NIS2 tájékoztató

Mi is a NIS2?

A NIS mozaikszó az angol Network and Information Security Directive kifejezésből ered. Ez, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító direktíva 2016-ban jelent meg (2016/1148), majd 2022-ben helyezte hatályon kívül a felülvizsgált, továbbfejlesztett változata – a 2022/2555 (EU) irányelv.

Erre az irányelvre szokás NIS2-ként hivatkozni, mely meghatározott entitásokra fogalmaz meg elvárásokat az Unió egész területén egységesen, magas szintű kiberbiztonságot biztosító intézkedések bevezetését előírva. Hazánkban a NIS2 követelményeinek való megfelelést a 2023. évi XXIII. Törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza, melyet a Szabályozott Tevékenységek Felügyeleti Hatóságának rendeletei egészítenek ki.

Kiket érint a NIS2?

A 2023. évi XXIII. törvény iparág és méret szerint differenciál. Mikro-, és kisvállalkozásokra (jelenleg 50 fő alatti létszám és 10 millió Euró alatti árbevétel) kizárólag akkor vonatkozik a törvény, ha tevékenységi köre:

(1) elektronikus hírközlési szolgáltató
(2) bizalmi szolgáltató
(3) DNS-szolgáltatást nyújtó szolgáltató
(4) legfelső szintű domainnév-nyilvántartó vagy
(5) domainnév-regisztrációt végző szolgáltató.

Amennyiben az érintett vállalat, szolgáltató nem mikro- , vagy kisvállalkozás, és az alábbi kritikus ágazatok valamelyikében működik, úgy kötelező a NIS2-nek való megfelelés:

"Kiemelten kritikus" ágazatnak minősülnek az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása, közigazgatás, illetve űripari ágazatok.

"Egyéb kritikus" besorolásba esnek a postai és futárszolgáltatások, hulladékgazdálkodás, vegyszerek gyártása, előállítása és forgalmazása, élelmiszer-termelés, -feldolgozás és -forgalmazás, gyártás; a digitális szolgáltatások, valamint a kutatás.

Az érintett vállalatoknak meghatározott szolgáltatásokat nyújtó közreműködők szintén a törvény hatálya alá tartoznak!

Mi az elvárás az érintett szervezetekkel szemben?

A NIS2, illetve a releváns hazai szabályozás információbiztonsági elvárásokat fogalmaz meg a szervezetekkel szemben, akiknek egy kockázatokkal arányos információbiztonsági irányítási keretrendszert kell létrehozniuk és működtetniük.

A megfelelést 2 évente független auditor által elvégzett ellenőrzés biztosítja.

Milyen következményekkel járhat a nemteljesítés?

  • Figyelmeztetés
  • Pénzbírság (maximum 10 millió euro, vagy a teljes éves forgalom 2%-a)
  • A szervezet ügyfeleinek tájékoztatása a nem megfelelőségről
  • Az érintett tevékenységtől való eltiltás


Határidők

Szolgáltatásaink

Nehézség helyett lehetőség! Célunk, hogy ügyfeleink a szabályozói kötelezettségek teljesítése mellett valós értéket kapjanak, információs rendszereik védelmének fokozásával erősítsék piaci pozíciójukat.

Kapcsolatba lépnél velünk?