Érinti a cégemet a NIS2 szabályozás?

Infografika

Kattintásra megjelenik a kép nagyobb változata ~3MB.

Hatásköri segédlet

Az alábbi segédlet annak eldöntésében segíti Önt, hogy a hatályos és a hamarosan hatályba lévő szabályozások alapján érinti-e az Ön szervezetét a NIS2 hazai átültetése kapcsán valamely jogszabály, és a megfelelés tekintetében, mely hatósággal kell felvennie a kapcsolatot. Ehhez az alábbi kérdésekre érdemes keresni a választ.

El kell végeznie a bejelentkezést a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ennek részleteiről itt tájékozódhat:

FAQ

A 2016-ban életbe lépő Network and Information Systems (NIS) Directive a kritikus nemzeti infrastruktúrákba tartozó szervezetek számára írt elő biztonsági és jelentési kötelezettségeket az Európai Unión belül. A NIS 2 irányelv lépést tart a folyamatosan változó kiberbiztonsági fenyegetésekkel, és célul tűzte ki a kiberbiztonság további javítását az EU-ban. Az irányelv nevesíti azokat a szektorokat, mint például az energia-, víz-, közlekedési- és egészségügyi szektort, amelyek kritikus fontosságúak, és kitágítja az ezekben a szektorokban tevékenykedő cégekre is a kiberbiztonsági incidensek bejelentési és kezelési kötelezettségét, és célzott kiberbiztonsági intézkedéseket követel meg. A NIS2 az eddigieknél szigorúbb bírságokat és büntetéseket helyez kilátásba a szabályokat be nem tartó érintettekkel szemben.

Olyan közép és nagyvállaltokra akik az alábbi szektorok valamelyikében tevékenykednek, és több mint 50 főt foglalkoztatnak, valamit 10 millió eurónál nagyobb az éves árbevételük.

A szabályokat nem kell alkalmazni a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozásokra, kivéve, ha az érintett szervezet elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltatást nyújtó szolgáltató, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltató (rájuk viszont méretkorlát nélkül érvényes a szabályozás).

Az érintett szektorok, NIS2 kötelezettek:

  • Közigazgatás
  • Energetika (villamos energia, távfűtés, hűtés, kőolaj, földgáz, hidrogén)
  • Közlekedés (légi-, vasúti-, közúti-, vízi-, és tömegközlekedés)
  • Egészségügy
  • Ivóvíz, szennyvíz
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra
  • Kihelyezett IKT szolgáltatások
  • Űralapú szolgáltatás
  • Postai és futárszolgálatok
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek előállítása és forgalmazása
  • Gyártás
  • Digitális szolgáltatók (pl. Online piactér, keresőszolgáltató, domain szolgáltató)
  • Kutatás
  • Pénzügyi szektor
  • (Honvédelmi szektor)
  • A szervezetek és a rendszerek vonatkozásában az életciklusuk egészében sokkal szélesebb körben kell kockázatarányos védelmi intézkedéseket megvalósítani, mint eddig.
  • A védelmi intézkedéseket a szervezet egészére és az elektronikus információs rendszerek (pl. levelező rendszer, webszerver, adattároló szakrendszer) tekintetében kell megvalósítani.
  • Kiemelt feladat továbbá az incidensek megelőzése, kezelése, hatásának csökkentése, olyan intézkedések bevezetése, melyek ezt a célt szolgálják.
  • A NIS2 kiterjeszti az incidensbejelentési kötelezettséget a teljes fent felsorolt ügyfélkör tekintetében.
  • Az ügyfelekről és a rendszereikről nyilvántartást kell vezetni a hatóságoknak.
  • A kockázatarányos védelmi intézkedéseket a hatóságok meghatározott időközönként ellenőrzik, vagy szervezetek harmadik felet bíznak meg ezzel.
  • A vezetők az alábbi feladatok előtt állnak:
    • Biztonságért felelős személyt kell kijelölni
    • Szervezeti szabályozásokat el kell végezni
    • Tudatosító oktatásokat kell tartani és a tudást szinten kell tartani
  • A fenyegetésekkel és sérülékenységekkel kapcsolatos információk megosztásának ösztönzése szintén lényegese eleme a szabályozásnak, melynek célja a reakcióképesség szervezetek közötti javítása.
  • A honvédelmi szektor tekintetében a Katonai Nemzetbiztonsági Szolgálat látja el az incidenskoordinációs feladatot.
  • Az összes többi szektor esetében elsősorban Nemzetbiztonsági Szakszolgálat (Nemzeti Kibervédelmi Intézet) keretén belül működő nemzeti CSIRT részére kell bejelenteni az incidenst.
  • A jelenlegi tervezet alapján a közigazgatási szektor valamint kritikus infrastruktúraként az BM-Országos Katasztrófavédelmi Főigazgatóság által hivatalosan kijelölt szervezetek a kritikus tevékenységekben közreműködő rendszerei esetében esetén a Nemzetbiztonsági Szakszolgálat (Nemzeti Kibervédelmi Intézet), itt a jelenleg is szövegezés alatt álló új Kiberbiztonságról szóló törvény (Új Ibtv.) rendelkezésinek és kapcsolódó rendeleteknek kell majd megfelelni.
  • A pénzügyi szektor esetében a Magyar Nemzeti Bank a hatóság, ahol az EU önálló szektorspecifikus rendeletet alkotott (DORA). Jelen dokumentum a pénzügyi szektorra vonatkozó kérdésekkel, annak specialitása miatt nem foglalkozik.
  • A honvédelmi szektor tekintetében a Katonai Nemzetbiztonsági Szolgálat a hatóság, ahol az új Ibtv rendelkezésinek kell majd megfelelni.
  • Az összes többi szektor esetében a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) került hatóságként kijelölésre, a szektorokra a 2023. évi XXIII. a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvény valamint egyéb rendeletek rendelkezési vonatkoznak (Kibertantv.)
  • A hatálya alá tartozó ügyfelek esetén a jelenlegi jogszabályi környezet alapján képzettséghez és kompetenciához nem kötött a szerepkör
  • Az új Ibtv. tervezete szerint a szerepkör releváns kompetenciához és tapasztalathoz kötött.
  • A hatálya alá tartozó ügyfelek esetén kérelmet kell benyújtani az SZTFH felé a nyilvántartásba vételről, meg kell kezdeniük a fent is részletezett elvárásoknak való megfelelést (pl, rendszerek felmérése, védelmi intézkedések meghatározása, felelős kijelölése, auditra való felkészülés és az audit ütemezése, felügyeleti díj kifizetése stb.)
  • Az új Ibtv. tervezete alapján az ügyfélkörnek folytatni kell a már korábban megkezdett tevékenységet: felül kell vizsgálni a rendszerek besorolását (biztonsági igények megállapítását, osztályba sorolását), és a rendszerek esetében meg kell majd valósítani az új kontrollokat.

A Kibertantv. és az új Ibtv közös követelményrendszert fog meghatározni miniszteri rendelet formájában, amely a jelenleg hatályos 41/2015-ös BM rendeletet hivatott leváltani. Az új követelményrendszer az NIST 800-53 rev. 5 hazai viszonyokra történő adaptációja, a korábbi rendelet egyszerűsítése, a jelenlegi kontrollcsalád frissítése, aktualizálása. Annak a szervezetnek, aki korábban már a 41/2015-ös BM rendeletnek való megfeleléssel foglalkozott (pl. az új Ibtv. hatálya alá tartozó szervezetek döntő többsége), jelentősen egyszerűbb feladata lesz az új kontrollok megállapítása tekintetében, mint annak a szereplőnek, aki most kerül a szabályozás hatálya alá.

  • A ügyfeleinek a fenti követelményeknek 2024 október 18-tól meg kell felelniük.
  • Az új Ibtv. ügyfeleinek a tervek szerint 2024 október 18-tól a jelenlegi elvárásrendszerről fokozatosan kell áttérni az új elvárásrendszerre.
  • Az új Ibtv. ügyfeleinek a védelmi intézkedések megvalósítására kell költségeket allokálni, tehát a szervezet és a rendszerek biztonságosabbá tételéhez szükséges erőforrásszükséglet merül fel (pl. apparátus finanszírozása, tűzfalak bevezetése-üzemeltetése, szoftverek biztonsági célú frissítésének esetleges költsége, többfaktoros autentikáció bevezetése, ahol ez szükséges). A költségek többek között függenek a szervezet és a rendszerek feladataitól és komplexitásától (pl. különleges személyes adatokat tömegesen kezelő rendszer biztonságának kialakítása és fenntartása nagyobb költséggel jár, mint egy tájékoztatási célú statikus weboldalé).
  • A ügyfelei részére a fentieken túl az alábbi költségelemekkel kell számolni:
    • Felügyeleti díj (jelenlegi tudomásunk szerint előző évi árbevétel max 0,015 %-a, de max. 10M Ft.)
    • A rendszerek biztonsági célú ellenőrzés, auditálás, valamint az arra történő felkészülés költsége
  • A ügyfelei esetén kétévente az SZTFH által vezetett auditori jegyzékben szereplő szervezetek végzik el az ellenőrzési tevékenységet.
  • Az új ügyfelek esetén az ellenőrzést a hatóság saját apparátussal oldja meg, ezért az ellenőrzésekre kapacitás függvényében, kockázatértékelést követően rendszeres időközönként (legfeljebb 2-3 évenként) kerül sor.

Jelenleg a jogszabályokban nem látszik az, hogy a NIS2-ben meghatározott szankciók alól mentesülne az erre hivatkozó ügyfél. A NIS2 alapján a bírság összegének maximuma a kiemelten kockázatos ügyfelek esetén legalább 10 000 000 EUR, és legalább éves árbevétel 2%-a.