Díjmentes demó kérése

NIS2 irányelv – A lényeg 5 percben

NIS2 irányelv - A lényeg 5 percben - NIS2

Az egyre gyakoribb kibertámadások miatt az Európai Unió szigorúbb kiberbiztonsági szabályozást vezetett be. A NIS2 irányelv célja, hogy egységes és átfogó védelmet biztosítson a kritikus fontosságú szektorok számára. Azok a szervezetek, amelyek nem felelnek meg a követelményeknek, akár 10 millió eurós vagy az éves globális árbevételük 2%-ának megfelelő bírságot is kaphatnak. De pontosan kiket érint a szabályozás, milyen kötelezettségeket ír elő, és milyen határidőkkel kell számolni? Ebben a cikkben röviden és érthetően összefoglaljuk a legfontosabb tudnivalókat.

Kikre vonatkozik a NIS2?

A NIS2 irányelv jelentősen kibővíti a kiberbiztonsági követelmények hatálya alá tartozó szervezetek körét. Míg a korábbi NIS irányelv főként az energiára, közlekedésre, banki szektorra és egészségügyre koncentrált, a NIS2 számos új ágazatot is érint.

Az új szabályozás két fő kategóriába sorolja az érintett szervezeteket:

  1. Kiemelten kockázatos ágazatok (közvetlen, szigorúbb szabályozás alá esnek):
    • Energia: Villamos energia, távfűtés és távhűtés, olaj, gáz, hidrogén.
    • Közlekedés: Légi, vasúti, vízi és közúti szállítás.
    • Egészségügy: Egészségügyi szolgáltatók, gyógyszeripar.
    • Ivóvíz és szennyvíz: Vízellátás és szennyvízkezelés.
    • Digitális infrastruktúra: Felhőalapú számítástechnikai szolgáltatások, adatközpontok, internetcsere pontok.
    • Pénzügyi piaci infrastruktúrák: Banki és pénzügyi szolgáltatások.
    • Közigazgatás: Központi és regionális kormányzatok.
    • Űripar: Űrkutatás és űripari tevékenységek.
  2. Kockázatos ágazatok (kevésbé szigorú szabályozás alá esnek):
    • Postai és futárszolgáltatások
    • Hulladékgazdálkodás
    • Vegyszerek gyártása, előállítása és forgalmazása
    • Élelmiszer-termelés, -feldolgozás és -forgalmazás
    • Gyártás: Például gépipar, elektronika.
    • Digitális szolgáltatók: Online piacterek, keresőmotorok.
    • Kutatás: Tudományos és technológiai kutatások.

A NIS2 egyik legfontosabb változása, hogy már középvállalatokra is vonatkozik, nemcsak nagyvállalatokra és a kritikus infrastruktúrákra. Azok a szervezetek, amelyek több mint 50 főt foglalkoztatnak, vagy éves árbevételük meghaladja a 10 millió eurót, szintén a hatálya alá tartozhatnak. Fontos még, hogy a szabályozás nemcsak az uniós székhelyű vállalatokra vonatkozik, hanem azokra is, amelyek az EU-ban szolgáltatnak, így külföldi IT-szolgáltatókra és beszállítókra is.

Amennyiben az Ön szervezete ezek közé tartozik, érdemes mielőbb áttekinteni a NIS2 követelményeit, mivel nem megfelelés esetén 

“akár 10 millió eurós vagy az éves globális árbevétel 2%-ának megfelelő bírság is kiszabható.”

Mit kell tenni a megfeleléshez?

A legfontosabb előírások a következők:

1. Kockázatkezelési intézkedések bevezetése

A szervezeteknek kötelességük olyan kiberbiztonsági intézkedéseket alkalmazni, amelyek minimalizálják a kibertámadások és adatbiztonsági incidensek kockázatát. Ezek közé tartozik:

  • Rendszeres kockázatelemzés és sebezhetőségi vizsgálatok
  • Hálózat- és információbiztonsági intézkedések (pl. tűzfalak, behatolás észlelő rendszerek)
  • Adatmentési és helyreállítási eljárások kialakítása
  • Hozzáférés-kezelési szabályok bevezetése (pl. erős jelszavak, többfaktoros hitelesítés)

2. Gyors incidens jelentés és válságkezelés

  • Az érintett szervezeteknek kötelező lesz a kiberbiztonsági incidenseket jelenteni a nemzeti hatóságok felé.
  • A jelentésnek 24 órán belül el kell jutnia a megfelelő szervekhez, majd 72 órán belül részletes jelentést kell benyújtani.

3. Üzletmenet-folytonosság és válsághelyzeti tervek

  • A szervezeteknek ki kell dolgozniuk egy üzletmenet-folytonossági stratégiát, amely biztosítja, hogy egy kibertámadás esetén is fennmaradjon a működés.
  • A szervezeteknek rendelkezniük kell válságkezelési tervekkel, hogy egy kibertámadás esetén gyorsan reagálni tudjanak.

4. Beszállítók és partnerek ellenőrzése

  • A NIS2 nemcsak a saját rendszerek biztonságát kéri számon, hanem a beszállítói láncok kiberbiztonsági kockázatait is figyelembe veszi.
  • A szervezeteknek gondoskodniuk kell arról, hogy alvállalkozóik és IT-szolgáltatóik is megfeleljenek a szabályozásnak.

A NIS2-nek való nem megfelelés következményei

A NIS2 szigorú szankciókat határoz meg azokkal a szervezetekkel szemben, amelyek nem teljesítik a kiberbiztonsági követelményeket:

  • Pénzbírságok:
    • Kiemelten kockázatos ágazatok: akár 10 millió euró vagy az éves globális árbevétel 2%-a.
    • Kockázatos ágazatok: akár 7 millió euró vagy az éves globális árbevétel 1,4%-a.
  • Vezetői felelősség:
    • A cégvezetők személyesen is felelősségre vonhatók.
    • Súlyos esetben eltilthatók vezetői pozíciójuktól.
  • Hatósági intézkedések:
    • Kötelező kockázatcsökkentő lépéseket (Pl.: kiberbiztonsági képzések) rendelhetnek el.
    • Ideiglenes felügyelőt jelölhetnek ki a megfelelés biztosítására.
    • Súlyos esetben felfüggeszthetik a működést.
  • Kötelező incidens jelentés elmulasztása:
    • Külön bírság járhat a határidők be nem tartásáért.
    • A hatóságok aktívan ellenőrzik, hogy a vállalatok eleget tesznek e jelentési kötelezettségüknek.

Melyek a legfontosabb határidők?

  • A NIS2 irányelv hatálya alá tartozó szervezetek számára 2024. június 30-ig kellett bejegyeztetniük magukat a nyilvántartásba.
  • 2024. október 18-ig írták elő a biztonsági rendszer kialakítását.
  • 2025. december 31-ig fog megtörténni az első audit elvégzése.

A cikk a 2023. évi XXIII. Törvény és AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE alapján készült. Az esetleges jogszabályi változások, értelmezésbeli eltérések vagy módosítások miatt a tartalom kizárólag tájékoztató jellegű, és nem minősül hivatalos jogi tanácsadásnak. A pontos és naprakész követelmények megismerése érdekében javasolt a vonatkozó jogszabályok és hatósági iránymutatások figyelemmel kísérése.

A Telvice-nél világelső technológiák alkalmazásával támogatjuk vállalata átlátható és hatékony működését. Kérjen szakértői konzultációt, és kezdje meg a digitális átalakulás következő szakaszát velünk!

Picture of Darabos Tamás
Darabos Tamás
Picture of Darabos Tamás
Darabos Tamás
A szerző
Tamás szenvedélye az üzleti működés folyamatos javítása innovatív megoldások révén. Nagyvállalati vezetőként is ebben szerzett több éves tapasztalatot, amit most a Telvice Zrt. operatív vezetőjeként kamatoztat. Tamás a Telvice-nél kulcsszerepet játszik abban, hogy a vállalat olyan elegáns technológiai megoldásokat nyújtson, amelyek az ügyfelek digitális átalakulását és hatékonyságuk növelését szolgálják. Hisz abban, hogy a kreativitás és a technológia együttes erejével a legösszetettebb kihívások is megoldhatók.
Telvice Zrt - Partner a digitális értékteremtésben
Ne maradjon le az IT trendekről, iratkozzon fel havi hírlevelünkre!
Hírlevél feliratkozás - csak e-mail
Hasznos linkek
Szakmai tartalom
Kövessen minket
Linkedin Facebook
Telvice service partner
  • All right reserved 2024