A NIS2 irányelv, a Kibertantv. (Kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szólő 2023.évi XXIII. Törvény) 2023 óta erőteljesebben is lázban tartja a hazai cégeket, hiszen ez az új EU-s és hazai kiberbiztonsági jogszabályoknak való megfelelés most sokkal több szervezetet érint. Az volt igazán ügyes, aki már tavaly október, november környékén észbe kapott. Az óra ketyeg, rengeteg a feladat, könnyen el lehet veszni bennük.

A NIS2 irányelv magas szintű kiberbiztonságot biztosító intézkedések sorozata. Célja az Unión belüli kiberreziliencia szintjének erősítése, egy közös válságreagálás kialakítása. Az irányelvet 2022. novemberének végén fogadták el és azóta csak szaporodnak az információk, rendelkezések, és ezekkel egyidőben, természtesen a határidők is.

NIS2 – Kibetantv. időrendi áttekintés

2022. november : elfogadták a NIS2 irányelvet

2023.05.23. : hatályba lépett a Kibertantv. (NIS2-t képezi le)

2024.01.01. : hatályos a Kibertan.tv. III. Fejezete, ami a Kiberbiztonsági felügyeletről szól, tehát megjelennek a részletszabályok, elkezdődik a nyilvántartásba vételi időszak. A Kibertantv. alá tartozó új rendeletek:

• vhr.: MK rendelet a biztonsági oszályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
• 23/2023. (XII.19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról

2024.06.30. : nyilvántartásba vétel határideje

2024.10.18. : a törvény hatálya alá tartozó szervezeteknek már alkalmaznia kell a NIS2 irányelv implementált  védelmi intézkedéseit a Kibertan.tv.-nek megfelelően

(A határidőkről bővebben itt.)

NIS2 – mi változott az új kihívások megjelenésével?

Mivel a társadalom digitális átalakulása kibővítette a fenyegetettségi környezetet, szükségessé vált a korábbi irányelv kiszélesítése, a korábbi szabályok hiányosságainak orvoslása, hozzá kellett igazítani a jelenlegi igényekhez a rendelkezéseket. A gyakorlatban ez azt jelenti, hogy a NIS2 irányelv tartalmazza az EU-ban alkalmazandó minimum követelményeket, amelyeket minden tagállamban be kell építeni a jogállami keretek közé és alkalmazni is kell azokat. A NIS2-vel kiszélesedett az érintettek köre, jelentősen bővült a személyi hatály: már nem csak a digitális szektorban működő vállalkozásokra fogalmaz meg kritériumokat, hanem szektor specifikusan is.

A kiválasztott ágazatokban működő valamennyi közép- és nagyvállalkozás bele tartozik a NIS2  hatályába. Ugyanakkor az irányelv bizonyos mérlegelési jogkört biztosít a tagállamok számára, hogy azonosítsák a magas biztonsági kockázati profillal rendelkező kisebb szervezeteket, amelyekre az új irányelvben foglalt kötelezettségeknek is vonatkozniuk kell. A szervezeteket fontosságuk alapján osztályozzák és két kategóriába sorolják: alapvető és fontos szervezetek.

A NIS2-t a Kibertantv. implementálja a hazai viszonyok közé, Magyarországon bejegyzett cégekre vonatkozik. Ez a gyakorlatban annyit jelent, hogy direkt formában nem a NIS2-nek, hanem a Kibertantv.-nek kell megfelelni.  A Kibertantv. nem csupán a NIS2-t foglalja magába, hanem a Cybersecurity Act jogszabályt is (a tanúsítási rendszerekről szóló rész lett a CSA-ból átemelve). A törvény betartásáért az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) a felelős, ő felel a a törvény hatálya alá tartozó szervezetek felügyeletéért is, illetve az általa nyilvántartásba vett megfelelőségértékelő szervezetekkel és auditorokkal szerződve végezhetők el az auditok.

A NIS2 irányelv egyik jelentős újdonsága, hogy nagy hangsúlyt fektet az ellátási láncok területére, mivel sok fenyegettség ered irányukból. A harmadik felek nem közvetlenül fognak a törvény hatálya alá esni, hanem közvetetten, partneri szerződéseken keresztül lesznek érintettek, így várhatóan a beszállítók arra számíthatnak, hogy 2024. 10.18-ig szerződésmódosításokat fognak kapni, melyek többek között a felelősség eloszlásáról szólnak majd.

NIS2 felügyeleti eszközök

Az új direktíva szerint a felügyleti eszközök két részre osztottak: ide soroljuk azokat a folyamatokat, melyeket a Hatóság végez közvetlenül, illetve az auditokat.

Hatóság által végzett felügyelet

1. hatósági ellenőrzés
2. nem teljesítés esetén: figyelmeztetés, hiányosságok elhárítására vonatkozó intézkedések meghozatalának elrendelése, elmaradás esetén tevékenység végzésétől való eltiltás (a hiányosságokkal közvetlen kapcsolatban álló tevékenységektől tilthatja el a szervezetet a Hatóság)
3. bírságok (nem teljesítés után megismételhető)

Független audit (SZTFH nyilvántartásból kiválasztott, szerződött auditor által végzett)

1. védelmi intézkedések megfelelősége
2. 2 évente kötelező
3. audit díj megfizetése SZTFH rendeletnek megfelelően.

Milyen bírságokra számíthatunk, ha nem tudunk megfelelni a NIS2 előírásoknak?

A bírságokat kormányrendelet rögzíti pontosan. Amiből ki tudunk indulni, hogy a NIS2 alapján, kockázatkezelési és jelentéstételi kötelezettségek esetén az ajánlás az alábbiak szerint néz ki.

A bírságot minden esetben megelőzik majd a Felügyeleti Hatóság figyelmeztetési folyamatai. A bírság kiszabásakor pedig várhatóan az eset körülményeinek fényében mérlegel majd a Hivatal.

Ki érintett a NIS2 irányelv kapcsán?

A NIS2 alapvetően 2 szempont szerint rendezi az érintett szervezeteket: tevékenységi körük/ágazati besorolásuk és nagyságuk/szervezeti méretük szerint.

A Kibetantv. III. Fejezet 7. rész 17. paragrafusa kitér az összes olyan szervezetre, akik a törvény hatálya alá tartoznak. Az itt található mellékletek tartalmazzák azokat a táblázatokat, amelyek alapján mindeki könnyen beazonosíthatja vonatkoznak e rá a NIS2 irányelv tartalmai, vagy sem. A törvény mellékletét képező táblázat ágazat, alágazat, szervezet lebontásban jelöli meg a hatályába tartozókat, amely alapján a szervezetek eldönthetik, hogy érintettek-e a törvény személyi hatálya szempontjából. Ez fontos lépés, hiszen a szervezeteknek önazonosítási folyamat útján kell meghatározni érintettségüket. Amennyiben érintettek, úgy nyilvántartásba kell magukat vetetniük a Hatóságnál. Ebben a folyamatban könnyű elveszni, segítséget tapasztalt jogászok, IT biztonsági tanácsadásban jártas szolgáltatók tudnak adni.

Mit ír elő a NIS2, a Kibetantv.?

A NIS2 10 kulcsfontosságú elemet tartalmaz, amelyeket minden vállalatnak kezelnie vagy végrehajtania kell az általuk hozott intézkedések részeként, beleértve az incidensek kezelését, az ellátási lánc biztonságát, a sebezhetőség kezelését és nyilvánosságra hozatalát, a kriptográfia használatát és adott esetben a titkosítást. Az alábbiakban összefoglaljuk, hogy milyen szempontrendszeren kell egy érintett szervezetnek végigmennie.

• IBIR – A szervezeteknek Információbiztonsági irányítási rendszert kell kialakítani.
• Kockázatelemzésen alapuló védelmi intézkedéskedéseket kell meghozni.
• Követelmény az EIR biztonsági oszályba sorolás.
• Rendszeres auditot kell eszközölni a NIS2, Kibertantv. hatálya alá tartozó szereplőknél.
• Incidens esetén jelenléti, bejelentési kötelezettséget ír elő.
• A NIS2 meghatározza, hogy a felsővezetést elszámoltathatóvá kell tenni: meghatározza a vezetői felelősségrevonást IT biztonsági mulasztás esetén.
• A vezető legfontosabb feladatai:
  • ki kell nevezni egy olyan IBF-et (Információbiztonságért Felelős szakember), akinek feladatai között szerepel az IBIR működtetése
  • meg kell határoznia/jóvá kell hagynia azokat a belső szabályokat, amelyek az elektronikus információs rendszerek felhasználóira vonatkoznak
  • gondoskodnia kell a saját szervezet dolgozóinak információbiztonsági edukációjáról és ismereteik szintentartásáról
  • auditorral kell szerződnie
  • felügyelnie kell a harmadik feleket.

Hasznos linkek:

Kibertantv. itt.

NIS2 irányelv itt.

SZTFH tájékozató flyer itt.

Ha úgy érzed, elvesztél a megfelelés folyamatában, vagy csak tisztázó kérdésed van, keress minket az alábbi gombra kattintva. Itt vagyunk, segítünk!