett szolgáltatások köre, amelyeket az irányelv két csoportra bont:

  • kiemelten kritikus ágazatok pl:
  • az egészségügy,
  • a szállítás,
  • a gyógyszeripar,
  • a digitális infrastruktúrák,
  • a kihelyezett szolgáltatók,
  • a közigazgatás,
  • (ii) egyéb kritikus ágazatok:
  • az elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések),
  • a járműgyártás,
  • az élelmiszer előállítás és forgalmazás
  • a digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform).

Ezen felsorolás csak példálózó jellegű a teljes érintetti kör a NIS2 rendelet 1. és 2. számú mellékletben található. A vállalatok egy részénél már az is kérdésként merül fel, hogy miként értelmezzék az irányelvet, a hatálya alá tartoznak-e. Akár Ön is lehet érintett, keressen bizalommal, ne kockáztasson, mivel már a bejelentkezés elmulasztása is magas bírsággal és egyéb szankciókkal jár.

Kiemelném, hogy a vállalkozások alvállalkozói is érintettek lesznek a felkészülésben, mivel a szabályozás előírja az alvállalkozók átvilágítását is.

Irányelvi szabályozás lévén szükséges, hogy a tagállamok implementálják saját jogrendszerükbe, amely álláspontom szerint bizonyos eltéréseket eredményezni fog az egyes tagállamok szabályozásában.

Magyarország az irányelvet a 2023. május 15-én kihírdetésre került a Kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvénnyel (Kibertantv.) ültette át a haza jogi környezetbe, azonban ezzel a jogalkotási folyamat még nem ért véget. Jelenleg a végrehajtási rendelet tervezete, amely a konkrét intézkedéseket és a biztonsági osztályba sorolást tartalmazza, márciusra várható, míg az audit követelményeit a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) rendeletben fogja meghatározni tervek szerint 2024. augusztusra várható a végleges dokumentum.

A cégeknek első lépésben önazonosítást kell végezniük, felmérve, hogy a jogszabály hatálya alá tartoznak-e. A különböző konferenciákon az egyik leggyakrabban felmerülő kérdés, hogy a társaságot érinti-e a szabályozás. Amennyiben ezen kérdésre igen a válasz el kell kezdeni a felkészülést a jogszabályoknak való megfelelésre.

Milyen főbb teendői vannak az érintett szervezeteknek?

Önazonosítást követően az érintetteknek be kell jelentkezniük az SZTFH által vezetett nyilvántartásba legkésőbb 2024. június 30. napjáig. A felkészülés keretében kiberbiztonsági kockázatelemzést és hatékonyan működő információbiztonsági rendszert kell kialakítani. Számos adminisztratív lépést (pl. megfelelő szabályzatok elkészítése – IBSZ, DCP BRP, nyilvántartásba vétel, auditorral való szerződéskötés, audit), szervezési feladatot (pl. munkatársak biztonsági képzése, információ biztonságért felelős személy kijelölése, protokollok betartása, biztonsági események kezelése és bejelentése) és folyamatos technikai kihívást jelent az érintettek számára, hogy megfeleljenek az új szabályozásnak. Emellett kiemelendő, hogy az érintettek számára kötelezettségként kerül rögzítésre az  ellátási lánc megfelelőségének ellenőrzése és a külsős vállalkozókkal kötött szerződésbe a megfogalmazott követelmények beépítése.

A kialakított intézkedéseket 2024. október 18. napjától kell alkalmazni, valamint felügyeleti díjat is kell fizetni. A díjfizetéssel kapcsolatos részletszabályozás még folyamatban van.

Főbb dátumok a megfelelés tekintetében

  1. június 30. – nyilvántartásba vétel
  2. október 18. – elektronikus információs rendszereit biztonsági osztályának megfelelő védelmi intézkedések alkalmazása és felügyeleti díj fizetési kötelezettség (részletszabályozás folyamatban)
  3. december 31-ig – szerződéskötés az érintett szervezet által választott auditorral
  4. december 31-ig – első kiberbiztonsági audit lefolytatása

Ne hagyja figyelmen kívül a felkészülést!

Sokan nem foglalkoznak ezen jogszabályi kötelezettséggel, azonban ezt nem tanácsolom egy gazdasági szereplőnek sem. Az alapvető szervezetek esetében legalább 10 millió EUR vagy az éves globális forgalom 2%-a, a fontos szervezetek esetében pedig legalább 7 millió EUR vagy a forgalom 1,4%-a lesz a minimum szankció. Az új szabályozás rendelkezik a felsővezetők felelősségre vonásáról is, ha a szervezeten belül nem veszik komolyan a kiberbiztonsági előírásokat.

Mihamarabb kezdje el a felkészülést és amennyiben elakad, vagy tanácstalan a szükséges intézkedések tekintetében keressen bizalommal. Tapasztalt információbiztonsági szakemberekkel és quality mérnökökkel együttműködve segítünk a felkészülésben, figyelemmel kísérve és alkalmazkodva a kialakuló jogi környezethez.