Az EU NIS2 irányelv megvalósulása Magyarországon
Bevezető a NIS2 irányelvről és annak jelentőségéről
A NIS2 irányelv az Európai Unióban a meghatározott szervezetek részére egy kockázatarányos és magasabb szintű kiberbiztonságot előirányzó intézkedés, amely 2023-ban lépett hatályba. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) biztosítja a NIS2 irányelvnek történő megfeleléshez a hazai jogszabályi környezet kialakítását. Ehhez megalkották a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. (Kibertan.) törvényt.
Kiemelten kockázatos és kockázatos ágazatok a NIS2 irányelv alapján
Kijelöltek kiemelten kockázatos (alapvető szervezetek) és kockázatos ágazatokat (fontos szervezetek), melyek részletes meghatározása a törvény mellékletében található.
A NIS2 irányelv hatálya és az érintett szervezetek kötelezettségei
A törvény hatálya alá tartoznak a kijelölt ágazatokon belül többek között azok a szervezetek, amelyeknél:
- 50 főnél több a foglalkoztatott, vagy
- 10M Euro feletti az éves árbevétel.
A szervezetek számára az információbiztonsági érettségük függvényében nem feltétlenül újdonság a törvény szerinti információbiztonsági elvárások és megfelelésük.
A NIS2 megfelelési folyamat lépései
Első lépések a NIS2 megfelelés felé
A Kibertan. törvény hatálya alá tartozó szervezet feladatai a megfelelés kapcsán:
- Önazonosítás, nyilvántartásba vételre bejelentkezés, az elektronikus információs rendszerek biztonságáért felelős személy (IBF) kijelölése és bejelentése – 2024.01.01. és 2024.06.30. között
- Rendszerek biztonsági osztályba sorolása – 2024.01.01. és 2024.06.30. között
- Első kiberbiztonsági audit vonatkozásában szerződés kötés auditorral – a nyilvántartásba vételtől számított 120 napon belül
- Éves felügyeleti díj megfizetése – 2024.10.18-ig
- Biztonsági osztálytól függően a védelmi intézkedések alkalmazása és megfelelése – 2024.10.18-től
- Első kiberbiztonsági audit lefolytatása – 2025.12.31-ig
A kiberbiztonsági audit rendszeres elvárás lesz, legalább kétévente ismétlődően.
Hogyan kezdjünk hozzá a NIS2 megfelelés felkészüléséhez?
Első lépés 2024.06.30-ig a nyilvántartásba vételhez történő bejelentkezés, cégkapun keresztül lehet elindítani a Hatóság felé, ehhez részletek és útmutatás:
https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/
Következő lépésként az osztályba sorolást kell elvégezni, illetve auditorral szerződést kell kötni, a nyilvántartásba vételtől számított 120 napon belül. A hatóság által akkreditált auditorok listája itt található:
https://sztfh.hu/nyilvantartasok/megfelelosegertekelo-szervezetek/
A felkészülés fontossága és a szakértők szerepe
Fentiekkel párhuzamosan a felkészülést, a szervezet kiberbiztonsági érettségének felmérését már most javasolt megkezdeni. Mivel a jelenlegi állapottól függően jelentős nagyságú és számú feladatok is állhatnak előttünk, javasolt a témában tapasztalattal rendelkező szakértőhöz fordulni, aki tematikusan tud segíteni a felkészülésben, rá tud világítani a hiányos területekre.
Hivatkozások a NIS2 irányelv hazai implementációjának törvényére és a vonatkozó rendeletekre:
- 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről – Hatályos Jogszabályok Gyűjteménye
- 10/2023. (V. 15.) SZTFH rendelet – az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
- 30/2022. (II. 14.) SZTFH rendelet – a nemzeti kiberbiztonsági tanúsító hatóság eljárásával összefüggő kiberbiztonsági tanúsítás keretében fizetendő igazgatási szolgáltatási díjról
- 305/2023. (VII. 11.) Korm. Rendelet – a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól
- 23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról
Tegye fel kérdéseit szakértőinknek!
