NIS2 irányelv
Európai Uniós irányelv (NIS2) az információbiztonságról
Az Európai Parlament és a Tanács 2022. december 14-én megalkotta az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) a Az Európai Parlament és a Tanács (EU) 2022/2555 irányelvét (2022. december 14.) (NIS2).
A NIS2 irányelv alapján a kritikus ágazatokban működő szervezeteknek
- információbiztonsági irányítási rendszert kell kialakítaniuk;
- elektronikus biztonságért felelős személyt kell kijelölniük;
- el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését;
- biztonsági osztályba kell sorolniuk az elektronikus információs rendszereit és az azokban kezelt adatokat;
- meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket.
NIS2 irányelv alapján a szervezeteknek gondoskodniuk kell
- a biztonsági események kezeléséről;
- az üzletmenet folytonosság megteremtetésről és fenntartásáról;
- az információbiztonság beépítéséről az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzési, fejlesztési és üzemeltetési folyamataiban;
- a szervezet munkatársainak biztonsági képzéséről.
A NIS2 irányelvet a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint kockázatos ágazatokban működő szolgáltatók és szervezetek elektronikus információs rendszereire kell alkalmazni.
A NIS2 alapján ezek a következő szervezetek:
Kiemelten kockázatos ágazatok
- Energetika
- Villamos energia
- Távfűtés és hűtés
- Kőolaj
- Földgáz
- Hidrogén
- Közlekedés
- Légi közlekedés
- Vasúti közlekedés
- Közúti közlekedés
- Vízi közlekedés
- Tömegközlekedés
- Egészségügy
- Ivóvíz, szennyvíz
- Vízközmű szolgáltatás
- Hírközlési szolgáltatás
- Digitális infrastruktúra
- Kihelyezett IKT szolgáltatások
- Űralapú szolgáltatás
Kockázatos ágazatok
- Postai és futárszolgálatok
- Élelmiszer előállítása, feldolgozása és forgalmazása
- Hulladékgazdálkodás
- Vegyszerek előállítása és forgalmazása
- Gyártás
- Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
- Számítógép, elektronikai, optikai termék gyártása
- Villamos berendezések gyártása
- Máshova nem sorolt gépek és berendezések gyártása
- Gépjárművek, pótkocsik és félpótkocsik gyártása
- Egyéb szállítóeszközök gyártása
Kiberbiztonság felügyelete
A NIS2 irányelv alapján tagállami szinten Hatóságot kell létrehozni, amely ellátja a kiberbiztonság felügyeletét.
A Magyarországon a kiberbiztonsági felügyeletet a Szabályozott Felügyeleti Tevékenységek Hatósága látja el. A Hatóság jogkörében az érintett szervezet tekintetében
- hatósági ellenőrzést végezhet,
- jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nemmegfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el
Kötelező audit
A NIS2 előírja, hogy az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban: auditor) által kiberbiztonsági auditot végeztetni.
Az auditornak az audit eredményét haladéktalanul meg kell küldenie az SZTFH részére.
Szankciók, bírság
A NIS2 alapján, ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult
- figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,
- határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint
- a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.
A fentiek alkalmazása ellenére, ha az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.
A bírság kiszabásáról és a kiszabást megalapozó tényekről az SZTFH tájékoztatja a szervezet tevékenységét engedélyező vagy felügyelő hatóságot.
Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.
Felkészülés
Kezdje el időben a felkészülést, mert a gyakorlati tapasztalatok alapján legalább 1 év kell ahhoz, hogy egy szervezet információbiztonsági irányítási rendszert vezessen be.
Bízzon meg minket a felkészülési feladatokkal, majd az információbiztonsági felelős feladatainak ellátásával.
Munkatársaink 20 éves információbiztonsági tapasztalattal rendelkeznek. Cégünk 10 év tapasztalattal rendelkezik az információbiztonsági törvény alkalmazásában, ügyfeleink több sikeres hatósági ellenőrzésen vettek részt.