2022. december 14-én hatályba lépett a NIS2 Irányelv. Az EU tagállamainak 2024. október 17-ig át kell ültetniük a saját jogrendszerükbe. Az elfogadott EU Rendelet és kihirdetett hazai rendelkezések kötelező érvényűek az érintett ágazatokban működő hazai vállalkozások és szervezetek számára.

2024. január 1-én hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet!

A NIS irányelv lényege

A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati- és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.

A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend.

Két nagyobb csoportra oszthatók az érintett szervezetek:

• Az első csoportba tartoztak az úgynevezett alapvető szolgáltatásokat nyújtó szolgáltatók: digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor szereplői

• A digitális szolgáltatásokat nyújtó szolgáltatók csoportjába kerültek a pl. az online piactér, keresőmotorok, felhő szolgáltatók.

NIS2 és főbb újdonságai

Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.

Elkerülhetetlenné vált a NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése a következők terén: biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése, valamint a jelentési kötelezettségek.

Megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.

Kibővített hatály

A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is.

Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami, közigazgatási szervezetekre, és magánkézben lévő közép és nagyvállalatokra vonatkozik.

Kiemelten kockázatos ágazatok (alapvető szerveztek):

Kockázatos ágazat (fontos szervezetek):

• postai és futárszolgáltatások
• élelmiszer előállítás, feldolgozás, forgalmazás
• hulladékgazdálkodás
• vegyszerek előállítása és forgalmazása
• gyártás:
  – orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
  – számítógépek, elektronikai és optikai termékek
  – villamos berendezések gyártása
  – máshova nem sorolt gépek és berendezések gyártása
  – gépjárművek, pótkocsik, félpótkocsik gyártása
  – egyéb szállítóeszközök gyártása
  – cement- mész- és gipszgyártás
• digitális szolgáltatók
• kutatás

Jelentéstételi kötelezettségek és jelentős események

A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) és a felügyeleti hatóságnak.

Egy esemény akkor tekintendő jelentősnek, ha:

• súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
• pénzügyi veszteséget okozott az érintett szervezetnek
• az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára

Kockázatkezelési és kiberbiztonsági intézkedések

A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük, amely kiterjed

• a kockázatelemzési és információbiztonsági szabályzatokra
• üzletmenet folytonosságra
• katasztrófa utáni helyreállításra
• ellátási láncok biztonságának biztosítására
• kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
• titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
• HR biztonságra
• hitelesítési megoldásokra
• biztonságos hang-, video- és szöveges kommunikációra
• illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára

Az ügyvezetés többlet felelőssége

• A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
• Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
• Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.

Szigorodó felügyeleti szabályok

A NIS2 Irányelv alapján, az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak.

• Az alapvető szervezetekre – az irányadó rendelkezések alapján – 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírság róható ki.
• A fontos szervezetek pedig 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.

Fontosabb időpontok

A Kiberbiztonsági tv. értelmében az alábbi főbb kötelezettségek vonatkoznak azon szolgáltatók és szervezetekre, amelyek elektronikus információs rendszerek kiberbiztonsági felügyeletét az SZTFH látja el:

• Nyilvántartásba vételi kötelezettség:
  Határidő: a szervezet működésének megkezdését követő vagy az e törvény hatálya alá kerülést követő 30 napon belül.
• Elektronikus információs rendszerek biztonsági osztályba sorolása és a védelmi intézkedések alkalmazása
• Felügyeleti díj fizetési kötelezettség
  Határidő: SZTFH elnökének 2/2025. (I.31.) SZTFH rendelete a kiberbiztonsági felügyeleti díjról.
• Auditorral megállapodás kötése az audit elvégzésére
  Határidő: Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény hatálybalépését követő nyilvántartásba vétel esetén, a nyilvántartásba vételtől számított 120 napon belül. 
• Első kiberbiztonsági audit elvégzése
  Határidő: Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény hatálybalépését követő nyilvántartásba vétel esetén, a szervezet nyilvántartásba vételét követő két éven belül szükséges elvégeztetni.
  Amennyiben 2025. január 1-je előtt megkezdte működését a szervezet, az első kiberbiztonsági audit elvégzésének határideje 2025. december 31.

Nyilvántartásba vétel és adatmódosítás

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.

Az űrlap kitöltésére jogosult: az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy.

Az űrlap kitöltéséhez kattintson az alábbi linkre:
https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/

A módosítást érintően: a szervezet vezetőjének gondoskodnia kell a jogszabályban és a hatóság honlapján meghatározottak szerint az adatoknak, dokumentumoknak, valamint ezek változásainak, a változást követő 15 napon belül a kiberbiztonsági hatóság részére – nyilvántartásba vétel céljából – történő megküldésérőlaz SZTFH421 nyomtatványon

Az adatváltozás bejelentésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet tartalmazza.

Hazai jogszabályok

A NIS2 irányelv hazai jogharmonizációja folyamatban van.
A jogalkotó az elmúlt időszakban az alábbi jogszabályokat alkotta meg és helyezte hatályba:

• 7/2024. (VI.24) MK rendelet: a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
• 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv).: Magyarország kiberbiztonságáról
• 418/2024 (XII.23) Kormányrendelet: Magyarország kiberbiztonságáról szóló törvény végrehajtásáról
• 1/2025 (I.31.) SZTFH rendelet: a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
• 2/2025. (I.31) SZTF rendelet: a kiberbiztonsági felügyeleti díjról
  
  

A NIS2 bevezetésének részleteiről és kapcsolódó szolgáltatásainkról folyamatosan tájékoztatjuk partnereinket és érdeklődő olvasóinkat.

Kérje ajánlatunkat!