Az EU-s NIS2 irányelv jelentős változásokat hoz a kiberbiztonsági szabályozásban, amelyet Magyarország a 2024. évi LXIX. törvényben és a 418/2024. (XII. 23.) kormányrendeletben ültetett át a hazai jogrendbe. Az új előírások számos szervezetet érintenek, és a megfelelő felkészülés kulcsfontosságú. A cél, hogy a vállalatok hatékonyabban védekezzenek a kiberfenyegetések ellen, minimalizálják a kockázatokat, és biztosítsák az üzletmenet zavartalanságát.
A NIS2 irányelvvel összhangban a hazai kiberbiztonsági szabályozás is jelentős változásokon ment keresztül. A Nemzetbiztonsági Szakszolgálat (NBSZ) kibervédelmi szervezete kiemelt szerepet kap a szabályozás végrehajtásában. Egy nemrégiben megjelent interjúban az NBSZ főigazgatója hangsúlyozta, hogy az új szabályozás célja a magyarországi kibervédelem megerősítése, és ennek részeként a vállalatoknak is fokozott felelősséget kell vállalniuk saját biztonsági intézkedéseik terén. Az új szabályozás révén szigorúbb ellenőrzések és magasabb büntetések várhatók a nem megfelelő szervezetek számára.
Hogyan készüljön fel a NIS2 megfelelésre?
A megfelelés nem csak jogszabályi kötelezettség, hanem a vállalat stabilitásának és az ügyfélbizalom növelésének alapja is. A következő hét lépés segít elérni a megfelelőséget és erősíteni a kiberbiztonsági védelmet.
1. Ellenőrizze, hogy szervezete a NIS2 hatálya alá tartozik-e
A NIS2 irányelv számos iparágra vonatkozik, beleértve a kritikus infrastruktúrákat, digitális szolgáltatókat és egyéb jelentős szereplőket. Az érintett szervezeteket két kategóriába sorolják: alapvető és fontos szervezetek. A kiemelt szervezetek fokozott felügyelet alá esnek, szigorúbb ellenőrzési és jelentési kötelezettségekkel. A vállalatoknak fel kell mérniük, hogy a szabályozás milyen módon érinti őket, és szükség esetén jogi szakértő bevonása javasolt.
Ha egy szervezet a NIS2 hatálya alá tartozik, köteles megfelelő kiberbiztonsági intézkedéseket bevezetni és teljesíteni az auditálási, jelentési és megfelelőségi kötelezettségeket. Az érintettség felmérése és a követelmények teljesítése elengedhetetlen a jogszabályi megfelelés biztosítása érdekében.
2. Végezzen átfogó kiberbiztonsági állapotfelmérést
A szervezetnek független biztonsági szakértők vagy akkreditált tanúsító szervezetek segítségével kell felmérnie informatikai rendszereinek állapotát. Az esetleges hiányosságok feltérképezése lehetőséget ad a védelmi intézkedések időbeni bevezetésére.
3. Jelöljön ki egy információbiztonsági felelőst (IBF-et)
Minden érintett szervezetnek ki kell neveznie egy információbiztonsági felelőst (IBF-et), aki felügyeli a kiberbiztonsági szabályok betartását, kapcsolatot tart a hatóságokkal, és biztosítja a jogszabályi megfelelést. Fontos, hogy a kijelölt személy magyar állampolgársággal, büntetlen előélettel, legalább a vonatkozó rendeletben meghatározott felsőfokú szakképzettséggel (Nemzeti Közszolgálati Egyetem) vagy a meghatározott szervezetek által kiállított 4 tanúsítvány egyikével (CISA, CISM, CRISC, CISSP).
4. Dolgozzon ki biztonsági szabályzatokat és eljárásokat
A jogszabályi megfelelés érdekében a szervezeteknek részletes információbiztonsági szabályzatokat kell kidolgozniuk. Ezeknek tartalmazniuk kell a védelmi intézkedéseket, az incidenskezelés menetét, valamint a hatósági bejelentési eljárásokat.
5. Alakítson ki hatékony incidenskezelési rendszert
A szervezeteknek olyan incidenskezelési rendszert kell bevezetniük, amely gyors és hatékony választ ad a kiberbiztonsági eseményekre. Az incidenseket meghatározott határidőn belül jelenteni kell az illetékes hatóságoknak, ehhez pedig megfelelő eljárásokra és technológiai háttérre van szükség.
6. Végezzen rendszeres auditokat és sérülékenységvizsgálatokat
A szervezeteknek kötelezően el kell végezniük a kiberbiztonsági auditokat és sérülékenységvizsgálatokat. Az auditokat akkreditált szervezetek végzik, akiket a hatóság nyilvántartásba vett. A pontos listát a SZTFH hivatalos weboldalán lehet megtekinteni. Az első audit lefolytatásának határideje 2025. december 31., ezt követően legalább kétévente meg kell ismételni a vizsgálatokat.
7. Gondoskodjon a munkavállalók kiberbiztonsági képzéséről
A kiberbiztonsági rendszerek csak akkor lehetnek hatékonyak, ha a munkavállalók is tisztában vannak a fenyegetésekkel és az elvárt védelmi intézkedésekkel. A rendszeres képzések és szimulációk csökkentik az emberi hibákból adódó kockázatokat.
Ne halogassa a felkészülést!
A NIS2 irányelv lehetőséget teremt arra, hogy a vállalatok biztonságosabbá tegyék informatikai rendszereiket, növelve stabilitásukat és ügyfeleik bizalmát. Kezdje el most a szükséges intézkedéseket, és biztosítsa szervezete megfelelését!
A hatóságok nagy hangsúlyt fektetnek a vállalatok felkészítésére, de egyúttal szigorúan ellenőrizni is fogják az előírások betartását. A NIS 2 irányelv és annak magyarországi törvényi leképezése értelmében a szabályozásnak nem megfelelő szervezetek az alábbi következményekkel kell számoljanak:
- Figyelmeztetés
- Az audit során feltárt hiányosságok javítása
- Pénzügyi bírság, mely elérheti a 10 000 000 EUR-t vagy a vállalat előző pénzügyi év teljes éves világméretű forgalmának 2%-át, attól függően, hogy melyik a magasabb
- A szervezet ügyfeleinek tájékoztatása a követelményeknek való nem megfelelésről
- A szervezet biztonságilag érintett tevékenységétől való eltiltás
Az ITSecure Kft. átfogó támogatást nyújt a NIS2 felkészítésben, valamint vállalja az információbiztonsági felelős feladatkör betöltését is. Vegye fel még ma a kapcsolatot szakértőinkkel!
