Szakmai blog

NIS2 irányelv a gyakorlatban

2024-01-30 | IT jog

NIS2 irányelv a gyakorlatban

Mi az a NIS2?

A NIS2 egy 2016-ban bevezetett irányelv továbbfejlesztett változata. A társadalom gyors digitális átalakulásával és a határokon átnyúló információ megosztással egyetemben a kiberfenyegetettség kockázata is rohamosan nőtt, így az Európai Unió indokoltnak látta, hogy tagállamaiban kiigazított, összehangolt és innovatív szabályozást vezessen be. A NIS2 szövege ezen a linken érhető el.

A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, illetve hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal, intézményekkel a kiberbiztonság területén. Emellett a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, hogy az erőforrásokat hatékonyabban lehessen a támadásokkal szembeni védekezésre fordítani.

A rendelet továbbá előírja, hogy egy európai sérülékenység-adatbázist létrehozását, melyben a szervezetek és az információs rendszereket biztosító beszállítók, valamint az illetékes hatóságok önkéntes alapon közzétehetik és regisztrálhatják az ismert sérülékenységeket, így elősegítve azt, hogy a felhasználók időben megtehessék a leghatékonyabb védelmi intézkedéseket.

Kiket érintenek a változások?

Az előírások az 50 fő feletti alkalmazottal, vagy legalább 10 millió euro éves árbevétellel rendelkező cégekre. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is.

Hazánkban több mint kétezer közép- és nagyvállalatot érint az irányelv. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz auditorok által végzett biztonsági osztályba sorolás.

A kiemelten kritikus ágazatok körébe tartoznak többek közt az energiaszolgáltatók, az egészségügy, pénzügyi piaci infrastruktúrák, a vízközmű szolgáltatók, a digitális infrastruktúra szolgáltatók, a közigazgatás és a közlekedési infrastruktúra szolgáltatók.

 

A legfontosabb kötelezettségek

§ incidens esetén, 24 órán belüli első értesítési kötelezettség a hatóságok felé

§ 72 órán belül esemény-bejelentési kötelezettség

§ informatikai biztonsági szabályzat kidolgozása (IBSZ)

§ ellátási lánc biztonságának biztosítása

§ incidensekre való reagálási terv kidolgozása

§ 1 hónapon belüli zárójelentés kötelezettség

§ információbiztonságért felelős személyt kell kijelölni

§ biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat

§ üzletmenet-folytonossági terv kidolgozása

§ katasztrófa utáni helyreállítási terv kidolgozása

§ titkosítási megoldások alkalmazása

§ többtényezős hitelesítési vagy folyamatos hitelesítési megoldások

§ biztonsági kockázatértékelés

§ biztonságos hang-, video- és szöveges kommunikáció biztosítása

§ biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül

§ rendszeres sérülékenységi vizsgálatok elvégzése

§ 2 évente kötelező auditálás

§ éves kiberbiztonsági felügyeleti díj befizetése.

Incidenskezelő csoport felállítása

A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük a kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. Éppen ezért ezen irányelv alapján kötelezően fel kell állítaniuk legalább egy Biztonsági Incidenskezelő Csoportot és biztosítaniuk kell, hogy megfelelő erőforrásokkal és technikai képességekkel rendelkezzen.

Nyilvántartás, adatszolgáltatási kötelezettségek és a felügyeleti hatóság

Meghatározott szervezetek kötelesek lesznek bizonyos adatokat kiadni magukról az illetékes tagállami hatóságnak. Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatóság.

A NIS2 által előírt határidők

§ 2024. június 30-ig önazonosítás, biztonsági osztályokba sorolás, biztonsági felelős kijelölése

§ 2024. június 30-ig regisztráció (nyilvántartásba vétel)

§ 2024. október 18-tól védelmi intézkedések alkalmazása, díjfizetés

§ 2024. október 18. és december 31. között akkreditált auditorral való szerződéskötés

§ 2025. december 31-ig első kiberbiztonsági auditálás 

Az ügyvezetés felelőssége

Az ügyvezetés a jövőben felelőssé tehető lesz, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, illetve alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért, valamint az alvállalkozók és a beszállítói lánc kiberbiztonsági megfelelőségéért.

A bírság mértéke

A rendeletben foglaltak megszegése súlyos közigazgatási bírságokat vonhat maga után:

  • Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
  • Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
  • További jogkövetkezmény, hogy a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.

Amennyiben kérdése merül fel a NIS2 irányelv szabályaival kapcsolatban, esetleg azoknak az Ön vállalkozására vonatkozó aspektusaival, keresse bizalommal hozzáértő kollégáinkat!

Szigorúbb szabályok a cypto szolgáltatókkal kapcsolatban

2024-11-07
Szigorúbb szabályok a cypto szolgáltatókkal kapcsolatban

A közelmúltban kihirdetett kormányrendelet szigorúbb szakmai és képzettségi előírásokat vezet be a kriptoeszközökkel kapcsolatos tanácsadói és információszolgáltatási tevékenységekre. Az új rendelet a kriptoeszközök piacáról szóló 2024. évi VII. törvény 13. § (1) bekezdése alapján lépett hatályba, és célja, hogy biztosítsa a kriptoeszközök piacán tevékenykedő szakemberek magas szintű kompetenciáját, ezáltal növelve a piac biztonságát és átláthatóságát.

Cikkünkben röviden összefoglaltuk a rendelet legfontosabb szabályait.

Bővebben

Megkezdte működését az Online Platform Vitarendező Tanács

2024-09-10
Megkezdte működését az Online Platform Vitarendező Tanács

Az Online Platform Vitarendező Tanács (OPVT) augusztus 29-én kezdte meg működését, miután a Digitális Szolgáltatási Koordinátor elvégezte a testület tanúsítását. Cikkünkben röviden bemutatjuk az OPVT hátterét, lényegét és eljárását.

Bővebben

A kriptók új korszaka – hatályba lép a kriptovaluták piacáról szóló törvény

2024-05-14
A kriptók új korszaka – hatályba lép a kriptovaluták piacáról szóló törvény

2024. június 30-án hatályba lép az első kimondottan a kriptovaluták piacát szabályozó törvény a kriptoeszközök piacáról szóló 2024. évi VII. törvény. A szabályozás szükségességét a kriptovaluta egyre nagyobb térnyerése és az uniós előírások hívták életre. Bár néhány évvel ezelőtt még csak néhány ismerték a kriptovaluta fogalmát, mára elmondhatjuk, hogy a gazdaság egy nagyon meghatározó részét képezik a különböző kriptoeszközök. Cikkünkben a jogszabály legfontosabb rendelkezéseit foglaljuk össze.

Bővebben

Állunk rendelkezésére az információs technológiával kapcsolatos jogi kérdések tekintetében!

Kapcsolat