Elemzések
NIS2
Az EU kiberbiztonsági követelményei
Mi az a NIS2?
A NIS2 egy Európai Uniós szintű kiberbiztonsági irányelv, amelynek célja, hogy a tagállamok egységes, magas szintű kiberbiztonsági érettséget érjenek el. A direktíva további célkitűzése, hogy a kritikus szektorokban működő és szolgáltatásokat nyújtó köz- és magánszereplők ellenálló képességét növelje és incidenskezelési kapacitását bővítse.
Az elvárások gyűjteményét az EU 2022/2555 számú irányelveként fogadták el és 2023-ban lépett hatályba. Fontos, hogy a NIS2 direktíva, tehát nem közvetlenül hatályos, hanem minden tagállamnak el kell végeznie a lokális törvényalkotási munkát. Magyarországon a NIS2 követelményeinek való megfelelést a 2023. évi XXIII. Törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza.
NIS2 felkészítés
Kiket érint?
A NIS2 direktíva és a 2023. évi XXIII. törvény széles körben határozza meg a hatálya alá tartozó iparágakat. Olyan iparágakat von hatálya alá, amelyek szereplőinek eddig törvényi megfelelőségi okokból nem kellett ennyire hangsúlyosan információbiztonsággal foglalkozniuk.
Kritikussági szint szerint két kategóriába sorolhatóak az érintett szervezetek:
- A „Kiemelten kritikus” kategóriába tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.
- A törvény az „Egyéb kritikus” ágazatok kategóriába sorolja a postai és futárszolgáltatásokat, hulladékgazdálkodást, vegyszerek gyártását, előállítását és forgalmazását, élelmiszer-termelését, -feldolgozását és -forgalmazását, gyártást, a digitális szolgáltatókat, valamint a kutatást.
Fontosabb mérföldkövek
A NIS2 direktíva 2023. január 03-án lépett hatályba, a 2023. XXIII. törvényt 2023. május 23-án hirdették ki.
A 2023. XXIII. törvénynek való megfelelés határideje 2024. október 28., melynek ellenőrzését, és nem megfelelősség esetén a szankcionálást a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) fogja végezni.
- Amennyiben az adott szervezet úgy ítéli meg, hogy a Kibertan. Tv., hatálya alá tartozik, legkésőbb 2024. június 30-ig nyilvántartásba kell venniük magukat a 23/2023. (XII. 19.) SZTFH rendelet alapján. A nyilvántartási kérelem az SZTFH honlapján elérhető űrlap kitöltésével, cégkapun keresztül egyszerűen végrehajtható.
- 2024. október 18-ig kell kialakítani egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert.
- Legkésőbb 2024. október 18-ig, vagy a nyilvántartásba vételt követő 120 napon belül auditori szerződéssel kell rendelkezzen az érintett szervezet.
- A független audit lefolytatására 2025. december 31-ig van lehetősége a vállalatoknak.
Mit kell tenni?
A NIS2 és a Kibertan. Tv. Alapvetően információbiztonsági elvárásokat fogalmaz meg a szervezetekkel szemben. Leegyszerűsítve, egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert kell létrehozni és működtetni. A törvénynek való megfelelést kétévente független féllel kell auditáltatni. Az audit abban az esetben is kötelező, ha az érintett szervezet már rendelkezik iparági tanúsítványokkal (pl. TISAX, ISO27001) vagy más auditokkal (pl. SOC2). Bár az audit nem kiváltható, a meglévő tanúsítványok minden bizonnyal segítségre lesznek a felkészülés és a jövőbeli NIS2 auditok során.
Miért kulcsfontoságú a megfelelés?
Az irányelv a hatálya alá tartozó szektorokkal szemben célzott intézkedéseket vár el a kiberbiztonsági megerősítésére és az információvédelem javítására. Ezzel csökkenthetők a kiberfenyegetések, támadások és a digitális bűnözés kockázatai, valamint minimalizálhatók a működéskiesések és a támadások által okozott gazdasági és társadalmi károk.
Azon szervezetek számára, akik nem felelnek meg az elvárásoknak, a NIS2 irányelv és a 2023. évi XXIII. törvény büntetési tételeket is megfogalmaz:
- Kiemelten Kritikus szervezetek esetén maximum 10.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 2%-a
- Kritikus szervezetek esetén maximum 7.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 1,4%-a
Az elvárások nem teljesítése esetén a kiszabott bírságok újból kiszabhatóak. A pontos, hazai büntetési tételek egyelőre nem ismertek részleteiben, ezeket várhatóan miniszteri rendelet szabályozza majd.
Hogyan tud segíteni a Deloitte?
A Deloitte szakértői széles iparági és szakmai tudásukkal támogatják a szervezetek kiberbiztonsági ellenállóképességének felmérését, javítását, a megfelelőség biztosítását. Átfogó szolgáltatást nyújtunk az eltéréselemzéstől a megvalósításig. Bevált eszközökkel és módszertanokkal segítjük ügyfeleinket a NIS2 felkészítésben: