NIS2 kisokos

január 17, 2024

NIS2 nr web hir kep v2
Majdnem minden amit a NIS2 EU direktíváról és annak 2024-es bevezetéséről tudnia kell. Cikkünket folyamatosan frissítjük!

2022. december 14-én hatályba lépett a NIS2 Irányelv. Az elfogadott EU Rendelet és kihirdetett hazai rendelkezések kötelező érvényűek az érintett ágazatokban működő hazai vállalkozások és szervezetek számára.

2024. január 1-én hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet!

A NIS irányelv lényege

A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati- és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.

A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend.

 

Két nagyobb csoportra oszthatók az érintett szervezetek:

 

  • Az első csoportba tartoztak az úgynevezett alapvető szolgáltatásokat nyújtó szolgáltatók: digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor szereplői
  • A digitális szolgáltatásokat nyújtó szolgáltatók csoportjába kerültek a pl. az online piactér, keresőmotorok, felhő szolgáltatók.

 

NIS2 és főbb újdonságai

Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.

 

Elkerülhetetlenné vált a NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése a következők terén: biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése, valamint a jelentési kötelezettségek.

 

Megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.

Kibővített hatály

 

A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is.

 

Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami, közigazgatási szervezetekre, és magánkézben lévő közép és nagyvállalatokra vonatkozik.

Kiemelten kockázatos ágazatok (alapvető szerveztek):

  • energetika (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
  • Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
  • egészségügy
  • ivóvíz, szennyvíz
  • hírközlési szolgáltatás
  • digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
  • kihelyezett IKT szolgáltatások
  • űralapú szolgáltatás

Kockázatos ágazat (fontos szervezetek):

  • postai és futárszolgáltatások
  • élelmiszer előállítás, feldolgozás, forgalmazás
  • hulladékgazdálkodás
  • vegyszerek előállítása és forgalmazása
  • gyártás:
    – orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
    – számítógépek, elektronikai és optikai termékek
    – villamos berendezések gyártása
    – máshova nem sorolt gépek és berendezések gyártása
    – gépjárművek, pótkocsik, félpótkocsik gyártása
    – egyéb szállítóeszközök gyártása
    – cement- mész- és gipszgyártás
  • digitális szolgáltatók
  • kutatás

Jelentéstételi kötelezettségek és jelentős események

 

A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) és a felügyeleti hatóságnak.

 

Egy esemény akkor tekintendő jelentősnek, ha:

  • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
  • pénzügyi veszteséget okozott az érintett szervezetnek
  • az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára

      Kockázatkezelési és kiberbiztonsági intézkedések

       

      A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük, amely kiterjed:

      • a kockázatelemzési és információbiztonsági szabályzatokra
      • üzletmenet folytonosságra
      • katasztrófa utáni helyreállításra
      • ellátási láncok biztonságának biztosítására
      • kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
      • titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
      • HR biztonságra
      • hitelesítési megoldásokra
      • biztonságos hang-, video- és szöveges kommunikációra
      • illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára

      Az ügyvezetés többlet felelőssége

      • A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
      • Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
      • Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.

          Szigorodó felügyeleti szabályok


          A NIS2 Irányelv alapján, az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak.

          • Az alapvető szervezetekre – az irányadó rendelkezések alapján – 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírság róható ki.
          • A fontos szervezetek pedig 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.


          Nyilvántartásba vétel és adatmódosítás


          A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.


          Az űrlap kitöltésére jogosult: az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy.

          Az űrlap kitöltéséhez kattintson az alábbi linkre:
          https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/

           

          A módosítást érintően: a szervezet vezetőjének gondoskodnia kell a jogszabályban és a hatóság honlapján meghatározottak szerint az adatoknak, dokumentumoknak, valamint ezek változásainak, a változást követő 15 napon belül a kiberbiztonsági hatóság részére – nyilvántartásba vétel céljából – történő megküldésérőlaz SZTFH421 nyomtatványon

           

          Az adatváltozás bejelentésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet tartalmazza.


          Hazai jogszabályok


          A NIS2 irányelv hazai jogharmonizációja folyamatban van.
          A jogalkotó az elmúlt időszakban az alábbi jogszabályokat alkotta meg és helyezte hatályba:

          2024. évi LXIX. Törvény
          (a továbbiakban: Kiberbiztonsági tv)
          Magyarország kiberbiztonságáról
          418/2024 (XII.23) Kormányrendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról
          7/2024. (VI.24.) MK rendelet A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
          7/2024. (VI.24.) SZTFH rendelet A kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
          10/2024. (VIII.8.) SZTFH rendelet Az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről
          1/2025. (I.31.) SZTFH rendelet A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
          2/2025. (I.31.) SZTFH rendelet A kiberbiztonsági felügyeleti díjról
             
            A NIS2 bevezetésének részleteiről és kapcsolódó szolgáltatásainkról folyamatosan tájékoztatjuk partnereinket és érdeklődő olvasóinkat.

             

             

            Kérje ajánlatunkat!

            NIS2 nr web hir kep v2

            NIS2 kisokos

            január 17, 2024

            Majdnem minden amit a NIS2 EU direktíváról és annak 2024-es bevezetéséről tudnia kell. Cikkünket folyamatosan frissítjük!

            2022. december 14-én hatályba lépett a NIS2 Irányelv. Az elfogadott EU Rendelet és kihirdetett hazai rendelkezések kötelező érvényűek az érintett ágazatokban működő hazai vállalkozások és szervezetek számára.

            2024. január 1-én hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet!

            A NIS irányelv lényege

            A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati- és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.

            A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend.

             

            Két nagyobb csoportra oszthatók az érintett szervezetek:

             

            • Az első csoportba tartoztak az úgynevezett alapvető szolgáltatásokat nyújtó szolgáltatók: digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor szereplői
            • A digitális szolgáltatásokat nyújtó szolgáltatók csoportjába kerültek a pl. az online piactér, keresőmotorok, felhő szolgáltatók.

             

            NIS2 és főbb újdonságai

            Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül.

             

            Elkerülhetetlenné vált a NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése a következők terén: biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése, valamint a jelentési kötelezettségek.

             

            Megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.

            Kibővített hatály

             

            A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is.

             

            Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami, közigazgatási szervezetekre, és magánkézben lévő közép és nagyvállalatokra vonatkozik.

            Kiemelten kockázatos ágazatok (alapvető szerveztek):

            • energetika (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
            • Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
            • egészségügy
            • ivóvíz, szennyvíz
            • hírközlési szolgáltatás
            • digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
            • kihelyezett IKT szolgáltatások
            • űralapú szolgáltatás

            Kockázatos ágazat (fontos szervezetek):

            • postai és futárszolgáltatások
            • élelmiszer előállítás, feldolgozás, forgalmazás
            • hulladékgazdálkodás
            • vegyszerek előállítása és forgalmazása
            • gyártás:
              – orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
              – számítógépek, elektronikai és optikai termékek
              – villamos berendezések gyártása
              – máshova nem sorolt gépek és berendezések gyártása
              – gépjárművek, pótkocsik, félpótkocsik gyártása
              – egyéb szállítóeszközök gyártása
              – cement- mész- és gipszgyártás
            • digitális szolgáltatók
            • kutatás

            Jelentéstételi kötelezettségek és jelentős események

             

            A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) és a felügyeleti hatóságnak.

             

            Egy esemény akkor tekintendő jelentősnek, ha:

            • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
            • pénzügyi veszteséget okozott az érintett szervezetnek
            • az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára

                Kockázatkezelési és kiberbiztonsági intézkedések

                 

                A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük, amely kiterjed:

                • a kockázatelemzési és információbiztonsági szabályzatokra
                • üzletmenet folytonosságra
                • katasztrófa utáni helyreállításra
                • ellátási láncok biztonságának biztosítására
                • kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
                • titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
                • HR biztonságra
                • hitelesítési megoldásokra
                • biztonságos hang-, video- és szöveges kommunikációra
                • illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára

                Az ügyvezetés többlet felelőssége

                • A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
                • Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
                • Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.

                    Szigorodó felügyeleti szabályok


                    A NIS2 Irányelv alapján, az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak.

                    • Az alapvető szervezetekre – az irányadó rendelkezések alapján – 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírság róható ki.
                    • A fontos szervezetek pedig 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.


                    Nyilvántartásba vétel és adatmódosítás


                    A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.


                    Az űrlap kitöltésére jogosult: az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy.

                    Az űrlap kitöltéséhez kattintson az alábbi linkre:
                    https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/

                     

                    A módosítást érintően: a szervezet vezetőjének gondoskodnia kell a jogszabályban és a hatóság honlapján meghatározottak szerint az adatoknak, dokumentumoknak, valamint ezek változásainak, a változást követő 15 napon belül a kiberbiztonsági hatóság részére – nyilvántartásba vétel céljából – történő megküldésérőlaz SZTFH421 nyomtatványon

                     

                    Az adatváltozás bejelentésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet tartalmazza.


                    Hazai jogszabályok


                    A NIS2 irányelv hazai jogharmonizációja folyamatban van.
                    A jogalkotó az elmúlt időszakban az alábbi jogszabályokat alkotta meg és helyezte hatályba:

                    2024. évi LXIX. Törvény
                    (a továbbiakban: Kiberbiztonsági tv)
                    Magyarország kiberbiztonságáról
                    418/2024 (XII.23) Kormányrendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról
                    7/2024. (VI.24.) MK rendelet A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
                    7/2024. (VI.24.) SZTFH rendelet A kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
                    10/2024. (VIII.8.) SZTFH rendelet Az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről
                    1/2025. (I.31.) SZTFH rendelet A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
                    2/2025. (I.31.) SZTFH rendelet A kiberbiztonsági felügyeleti díjról
                       
                      A NIS2 bevezetésének részleteiről és kapcsolódó szolgáltatásainkról folyamatosan tájékoztatjuk partnereinket és érdeklődő olvasóinkat.

                       

                       

                      Kérje ajánlatunkat!