IT biztonság, NIS2

NIS 2: közeleg az első határidő, 2024.június 30.

Kiemelt szakmai kompetenciával rendelkező IT biztonsággal foglalkozó partnerünkkel együttműködve közreműködünk a NIS 2 által meghatározott követelményeknek történő megfeleltetésben: a hatósági bejelentéstől a GAP analízisen át az auditra történő felkészítésig.

 

Mi a NIS 2?

A NIS2 egy Európai Uniós szintű kiberbiztonsági irányelv (2022/2555), amely meghatározza a kritikus szektorokban működő és szolgáltatásokat nyújtó szervezetek számára azokat a digitális biztonsági szabályokat, amelyeknek meg kell felelniük ennek érdekében.

Magyarországon a NIS 2 követelményeinek való megfelelést a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertanúsítási törvény) szabályozza.

Kik tartoznak a NIS 2 hatálya alá?

A Kibertanúsítási törvény 1. és 2. számú melléklete két kategóriába sorolja a NIS 2 hatálya alá tartozó iparágakat:

  1. Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:

Ide tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.

  1. Kockázatos ágazatokban működő szolgáltatók és szervezetek

Ide tartoznak a postai és futárszolgáltatások; a hulladékgazdálkodás; a vegyszerek gyártása, előállítása és forgalmazása; az élelmiszer-termelés, -feldolgozás és -forgalmazás; a gyártás; a digitális szolgáltatók; és a kutatás.

Önmagában a szervezet tevékenységi köre (TEÁOR szerinti besorolás) alapján nem lehet eldönteni, hogy az adott szervezet releváns tevékenységének beazonosításához, mert meg kell vizsgálni a törvény mellékletében hivatkozott ágazati jogszabályok tartalmát.

Kivételek a NIS 2 hatálya alól:

Nem tartoznak a törvény hatálya alá a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozások.

Ugyanakkor cégmérettől függetlenül a NIS 2 hatálya alá tartoznak azonban az alábbiak:

  1. a) elektronikus hírközlési szolgáltató,
  2. b) bizalmi szolgáltató,
  3. c) DNS-szolgáltatást nyújtó szolgáltató,
  4. d) legfelső szintű domainnév-nyilvántartó vagy
  5. e) domainnév-regisztrációt végző szolgáltató.

 

Fontosabb határidők az érintett szervezetek számára:

 

Az érintett szervezeteknek:

 

1. 2024. június 30-ig:

  • elektronikus információs rendszerek biztonságáért felelős személy kijelölése, feladatkörének meghatározása (lehet belső munkavállaló, de külső megbízott is, sőt akár egy szervezeti egység is- amely esetben ki kell jelölni, hogy az adott szervezeti egységen belül ki fogja személy szerint ellátni a feladatot-; nincsenek külön jogszabályi követelmények, azonban mindenképpen célszerű informatikai üzemeltetési vagy biztonsági tapasztalattal rendelkező, megbízható személyt kijelölni, különös tekintettel arra, hogy az SZTFH ezzel a személlyel fogja tartani a szakmai kapcsolatot)
  • biztonsági osztályba sorolás (a rendelettervezetben meghatározott feltételek szerinti alap, magas vagy jelentős osztály)
  • nyilvántartásba vételi kérelem benyújtása az SZTFH-nál (Szabályozott Tevékenységek Felügyeleti Hatósága)

 

2. 2024. október 18-tól:

  • az egyes biztonsági osztályok – alap, jelentős és magas – esetében előírt, konkrét védelmi intézkedések alkalmazása (a védelmi intézkedéseket előíró miniszteri rendelet még nem lépett hatályba)
  • felügyeleti díj megfizetése az SZTFH részére (melynek összege az előző évi árbevétel 0,015%-a, de maximum 10M Ft.)

 

3. 2024. december 31-ig:

- a kialakított védelmi intézkedések kiberbiztonsági auditálására szerződéskötés egy auditor szervezettel

 

4. 2025. december 31-ig:

  • az első kiberbiztonsági audit elvégzése (Az audit abban az esetben is kötelező, ha az érintett szervezet már rendelkezik iparági tanúsítványokkal (pl. TISAX, ISO27001) vagy más auditokkal (pl. SOC2).)

 

Kiszabható bírság mértéke a NIS 2 előírások megsértése esetén:

  • a kiemelten kockázatos szervezetek esetében maximum 10 millió euró, vagy az előző pénzügyi év globális forgalmának 2 százaléka
  • a kockázatos szervezetek esetében maximum 7 millió euró, vagy az előző pénzügyi év globális forgalmának 1,4 százaléka

 

Amit a sok bizonytalanság ellenére mindenképpen meg kell tenni:

  • az informatikai rendszerek (hardverek, szoftverek) felmérése,
  • üzletkritikus rendszerek meghatározása,
  • előzetes kockázatelemzés,
  • adatvagyon nagy vonalakban történő felmérése,
  • információbiztonsági felelős kiválasztása,
  • beszállítói és partneri kör felmérése

(Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a NIS2 követelményeknek a közreműködő esetében is teljesülniük kell és érintett szervezet vezetője köteles gondoskodni arról, hogy a jogszabály szerinti követelményeket a közreműködő tekintetében szerződésbe foglalják.)

Szerződéskötés és konzultáció személyesen, vagy online videóhívás igénybevételével (Skype, Microsoft Teams) személyes megjelenés nélkül.

Időpontot kérek

Személyes konzultáció előtt lehetőséget adunk ingyenes jogi tanácsadásra e-mailen keresztül. Ennek igénybevételéhez kérem, válasszon szakterületet!

Informatikai jog Cégjog IT Biztonság, NIS2 Szellemi alkotások joga Startupok jogi képviselete Peres képviselet