Embedded Files
NIS2 MEGFELELÉS
NIS2 MEGFELELÉS
Cégünk megoldást kínál a NIS2 komplett megfelelésre!
Cégünk megoldást kínál a NIS2 komplett megfelelésre!
Az EU-ban kötelező IT biztonság – A NIS2 Irányelv Áttekintése
Az EU-ban kötelező IT biztonság – A NIS2 Irányelv Áttekintése
Az Európai Unióban a Network and Information Systems Directive 2, közismertebb nevén NIS2, a 2022/2555 számú irányelv, amelyet 2021. december 27-én fogadtak el, és 2023. január 16-án lépett hatályba.
Az EU tagállamainak 2024. október 17-ig kell beépíteniük az NIS2 irányelvet a saját jogrendszerükbe. Az érintett szervezeteknek az új nemzeti szabályozások szerint kell majd eljárniuk, hogy megfeleljenek az irányelv követelményeinek. Bár az egyes országok eltérő részletszabályokat alkalmazhatnak, az alapvető irányelvek az EU egész területén egységesek maradnak. Az NIS2 szabályozás minden közepes és nagyvállalatra vonatkozik az érintett ágazatokban, de bizonyos területeken kivételeket is tartalmaz. Például, a minősített bizalmi szolgáltatók, a legfelső szintű domain név-nyilvántartók és a DNS-szolgáltatók mérettől függetlenül kötelesek betartani az irányelv előírásait.
A NIS2 Irányelv lényege
A NIS2 Irányelv lényege
A NIS2 irányelv az EU 2016/1148 számú korábbi NIS irányelvének továbbfejlesztett verziója, amely az Európai Unió kiberrezilienciájának jelentős javítását célozza. Azóta, hogy a korábbi irányelv hatályba lépett, az Unióban jelentős fejlődés történt a kiberbiztonság terén. A digitális átalakulás és a társadalom növekvő összekapcsolódása, beleértve a határokon átnyúló információmegosztást is, azt eredményezte, hogy a hálózati és információs rendszerek központi szerepet kaptak a mindennapi életben. Ezzel párhuzamosan a kibertér fenyegetettsége is fokozódott, ami új kihívásokat jelent az EU tagállamai számára, és szükségessé teszi a kiberbiztonsági intézkedések finomítását, összehangolását és innovatív megközelítését.
A NIS2 irányelv elsődleges célja, hogy fokozza a kibertér és az informatikai rendszerek biztonságát az EU-ban. Ezzel biztosítja az információs rendszerek és hálózatok folyamatos működését és megbízhatóságát, valamint védelmet nyújt a kibertámadásokkal szemben. Az irányelv előírja, hogy az uniós tagállamoknak intézkedéseket kell tenniük a hálózati és információs rendszerek kiberbiztonságának javítása érdekében. Emellett létre kell hozniuk nemzeti eseményértesítési rendszereket és szorosan együtt kell működniük más EU-s tagállamokkal és uniós intézményekkel a kiberbiztonság terén.
Érintett ágazatok
Érintett ágazatok
Magyarországon előreláthatólag több mint 2500 közép- és nagyvállalatot érint majd a NIS2 irányelv alkalmazása. Az egyes tagállamok feladata, hogy összeállítsák a kritikus fontosságú és alapvető szervezetek listáját, amelyekre az irányelv különös figyelmet fordít. Ezeknél a szervezeteknél a folyamatos hatósági ellenőrzés hangsúlyos szerepet kap, és kétévente kötelező lesz független auditorok által végzett biztonsági besorolás elvégzése.
Kiemelten kritikus ágazatok (alapvető szervezetek):
energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
közigazgatás
kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
világűr, űripar
Egyéb kritikus ágazat (fontos szervezetek):
Egyéb kritikus ágazat (fontos szervezetek):
postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
vegyszerek gyártása, -előállítása és -forgalmazása
élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
digitális szolgáltatások
kutatóhelyek
Engem is érinthet a NIS2 irányelv?
Engem is érinthet a NIS2 irányelv?
A leghitelesebb forrást az Szabályozott Tevékenységek Hatóságának honlapján lehet elérni, azonban egy rövid összefoglalót mi is közzéteszünk.
NIS2 határidők – mire kell figyelni az érintett társaságoknak, ha a fenti kérdőívben az a válasz jött ki, hogy a NIS2 hatálya alá tartozik?
NIS2 határidők – mire kell figyelni az érintett társaságoknak, ha a fenti kérdőívben az a válasz jött ki, hogy a NIS2 hatálya alá tartozik?
Amennyiben bármelyik válaszra igen jött ki, töltse ki az alábbi kérdőívet és vegye fel velünk a kapcsolatot!
A NIS2 irányelvnek történő megfelelés nem ér véget a NIS2 regisztrációval, a kiberbiztonsági törvény hatálya alá tartozó vállalkozásoknak számos egyéb teendőjük van, a folyamat végén pedig a kiválasztott kiberbiztonsági auditor lefolytatja az első kiberbiztonsági auditot.
A NIS2 irányelvnek történő megfelelés nem ér véget a NIS2 regisztrációval, a kiberbiztonsági törvény hatálya alá tartozó vállalkozásoknak számos egyéb teendőjük van, a folyamat végén pedig a kiválasztott kiberbiztonsági auditor lefolytatja az első kiberbiztonsági auditot.
2024. június 30-ig: Minden NIS2 érintett szervezetnek önazonosítást kell végeznie és nyilvántartásba vételre kell jelentkeznie az SZTFH 420 jelű űrlap kitöltésével.
2024. október 18-tól: A NIS2 érintett szervezeteknek az elektronikus információs rendszereinek megfelelő biztonsági osztály szerinti védelmi intézkedéseket alkalmazniuk kell és be kell fizessék az SZTFH-nak a felügyeleti díjat.
2024. december 31-ig: A NIS2 érintett szervezetnek meg kell kötni a kiválasztott auditorral a szerződést.
2025. december 31-ig: A kiválasztott auditor lefolytatja az első kiberbiztonsági auditot.
Az Ön vállalkozásának kötelezettségei:
Az Ön vállalkozásának kötelezettségei:
incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
1 hónapon belüli zárójelentés kötelezettség
információbiztonságért felelős személyt kell kijelölni
az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
kiberbiztonság átfogó megközelítése
el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
kiberhigiéniai szakpolitika biztosítása
kritikus incidensek azonosítása
érintett infrastruktúrák fejlesztése
informatikai biztonsági szabályzat kidolgozása (IBSZ)
ellátási lánc biztonságának biztosítása
incidensekre való reagálási terv kidolgozása
üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
titkosítási megoldások alkalmazása
többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
biztonsági kockázatértékelések elvégzése
biztonságos hang-, video- és szöveges kommunikáció biztosítása
a hálózat és a teljes rendszer monitorozása, felügyelete
a munkavállalók és a vezetők képzése
biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
sérülékenységi vizsgálatok elvégzése
nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)
Hogyan kezdjem el felkészíteni a vállalkozásomat a megfelelésére?
Hogyan kezdjem el felkészíteni a vállalkozásomat a megfelelésére?
GAP elemzés végrehajtása
Felkészülési projekt vagy program indítása, költségvetés tervezése és az alkalmazandó védelmi intézkedések implementálása
Kompetencia vagy erőforrás hiánya esetén külső segítség igénybevétele
Legjobb eljárások figyelembe vétele a védelmi intézkedések kialakítása során
Miben tud segíteni Önöknek a Carefortify?
Miben tud segíteni Önöknek a Carefortify?
Kijelölt információbiztonsági felelős szakmai támogatása, szükség esetén az információbiztonsági felelősségi feladatok vitele
GAP-elemzés végrehajtása
Compliance vizsgálat végrehajtása egyéb területeken
Komplett, NIS2 dokumentáció elkészítése, felkészítés az AUDIT-vizsgálatra
A vállalat információbiztonsági felmérésében és kockázatelemzés végrehajtásában, valamint a feltárt hiányosságok és kockázatok kezelésében
A megfeleléshez szükséges dokumentációs és tanácsadási feladatok ellátásában, folyamatok kialakításában
Oktatások végrehajtása, folyamatos e-learning lehetőség biztosítása, kialakítása
A megfeleléshez szükséges technikai kontrollok bevezetésében (pl. SIEM, többfaktoros hitelesítés, hálózati eszközök integrációja)
IT és OT Információbiztonsági szabályozása és folyamatok kialakítása
Közreműködés a feltárt hiányosságok és kockázatok kezelésében
Biztonságos hálózati infrastruktúra kialakítása és üzemeltetése
Üzletmenet-folytonossági tervek (BCP), Katasztrófa utáni helyreállítási tervek (DRP) kialakítása
Egyéb, felmerülő kérdések tisztázása, segítség az eligazodásban
Ne halogassa az utolsó pillanatra vállalkozása NIS2 megfelelését, vegye fel a kapcsolatot velünk még ma!
Kik vagyunk?
Kik vagyunk?
A Carefortify Kft-t azzal a céllal alapítottuk, hogy a rendelkezésre álló erőinket, eszközeinket az Ön szolgálatába állítsuk! Kollégáink több, mint 10 éves compliance-vigzsgálati háttérrel rendelkeznek, továbbá folyamatos a részvételünk a kiberbiztonság szinte valamennyi szakmai fórumán (ISACA-tagság, CISA felkészültség). Hitvallásunk, hogy a lehető legjobb tudásunkat használva az Ön vállalkozásával együttműködve, közösen navigáljunk a kiberbiztonság kanyargós útjain.
Kapcsolat:
Kapcsolat:
Carefortify Kft.
Carefortify Kft.
Itt találhat meg minket:
Itt találhat meg minket:
Cím: 6000 Kecskemét, Búzavirág utca 50.
Adószám: 32572982-2-03
Cégjegyzékszám: 03-09-138477
Hívjon minket, írjon nekünk:
Hívjon minket, írjon nekünk:
Telefon: +36 70 678 0889, +36 20 371 3466
Email: carefortify@careforti.com
Dr. Varga Adrienn
Ügyvezető igazgató
Carefortify Kft.
Page updated
Google Sites
Report abuse