NIS2 tájékoztató
Mi is a NIS2?
A NIS mozaikszó az angol Network and Information Security Directive kifejezésből ered. Ez, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító direktíva 2016-ban jelent meg (2016/1148), majd 2022-ben helyezte hatályon kívül a felülvizsgált, továbbfejlesztett változata – a 2022/2555 (EU) irányelv.
Erre az irányelvre szokás NIS2-ként hivatkozni, mely meghatározott entitásokra fogalmaz meg elvárásokat az Unió egész területén egységesen, magas szintű kiberbiztonságot biztosító intézkedések bevezetését előírva. Hazánkban a NIS2 követelményeinek való megfelelést a 2023. évi XXIII. Törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza, melyet a Szabályozott Tevékenységek Felügyeleti Hatóságának rendeletei egészítenek ki.
Kiket érint a NIS2?
A 2023. évi XXIII. törvény iparág és méret szerint differenciál. Mikro-, és kisvállalkozásokra (jelenleg 50 fő alatti létszám és 10 millió Euró alatti árbevétel) kizárólag akkor vonatkozik a törvény, ha tevékenységi köre:
(1) elektronikus hírközlési
szolgáltató
(2) bizalmi szolgáltató
(3) DNS-szolgáltatást nyújtó szolgáltató
(4) legfelső szintű domainnév-nyilvántartó vagy
(5) domainnév-regisztrációt végző szolgáltató.
Amennyiben az érintett vállalat, szolgáltató nem mikro- , vagy kisvállalkozás, és az alábbi kritikus ágazatok valamelyikében működik, úgy kötelező a NIS2-nek való megfelelés:
"Kiemelten kritikus" ágazatnak minősülnek az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása, közigazgatás, illetve űripari ágazatok.
"Egyéb kritikus" besorolásba esnek a postai és futárszolgáltatások, hulladékgazdálkodás, vegyszerek gyártása, előállítása és forgalmazása, élelmiszer-termelés, -feldolgozás és -forgalmazás, gyártás; a digitális szolgáltatások, valamint a kutatás.
Az érintett vállalatoknak meghatározott szolgáltatásokat nyújtó közreműködők szintén a törvény hatálya alá tartoznak!
Mi az elvárás az érintett szervezetekkel szemben?
A NIS2, illetve a releváns hazai szabályozás információbiztonsági elvárásokat fogalmaz meg a szervezetekkel szemben, akiknek egy kockázatokkal arányos információbiztonsági irányítási keretrendszert kell létrehozniuk és működtetniük.
A megfelelést 2 évente független auditor által elvégzett ellenőrzés biztosítja.
Milyen következményekkel járhat a nemteljesítés?
- Figyelmeztetés
- Pénzbírság (maximum 10 millió euro, vagy a teljes éves forgalom 2%-a)
- A szervezet ügyfeleinek tájékoztatása a nem megfelelőségről
- Az érintett tevékenységtől való eltiltás
Határidők
Szolgáltatásaink
Nehézség helyett lehetőség! Célunk, hogy ügyfeleink a szabályozói kötelezettségek teljesítése mellett valós értéket kapjanak, információs rendszereik védelmének fokozásával erősítsék piaci pozíciójukat.