NIS2.

Az EU NIS2 irányelve 2023 januárjában lépett életbe, helyettesítve a korábbi NIS-irányelvet. A NIS2 (Network and Information Security) irányelv az egész EU-ra kiterjedő kiberbiztonsági jogszabály, amely jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére. Azok a vállalatok, amelyek nem készülnek fel az incidensek kezelésére 2025-ig, éves árbevételük akár 2 százalékát is büntetésre költhetik.

Hogyan segítünk?

Biztonsági helyzetfelmérés és áttekintés

  • A vállalati igények feltérképezése
  • Alapvetések meghatározása
  • Informatikai rendszer felmérés
  • Üzleti alkalmazások felmérése
  • Kockázatok feltérképezése
  • Adatvagyon áttekintés

IT folyamatok rendezése, szabályzatok készítése

  • Kibervédelmi és információbiztonsági stratégia kialakítása
  • Dokumentációk és szabályzatok összeállítása vállalati felelőssel közösen
  • Katasztrófa-helyreállítási és üzletmenet-folytonossági tervek készítése
  • IT-folyamatok megszervezése
  • Felhasználói képzések bevezetése

Technológiai megoldások bevezetése 

  • Naplóközpontok
  • Rendszer monitoring
  • Többlépcsős bejelentkezések
  • Levelezésvédelem
  • Központi felhasználó kezelés (Active Directory, SSO, stb.)
  • Biztonsági mentési rendszerek
  • Tartalom szűrés
  • és még sok-sok más…
Kik az érintettek?

Ágazati kritériumok:

Az 50 fő munkavállalói létszám feletti, VAGY 3,9 milliárd forint (10 millió euró) éves árbevétel feletti, meghatározott szektorban tevékenykedő középvállalkozások érintettek.

Kiemelten kritikus ágazatok:

  • Energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
  • Szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
  • Banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
  • Egészségügy (laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
  • Ivóvíz, szennyvíz
  • Digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
  • Közigazgatás
  • Kihelyezett IKT szolgáltatások (IKT = információ- és kommunikációtechnológia)
  • Világűr, űripar

Egyéb kritikus ágazatok:

  • Postai és futárszolgáltatások
  • Hulladékgazdálkodás
  • Vegyszerek gyártása, előállítása és forgalmazása
  • Élelmiszerelőállítás, -feldolgozás, -forgalmazás
  • Meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
  • Digitális szolgáltatások
  • Kutatóhelyek

Biztonsági osztályok.

A nemzeti kiberbiztonsági tanúsítási rendszerek az IKT-termékekre, az IKT-szolgáltatásokra és az IKT-folyamatokra az „alap”, a „jelentős” és a „magas” megbízhatósági szintek közül egy vagy több szintet határozhatnak meg.

„Alap” megbízhatósági szintre a biztonsági eseményekkel és támadásokkal kapcsolatos alapvető, ismert kockázatokat sorolják.

„Jelentős” megbízhatósági szintre az ismert kiberbiztonsági kockázatok, valamint a korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők által végrehajtott biztonsági események, és kiberbiztonsági támadások kockázatok kerülnek.

„Magas” megbízhatósági szinten a vállalat a jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők által, a tudomány legutolsó állása szerinti technológiával végrehajtott kibertámadások kockázatának minimalizálására törekszik.

NIS2 elvárások/kötelezettségek:

  • Incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé (Szabályozott Tevékenységek Felügyeleti Hatósága)
  • 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
  • 1 hónapon belüli zárójelentés kötelezettség (mi lett a támadás következménye, eredménye)
  • Információbiztonságért felelős személyt kell kijelölni
  • Az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
  • Kiberbiztonság átfogó megközelítése
  • El kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
  • Biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
  • Meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
  • Kiberhigiéniai szakpolitika biztosítása
  • Kritikus incidensek azonosítása
  • Érintett infrastruktúrák fejlesztése
  • Informatikai biztonsági szabályzat kidolgozása (IBSZ)
  • Ellátási lánc biztonságának biztosítása
  • Incidensekre való reagálási terv kidolgozása
  • Üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) – tartalékrendszerek kezelése
  • Katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
  • Titkosítási megoldások alkalmazása
  • Többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
  • Biztonsági kockázatértékelések elvégzése
  • Biztonságos hang-, video- és szöveges kommunikáció biztosítása
  • A hálózat és a teljes rendszer monitorozása, felügyelete
  • A munkavállalók és a vezetők képzése
  • Biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
  • Sérülékenységi vizsgálatok elvégzése
  • Nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
  • 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
  • Éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)

Érintett vagyok-e?

NIS2-vel kapcsolatban Magyarországon az illetékes hatóság a Szabályozott Tevékenységek Felügyeleti Hatósága, röviden az SZTFH. Amennyiben kérdések merülnek fel az érintettség vagy a besorolási szintek tekintetében, elérhetőségeik a következő linken érhetők el:

https://sztfh.hu/kapcsolat/

Nyilvántartásba vétel

Amennyiben az érintettség bebizonyosodik, a nyilvántartásba vétel Cégkapun keresztül történik önbevallás alapon. Az űrlap kitöltéséhez útmutatót és részleteket alábbi linken lehet elérni:

https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/

Fontosabb határidők.

  • Január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságért felelős személyt kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére).
  • Január 1-től június 30-ig tart az érintett szervezetek nyilvántartásba vétele.
  • Október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket.
  • Október 18. és december 31. között szerződni kell egy akkreditált auditorral.
  • December 31-ig első kiberbiztonsági auditálás elvégzése.

A részletszabályozások kidolgozása még folyamatban van!