Aktuális

Kiemelt ágazati vállalkozások
hálózati és informatikai megfelelőségi kötelezettsége

Az EU 2022 novemberben elfogadta a hálózati és informatikai rendszerekre vonatkozó újabb szabályokat

Az Európai Bizottság NIS 2 irányelve összefoglaló kiberbiztonsági intézkedéseket és javaslatokat tartalmaz annak érdekében, hogy tovább fejlessze a proaktív védekezést és az incidenskezelési stratégiákat az illetékes hatóságokkal, valamint állami és magánszervezetekkel. Az eredeti NIS irányelv helyett tervezték, amelyet a COVID-19 pandémia idején – ami teljesen átformálta a társadalom kapcsolatát a digitális világgal – nem sikerült alkalmazni.

A NIS 2 irányelv igazodik az Európai Bizottság törekvéséhez, hogy védelmezze Európát a digitalizmus korában és biztosítsa a gazdaság jövő-állóságát. Az Európai Parlament 2022. november 10-én fogadta el, majd november 28-án a Tanács is, ezzel megkezdve a korábbi NIS irányelv visszavonását. A tagállamok kormányzatai 2024. október 17-ig kaptak haladékot a nemzeti jogszabályi háttér megalkotására.

A NIS 2 irányelv tartalmazza azon szervezeteket, akikre a szabályokat alkalmazni kell. A korábbi szabályrendszerrel (NIS) szemben, amely a kiemelt infrastruktúrák védelmét kívánta szabályozni, a jelenlegi a szervezetek ágazati körét jócskán kibővítette. Többek között ide tartozik a bankszektor, az egészségügy, az alap infrastruktúra szolgáltatások, az energiaszektor, a közigazgatás, a fuvarozás és a digitális infrastruktúra is. De kiterjed az élelmiszeriparra, a hulladékszolgáltatásra, a posta- és futárszolgálatokra és egyén kritikus iparágakban (pl. gyógyszer-, közlekedési-, elektronikai- és optikai ipar, stb.) tevékenykedő vállalkozásokra is.

Az érintett vállalkozásoknak a jelenlegi magyar jogrend szabályozása értelmében 2024. június 30-ig önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére), akiket a hatóság nyilvántartásba vesz. Majd 2024. október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket, amelyeket addig megalkottak és bevezettek működésükbe. Utána 2024. október 18. és 2024. december 31. között szerződni kell egy akkreditált auditorral, aki a megfelelő működésüket legkésőbb dokumentáltan 2025. december 31-ig auditálja.

Az alkalmazott rendszer elvárt funkciói:

  • incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
  • 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
  • 1 hónapon belüli zárójelentés kötelezettség
  • információbiztonságért felelős személyt kell kijelölni
  • az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
  • kiberbiztonság átfogó megközelítése
  • el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
  • biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
  • meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
  • kiberhigiéniai szakpolitika biztosítása
  • kritikus incidensek azonosítása
  • érintett infrastruktúrák fejlesztése
  • informatikai biztonsági szabályzat kidolgozása (IBSZ)
  • ellátási lánc biztonságának biztosítása
  • incidensekre való reagálási terv kidolgozása
  • üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) – tartalékrendszerek kezelése
  • katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan) 
  • titkosítási megoldások alkalmazása
  • többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
  • biztonsági kockázatértékelések elvégzése
  • biztonságos hang-, video- és szöveges kommunikáció biztosítása
  • a hálózat és a teljes rendszer monitorozása, felügyelete
  • a munkavállalók és a vezetők képzése
  • biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
  • sérülékenységi vizsgálatok elvégzése
  • nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
  • 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
  • éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)

Aki mindezeknek nem tesz eleget, azt a jogszabály szerint – közigazgatási bírsággal sújthatják. A büntetés mértéke „szemmel látható” mértékű.

Amennyiben további információkra van szüksége, keressen fel bennünket elérhetőségeink valamelyikén, vagy küldjön egy kapcsolatfelvételi kérést.

Scroll to Top