Kiemelt ágazati vállalkozások
hálózati és informatikai megfelelőségi kötelezettsége
Az EU 2022 novemberben elfogadta a hálózati és informatikai rendszerekre vonatkozó újabb szabályokat
Az Európai Bizottság NIS 2 irányelve összefoglaló kiberbiztonsági intézkedéseket és javaslatokat tartalmaz annak érdekében, hogy tovább fejlessze a proaktív védekezést és az incidenskezelési stratégiákat az illetékes hatóságokkal, valamint állami és magánszervezetekkel. Az eredeti NIS irányelv helyett tervezték, amelyet a COVID-19 pandémia idején – ami teljesen átformálta a társadalom kapcsolatát a digitális világgal – nem sikerült alkalmazni.
A NIS 2 irányelv igazodik az Európai Bizottság törekvéséhez, hogy védelmezze Európát a digitalizmus korában és biztosítsa a gazdaság jövő-állóságát. Az Európai Parlament 2022. november 10-én fogadta el, majd november 28-án a Tanács is, ezzel megkezdve a korábbi NIS irányelv visszavonását. A tagállamok kormányzatai 2024. október 17-ig kaptak haladékot a nemzeti jogszabályi háttér megalkotására.
A NIS 2 irányelv tartalmazza azon szervezeteket, akikre a szabályokat alkalmazni kell. A korábbi szabályrendszerrel (NIS) szemben, amely a kiemelt infrastruktúrák védelmét kívánta szabályozni, a jelenlegi a szervezetek ágazati körét jócskán kibővítette. Többek között ide tartozik a bankszektor, az egészségügy, az alap infrastruktúra szolgáltatások, az energiaszektor, a közigazgatás, a fuvarozás és a digitális infrastruktúra is. De kiterjed az élelmiszeriparra, a hulladékszolgáltatásra, a posta- és futárszolgálatokra és egyén kritikus iparágakban (pl. gyógyszer-, közlekedési-, elektronikai- és optikai ipar, stb.) tevékenykedő vállalkozásokra is.
Az érintett vállalkozásoknak a jelenlegi magyar jogrend szabályozása értelmében 2024. június 30-ig önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére), akiket a hatóság nyilvántartásba vesz. Majd 2024. október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket, amelyeket addig megalkottak és bevezettek működésükbe. Utána 2024. október 18. és 2024. december 31. között szerződni kell egy akkreditált auditorral, aki a megfelelő működésüket legkésőbb dokumentáltan 2025. december 31-ig auditálja.
Az alkalmazott rendszer elvárt funkciói:
- incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
- 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
- 1 hónapon belüli zárójelentés kötelezettség
- információbiztonságért felelős személyt kell kijelölni
- az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
- kiberbiztonság átfogó megközelítése
- el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
- biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
- meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
- kiberhigiéniai szakpolitika biztosítása
- kritikus incidensek azonosítása
- érintett infrastruktúrák fejlesztése
- informatikai biztonsági szabályzat kidolgozása (IBSZ)
- ellátási lánc biztonságának biztosítása
- incidensekre való reagálási terv kidolgozása
- üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) – tartalékrendszerek kezelése
- katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
- titkosítási megoldások alkalmazása
- többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
- biztonsági kockázatértékelések elvégzése
- biztonságos hang-, video- és szöveges kommunikáció biztosítása
- a hálózat és a teljes rendszer monitorozása, felügyelete
- a munkavállalók és a vezetők képzése
- biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
- sérülékenységi vizsgálatok elvégzése
- nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
- 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
- éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)
Aki mindezeknek nem tesz eleget, azt a jogszabály szerint – közigazgatási bírsággal sújthatják. A büntetés mértéke „szemmel látható” mértékű.
Amennyiben további információkra van szüksége, keressen fel bennünket elérhetőségeink valamelyikén, vagy küldjön egy kapcsolatfelvételi kérést.