A NIS2 irányelv az Európai Unió kiberbiztonsági szabályozása.
A NIS2 irányelv átültetése gyakorlatilag megtörtént, a biztonsági követelmények ismertek, megkezdődhet az alkalmazásuk. Az irányelvnek való megfelelés segíti az érintett szervezeteket abban, hogy felkészüljenek a kiberbiztonsági fenyegetések elleni védelemre!
NIS2 megfelelés hatékonyan, szakmai videók az EURO ONE-tól
A ‘Kérem a szakmai videókat’ gombra kattintva elfogadja az adatkezelési tájékoztatónkat, amelyet a weboldal láblécében talál.
Követelmények
Az irányelv és a hazai követelmények korszerű kiber-biztonsági kockázatkezelési intézkedések bevezetését és alkalmazását írja elő, hogy megelőzzék és mini-malizálják a kibertámadá-sok és más fenyegetések hatásait.
Ágazatok
Az irányelv hatálya az alap-vető és fontos szervezetek-re terjed ki, amelyek kiesé-se vagy fennakadása súlyos hatást gyakorol a társadal-munk működésére.
Határidők és szankció
Az irányelv 2023. január 16-án lépett hatályba, de a rendelkezéseit 2024. októ-ber 18-tól kell alkalmazni. Aki a megadott határidőre nem felel meg a szabályo-zásnak, akár több millió eurós bírságra és a tevé-kenységétől való eltiltásra is számíthat.
Követelmények
Az irányelv és a hazai követelmények korszerű kiberbiztonsági kockázatkezelési intézkedések bevezetését és alkalmazását írja elő, hogy megelőzzék és minimalizálják a kibertámadások és más fenyegetések hatásait.
Ágazatok
Az irányelv hatálya az alapvető és fontos szervezetekre terjed ki, amelyek kiesése vagy fennakadása súlyos hatást gyakorol a társadalmunk működésére.
Határidők és szankció
Az irányelv 2023. január 16-án lépett hatályba, de a rendelkezéseit 2024. október 18-tól kell alkalmazni. Aki a megadott határidőre nem felel meg a szabályozásnak, akár több millió eurós bírságra és a tevékenységétől való eltiltásra is számíthat.
A NIS2 irányelv fontos célja a kiberbiztonság és a kiberreziliencia uniós szintű fejlesztése, valamint az EU tagállamai közötti együttműködés és összehangolt fellépés elősegítése a kiberbiztonsági fenyegetések elleni védekezés terén. Az irányelv fontos szándéka, hogy megteremtse az EU tagállamainak közös minimális biztonsági szintjét.
ÁLLÁSPONTUNK SZERINT A KÖVETKEZŐ ÉVEKBEN A NIS2 IRÁNYELV A GDPR-HOZ HASONLÓ MEGHATÁROZÓ SZABÁLYOZÁS LESZ AZ INFORMÁCIÓBIZTONSÁGI TERÜLETEN ÉS PIACON.
![19199700-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/19199700-Converted-qgufp3h23l8ra705l9p34050rajx703v1p00eswfnk.png "19199700-[Converted]")
Követelmények
A NIS2 irányelvet a magyar jogba átültető Kibertantv. hatályon kívül került, helyébe a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. tv. került, illetve a 7/2024 MK rendelet és 418/2024 kormányrendelet tartalmazzák a védelmi intézkedéseket és végrehajtási eljárásokat. Azonban a hatálya alá tartozó szervezeteknek a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerek biztonságáról és továbbra is a részletes védelmi intézkedések a NIST SP 800-53 Rev.5 szabványon alapulnak.
A védelmi intézkedéseknek az alábbiakra kell kiterjedniük:
• információbiztonsági irányítás rendszerére (kockázatmenedzsment keretrendszer),
• kockázatainak feltárására és kezelésére,
• rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív,
logikai és fizikai intézkedések alkalmazására,
• biztonsági események megelőzésére, felismerésére, kezelésére, bejelentésére és
hatásainak csökkentésére,
• üzletmenet folytonosság biztosítására és
• rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére,
fejlesztésére, és üzemeltetésére,
• alkalmazandó követelmények kiterjesztésére a rendszer létrehozásában,
üzemeltetésében, karbantartásában vagy javításában közreműködőkre.
Követelmények
A NIS2 irányelvet a magyar jogba átültető Kibertantv. hatályon kívül került, helyébe a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. tv. került, illetve a 7/2024 MK rendelet és 418/2024 Kormányrendelet tartalmazzák a védelmi intézkedéseket és végrehajtási eljárásokat. Azonban a hatálya alá tartozó szervezeteknek a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerek biztonságáról és továbbra is a részletes védelmi intézkedések a NIST SP 800-53 Rev.5 szabványon alapulnak.
A védelmi intézkedéseknek az alábbiakra kell kiterjedniük:
• Általános információbiztonság
irányítás (kockázatmenedzsment
keretrendszer),
• Információbiztonsági kockázatok
kezelése,
• rendszerenként meghatározandó
biztonsági osztálynak megfelelő
adminisztratív, logikai és fizikai
intézkedések alkalmazására,
• kiberbiztonsági incidens
és üzemeltetési incidens,
• üzletmenet folytonosság
biztosítására és
• rendszerek és az ezek által használt
szoftver és hardver termékek
beszerzésére, fejlesztésére, és
üzemeltetésére,
• alkalmazandó követelmények
kiterjesztésére a rendszer
létrehozásában, üzemeltetésében,
karbantartásában vagy javításában
közreműködőkre.
A védelmi intézkedéseknek az alábbiakra kell kiterjedniük:
• Általános információbiztonság irányítás
(kockázatmenedzsment keretrendszer),
• Információbiztonsági kockázatok kezelése,
• rendszerenként meghatározandó biztonsági osztálynak
megfelelő adminisztratív, logikai és fizikai intézkedések
alkalmazására,
• kiberbiztonsági incidens és üzemeltetési incidens,
• üzletmenet folytonosság biztosítására és
• rendszerek és az ezek által használt szoftver és hardver
termékek beszerzésére, fejlesztésére, és üzemeltetésére,
• alkalmazandó követelmények kiterjesztésére a rendszer
létrehozásában, üzemeltetésében, karbantartásában vagy
javításában közreműködőkre.
A 7/2024. MK rendelet által elvárt védelmi intézkedések
Ágazatok
A NIS2 irányelv hatálya olyan állami vagy magánszervezetekre terjed ki, amelyek legalább középvállalkozásoknak minősülnek és amelyek az Unión belül nyújtják szolgáltatásaikat vagy végzik tevékenységeiket. Bizonyos tevékenységek esetén az irányelv a szervezet méretétől függetlenül minden szervezetre – tehát kisvállalkozásokra is – vonatkozik.
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:
• Energetika (villamos energia, távfűtés- és hűtés, olaj, földgáz, hidrogén)
• Közlekedés (légi-, vasúti-, vízi-, közúti- és tömegközlekedés)
• Egészségügy
• Ivóvíz, szennyvíz
• Digitális infrastruktúra
• Kihelyezett IKT szolgáltatások
• Űralapú szolgáltatás
Kockázatos ágazatokban működő szolgáltatók és szervezetek:
• Postai és futárszolgáltatások
• Élelmiszer előállítása, feldolgozása és forgalmazása
• Hulladékgazdálkodás
• Vegyszerek gyártása, előállítása és forgalmazása
• Gyártás (orvostechnikai eszközök, számítógépek, elektronikai és optikai
termékek, villamos berendezések, gépek és gépi berendezések, gépjárművek,
pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása)
• Digitális szolgáltatók (online piacterek, online keresőmotorok,
közösségimédia-szolgáltatási platform szolgáltatói)
• Kutatás (kutatóhelyek)
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:
• Energetika (villamos energia,
távfűtés- és hűtés, olaj, földgáz,
hidrogén)
• Közlekedés (légi-, vasúti-, vízi-,
közúti- és tömegközlekedés)
• Egészségügy
• Ivóvíz, szennyvíz
• Digitális infrastruktúra
• Kihelyezett IKT szolgáltatások
• Űralapú szolgáltatás
Kockázatos ágazatokban működő szolgáltatók és szervezetek:
• Postai és futárszolgáltatások
• Élelmiszer előállítása,
feldolgozása és forgalmazása
• Hulladékgazdálkodás
• Vegyszerek gyártása, előállítása
és forgalmazása
• Gyártás (orvostechnikai
eszközök, számítógépek,
elektronikai és optikai termékek,
villamos berendezések, gépek
és gépi berendezések,
gépjárművek, pótkocsik és
félpótkocsik gyártása, egyéb
szállítóeszközök gyártása)
• Digitális szolgáltatók (online
piacterek, online keresőmotorok,
közösségimédia-szolgáltatási
platform szolgáltatói)
• Kutatás (kutatóhelyek)
Határidők és szankciók
A NIS2 irányelv alapján több fontos határidőt is megszabtak a törvényhozók, amit a szabályozás hatálya alá tartozó szervezeteknek be kell tartaniuk:
A hatáskörrel rendelkező felügyeleti hatóság többféle szankciót alkalmazhat a követelményeket nem teljesítő szervezetekkel szemben:
• Szervezet figyelmeztetése
• Feltárt biztonsági hiányosságok elhárításának elrendelése
• Szervezet eltiltása a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől (a szervezet tevékenységét engedélyező vagy felügyelő hatóság
véleményének figyelembevételével)
• Bírság kiszabása (ismételhető módon)
• Szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatása az őket potenciálisan érintő fenyegetésről
• Szervezet figyelmeztetése
• Feltárt biztonsági hiányosságok elhárításának elrendelése
• Szervezet eltiltása a biztonsági követelmények teljesülését közvetlenül
veszélyeztető tevékenységtől (a szervezet tevékenységét engedélyező vagy
felügyelő hatóság véleményének figyelembevételével)
• Bírság kiszabása (ismételhető módon)
• Szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatása az őket
potenciálisan érintő fenyegetésről
• Szervezet figyelmeztetése
• Feltárt biztonsági hiányosságok
elhárításának elrendelése
• Szervezet eltiltása a biztonsági
követelmények teljesülését
közvetlenül veszélyeztető
tevékenységtől (a szervezet
tevékenységét engedélyező vagy
felügyelő hatóság véleményének
figyelembevételével)
• Bírság kiszabása (ismételhető
módon)
• Szervezet által nyújtott
szolgáltatásokat igénybe vevők
tájékoztatása az őket
potenciálisan érintő fenyegetésről
Hogyan kezdjem el felkészíteni a szervezetem a megfelelésére?
1. Szabályozás hatálya alá tartozás vizsgálata
2. Gap elemzés végrehajtása
3. Felkészülési projekt vagy program indítása, budget tervezése és az alkalmazandó védelmi intézkedések implementálása
4. Kompetencia vagy erőforrás hiánya esetén külső segítség igénybevétele
5. Best practice figyelembe vétele a védelmi intézkedések kialakítása során
Hogyan kezdjem el felkészíteni a szervezetem a megfelelésére?
1. Szabályozás hatálya alá tartozás vizsgálata
2. Gap elemzés végrehajtása
3. Felkészülési projekt vagy program indítása, budget tervezése és az
alkalmazandó védelmi intézkedések implementálása
4. Kompetencia vagy erőforrás hiánya esetén külső segítség igénybevétele
5. Best practice figyelembe vétele a védelmi intézkedések kialakítása során
Hogyan kezdjem el felkészíteni a szervezetem a megfelelésére?
1. Szabályozás hatálya alá tartozás
vizsgálata
2. Gap elemzés végrehajtása
3. Felkészülési projekt vagy
program indítása, budget
tervezése és az alkalmazandó
védelmi intézkedések
implementálása
4. Kompetencia vagy erőforrás
hiánya esetén külső segítség
igénybevétele
5. Best practice figyelembe vétele a
védelmi intézkedések kialakítása
során
Kezdje el velünk a NIS2 megfelelésre való felkészülést!
Kezdje el velünk a NIS2 megfelelésre való felkészülést!
Kezdje el velünk a NIS2 megfelelésre való felkészülést!
Az EURO ONE szakértői segítenek:
• A vállalat információbiztonsági felmérésében és kockázatelemzés végrehajtásában, valamint a feltárt hiányosságok és kockázatok
kezelésében
• A megfeleléshez szükséges dokumentációs és tanácsadási feladatok ellátásában, folyamatok kialakításában
• A megfeleléshez szükséges technikai kontrollok bevezetésében (pl. SIEM, többfaktoros hitelesítés, hálózati eszközök integrációja)
• A kijelölt információbiztonsági felelős szakmai támogatásában
Az EURO ONE szakértői segítenek:
• A vállalat információbiztonsági felmérésében és kockázatelemzés
végrehajtásában, valamint a feltárt hiányosságok és kockázatok kezelésében
• A megfeleléshez szükséges dokumentációs és tanácsadási feladatok
ellátásában, folyamatok kialakításában
• A megfeleléshez szükséges technikai kontrollok bevezetésében (pl. SIEM,
többfaktoros hitelesítés, hálózati eszközök integrációja)
• A kijelölt információbiztonsági felelős szakmai támogatásában
Az EURO ONE szakértői segítenek:
• A vállalat információbiztonsági
felmérésében és kockázatelemzés
végrehajtásában, valamint a
feltárt hiányosságok és
kockázatok kezelésében
• A megfeleléshez szükséges
dokumentációs és tanácsadási
feladatok ellátásában, folyamatok
kialakításában
• A megfeleléshez szükséges
technikai kontrollok
bevezetésében (pl. SIEM,
többfaktoros hitelesítés, hálózati
eszközök integrációja)
• A kijelölt információbiztonsági
felelős szakmai támogatásában
Megoldásaink, amelyek segítenek megfelelni az irányelvnek
• Biztonságos hálózati infrastruktúra
kialakítása és üzemeltetése
• Többfaktoros hitelesítési
megoldások kialakítása és
üzemeltetése
• SIEM és SOAR megoldások
telepítése és üzemeltetése, SIEM
use case-k és SOAR playbook-ok
kialakítása
• Menedzselt SOC szolgáltatás
• Biztonsági incidensek kezelésének
támogatása
• Sérülékenységvizsgálatok és
behatolási tesztek végrehajtása,
Red-, Blue és Purple Teaming
gyakorlatok
• Cyber Threat Intelligence és Threat
Hunting szolgáltatások
• Kiberbiztonsági oktatások
• DR site IT infrastruktúra kialakítása
• IT és OT Információbiztonsági
felmérése (gap assessment, üzleti
hatáselemzés, kockázatelemzés)
• IT és OT Információbiztonsági
szabályozása és folyamatok
kialakítása
• Közreműködés a feltárt
hiányosságok és kockázatok
kezelésében
• Üzletmenet-folytonossági tervek
(BCP), Katasztrófa utáni helyreállítási
tervek (DRP) kialakítása
• Kijelölt információbiztonsági felelős
szakmai támogatása
Megoldásaink, amelyek segítenek megfelelni az irányelvnek
• Biztonságos hálózati infrastruktúra kialakítása és üzemeltetése
• Többfaktoros hitelesítési megoldások kialakítása és üzemeltetése
• SIEM és SOAR megoldások telepítése és üzemeltetése, SIEM use case-k és SOAR
playbook-ok kialakítása
• Menedzselt SOC szolgáltatás
• Biztonsági incidensek kezelésének támogatása
• Sérülékenységvizsgálatok és behatolási tesztek végrehajtása, Red-, Blue és Purple
Teaming gyakorlatok
• Cyber Threat Intelligence és Threat Hunting szolgáltatások
• Kiberbiztonsági oktatások
• DR site IT infrastruktúra kialakítása
• Teljes körű GRC szolgáltatás (GAP elemzések, üzleti hatáselemzések,
kockázatelemzés, folyamatok kialakítása)
• Kiszervezett Informatikai Biztonsági Felelős (IBF) feladatok ellátása,
felelős szakmai támogatás
Megoldásaink, amelyek segítenek megfelelni az irányelvnek
• Biztonságos hálózati infrastruktúra kialakítása és üzemeltetése
• Többfaktoros hitelesítési megoldások kialakítása és üzemeltetése
• SIEM és SOAR megoldások telepítése és üzemeltetése, SIEM use case-k és SOAR playbook-ok kialakítása
• Menedzselt SOC szolgáltatás
• Biztonsági incidensek kezelésének támogatása
• Sérülékenységvizsgálatok és behatolási tesztek végrehajtása, Red-, Blue és Purple Teaming gyakorlatok
• Cyber Threat Intelligence és Threat Hunting szolgáltatások
• Kiberbiztonsági oktatások
• DR site IT infrastruktúra kialakítása
• Teljes körű GRC szolgáltatás (GAP elemzések, üzleti hatáselemzések, kockázatelemzés, folyamatok kialakítása)
• Kiszervezett Informatikai Biztonsági Felelős (IBF) feladatok ellátása, felelős szakmai támogatás
GRC szakértő csapatunk
Kompetenciák
• Információbiztonsági szabályzatok és eljárásrendek kidolgozása
• GAP elemzések készítése nemzetközi szabványok és gyakorlatok alapján
• Üzleti hatáselemzések végrehajtása
• Közreműködés a feltárt hiányosságok és kockázatok kezelésében, kockázatértékelések végrehajtása
• Üzletmenetfolytonossági tervek (BCP) kidolgozása
• Katasztrófa utáni helyreállítási tervek (DRP) kialakítása
• GRC rendszerek bevezetése, konfigurációja (Archer IRM, Eramba)
• Informatikai biztonsági ellenőrzések támogatása, auditok lebonyolítása
• IT rendszerek biztonsági felülvizsgálata
• Felhasználói oktatások megtartása
• SOC érettség vizsgálat
• IT és OT Információbiztonsági felmérése (gap assessment, üzleti hatáselemzés, kockázatelemzés)
• IT és OT Információbiztonsági szabályozása és folyamatok kialakítása
• Információbiztonsági szabályzatok és eljárásrendek kidolgozása
• GAP elemzések készítése nemzetközi szabványok és gyakorlatok alapján
• Üzleti hatáselemzések végrehajtása
• Közreműködés a feltárt hiányosságok és kockázatok kezelésében,
kockázatértékelések végrehajtása
• Üzletmenetfolytonossági tervek (BCP) kidolgozása
• Katasztrófa utáni helyreállítási tervek (DRP) kialakítása
• GRC rendszerek bevezetése, konfigurációja (Archer IRM, Eramba)
• Informatikai biztonsági ellenőrzések támogatása, auditok lebonyolítása
• IT rendszerek biztonsági felülvizsgálata
• Felhasználói oktatások megtartása
• SOC érettség vizsgálat
• IT és OT Információbiztonsági felmérése (gap assessment, üzleti hatáselemzés,
kockázatelemzés)
• IT és OT Információbiztonsági szabályozása és folyamatok kialakítása
• Információbiztonsági szabályzatok
és eljárásrendek kidolgozása
• GAP elemzések készítése nemzetközi
szabványok és gyakorlatok alapján
• Üzleti hatáselemzések végrehajtása
• Közreműködés a feltárt hiányosságok
és kockázatok kezelésében,
kockázatértékelések végrehajtása
• Üzletmenetfolytonossági tervek
(BCP) kidolgozása
• Katasztrófa utáni helyreállítási tervek
(DRP) kialakítása
• GRC rendszerek bevezetése,
konfigurációja (Archer IRM, Eramba)
• Informatikai biztonsági ellenőrzések
támogatása, auditok lebonyolítása
• IT rendszerek biztonsági
felülvizsgálata
• Felhasználói oktatások megtartása
• SOC érettség vizsgálat
• IT és OT Információbiztonsági
felmérése (gap assessment, üzleti
hatáselemzés, kockázatelemzés)
• IT és OT Információbiztonsági
szabályozása és folyamatok
kialakítása
Minősítések, alkalmazott szabványok
• CISA,
• CISM,
• ISO27001,
• NIST 800-82,
• COBIT,
• PCI-DSS,
• GDPR,
• DORA,
• MITRE ATT&CK,
• Magyar Nemzeti Bank (MNB) irányelvek,
• NIS2,
• NIST SP800-53,
• IBtv
• CISA,
• CISM,
• ISO27001,
• NIST 800-82,
• COBIT,
• PCI-DSS,
• GDPR,
• DORA,
• MITRE ATT&CK,
• Magyar Nemzeti Bank (MNB)
irányelvek,
• NIS2,
• NIST SP800-53,
• IBtv
Tóth Tamás
GRC tanácsadó
Szalárdi Tamás
GRC tanácsadó
Bartha Gábor
GRC csoportvezető
Hunyadi Péter
OT & GRC Security Consultant
Hüvelyes Péter
Senior GRC tanácsadó
