Nyitvatartás: H-P 9-16 óráig
info@lecsoalapitvany.hu
+36 30 0909 549
hu
"LECSÓ: Remény Mindenkinek jár - Mindig számíthatsz ránk!"

Kiberbiztonság

2024.10.10

Kötelező IT biztonság az EU-ban, NIS2 irányelv összefoglaló

Az Európai Unióban a 2022/2555 NIS2 (Network and Information Systems Directive 2) irányelvet 2021. december 27-én hirdették ki, majd nem sokkal később 2023. január 16-án hatályba is lépett.

Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS2 irányelvet a saját jogrendszerükbe. Az így elfogadott és kihirdetett hazai rendelkezéseknek kell majd a szervezeteknek eleget tenniük annak érdekében, hogy megfeleljenek az irányelv előírásainak. Bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között biztosan lesznek különbségek. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, mivel a mikro- és kisvállalkozásokra is vonatkozik a NIS2 amennyiben az érintett szervezet:

a) elektronikus hírközlési szolgáltató,

b) bizalmi szolgáltató,

c) DNS-szolgáltatást nyújtó szolgáltató,

d) legfelső szintű domainnév-nyilvántartó vagy

e) domainnév-regisztrációt végző szolgáltató.  


Érintett ágazatok

Hazánkban várhatóan több mint 2500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva, de a tagállamok kötelessége összeállítani egy listát a fontos és alapvető szervezetekről. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.

Kiemelten kritikus ágazatok (alapvető szervezetek):

  • energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
  • szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
  • banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
  • egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
  • ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
  • digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
  • közigazgatás
  • kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
  • világűr, űripar

Egyéb kritikus ágazat (fontos szervezetek):

  • postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
  • hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
  • vegyszerek gyártása, -előállítása és -forgalmazása
  • élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
  • meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
  • digitális szolgáltatások
  • kutatóhelyek 


Fontosabb határidők

  • 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük (a biztonsági osztályba sorolás június 30-ig nem kötelező feladat), illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség az SZTFH részére).
  • 2024. január 1-től június 30-ig az érintett szervezeteket nyilvántartásba vétele.
  • 2024. október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket.
  • 2024. október 18. és december 31. között szerződni kell egy akkreditált auditorral.
  • 2025. december 31-ig első kiberbiztonsági auditálás elvégzése.

Kötelezettségek

  • incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
  • 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
  • 1 hónapon belüli zárójelentés kötelezettség
  • információbiztonságért felelős személyt kell kijelölni
  • az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége
  • kiberbiztonság átfogó megközelítése
  • el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
  • biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
  • meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket
  • kiberhigiéniai szakpolitika biztosítása
  • kritikus incidensek azonosítása
  • érintett infrastruktúrák fejlesztése
  • informatikai biztonsági szabályzat kidolgozása (IBSZ)
  • ellátási lánc biztonságának biztosítása (közreműködők)
  • incidensekre való reagálási terv kidolgozása
  • üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
  • katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
  • titkosítási megoldások alkalmazása
  • többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
  • biztonsági kockázatértékelések elvégzése
  • biztonságos hang-, video- és szöveges kommunikáció biztosítása
  • a hálózat és a teljes rendszer monitorozása, felügyelete
  • a munkavállalók és a vezetők képzése
  • biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
  • sérülékenységi vizsgálatok elvégzése
  • nyilvántartásba vétel érdekében az adatok megküldése az SZTFH részére
  • 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
  • éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)

A management felelőssége

A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca kiberbiztonsági megfelelőségéért, azaz rajta kérheti számon a hatóság.

A büntetés mértéke

A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:

  • Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
  • Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
  • További jogkövetkezményként a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.

Ezzel az adatszolgáltatással az Európai Kiberbiztonsági Ügynökség (ENISA) létrehozza e szervezetek nyilvántartását. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a felügyeletei hatőság. 

Share