2022. december 14-én hatályba lépett a NIS2 Irányelv. Az elfogadott EU Rendelet és kihirdetett hazai rendelkezések kötelező érvényűek az érintett ágazatokban működő hazai vállalkozások és szervezetek számára.
2024. január 1-én hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet!
A NIS irányelv lényege
A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati- és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.
A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend.
Két nagyobb csoportra oszthatók az érintett szervezetek:
- Az első csoportba tartoztak az úgynevezett alapvető szolgáltatásokat nyújtó szolgáltatók: digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor szereplői
- A digitális szolgáltatásokat nyújtó szolgáltatók csoportjába kerültek a pl. az online piactér, keresőmotorok, felhő szolgáltatók.
NIS2 és főbb újdonságai
Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.
Elkerülhetetlenné vált a NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése a következők terén: biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése, valamint a jelentési kötelezettségek.
Megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.
Kibővített hatály
A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is.
Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami, közigazgatási szervezetekre, és magánkézben lévő közép és nagyvállalatokra vonatkozik.
Kiemelten kockázatos ágazatok (alapvető szerveztek):
- energetika (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
- Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
- egészségügy
- ivóvíz, szennyvíz
- hírközlési szolgáltatás
- digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
- kihelyezett IKT szolgáltatások
- űralapú szolgáltatás
Kockázatos ágazat (fontos szervezetek):
- postai és futárszolgáltatások
- élelmiszer előállítás, feldolgozás, forgalmazás
- hulladékgazdálkodás
- vegyszerek előállítása és forgalmazása
- gyártás:
– orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
– számítógépek, elektronikai és optikai termékek
– villamos berendezések gyártása
– máshova nem sorolt gépek és berendezések gyártása
– gépjárművek, pótkocsik, félpótkocsik gyártása
– egyéb szállítóeszközök gyártása
– cement- mész- és gipszgyártás - digitális szolgáltatók
- kutatás
Jelentéstételi kötelezettségek és jelentős események
A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) és a felügyeleti hatóságnak.
Egy esemény akkor tekintendő jelentősnek, ha:
- súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
- pénzügyi veszteséget okozott az érintett szervezetnek
- az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára
Kockázatkezelési és kiberbiztonsági intézkedések
A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük, amely kiterjed:
- a kockázatelemzési és információbiztonsági szabályzatokra
- üzletmenet folytonosságra
- katasztrófa utáni helyreállításra
- ellátási láncok biztonságának biztosítására
- kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
- titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
- HR biztonságra
- hitelesítési megoldásokra
- biztonságos hang-, video- és szöveges kommunikációra
- illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára
Az ügyvezetés többlet felelőssége
- A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
- Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
- Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.
Szigorodó felügyeleti szabályok
A NIS2 Irányelv alapján, az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak.
- Az alapvető szervezetekre – az irányadó rendelkezések alapján – 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírság róható ki.
- A fontos szervezetek pedig 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.
Nyilvántartásba vétel és adatmódosítás
A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.
Az űrlap kitöltésére jogosult: az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy.
Az űrlap kitöltéséhez kattintson az alábbi linkre:
https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/
A módosítást érintően: a szervezet vezetőjének gondoskodnia kell a jogszabályban és a hatóság honlapján meghatározottak szerint az adatoknak, dokumentumoknak, valamint ezek változásainak, a változást követő 15 napon belül a kiberbiztonsági hatóság részére – nyilvántartásba vétel céljából – történő megküldésérőlaz SZTFH421 nyomtatványon
Az adatváltozás bejelentésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet tartalmazza.
Hazai jogszabályok
A NIS2 irányelv hazai jogharmonizációja folyamatban van.
A jogalkotó az elmúlt időszakban az alábbi jogszabályokat alkotta meg és helyezte hatályba:
| 2024. évi LXIX. Törvény (a továbbiakban: Kiberbiztonsági tv) |
Magyarország kiberbiztonságáról |
| 418/2024 (XII.23) Kormányrendelet | Magyarország kiberbiztonságáról szóló törvény végrehajtásáról |
| 7/2024. (VI.24.) MK rendelet | A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről |
| 7/2024. (VI.24.) SZTFH rendelet | A kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről |
| 10/2024. (VIII.8.) SZTFH rendelet | Az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről |
| 1/2025. (I.31.) SZTFH rendelet | A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról |
| 2/2025. (I.31.) SZTFH rendelet | A kiberbiztonsági felügyeleti díjról |
A NIS2 bevezetésének részleteiről és kapcsolódó szolgáltatásainkról folyamatosan tájékoztatjuk partnereinket és érdeklődő olvasóinkat.
