NIS 2 irányelv

cropped-EURO-ONE-szines-logo.png

Főoldal

Hírek

Sajtó

A NIS2 irányelv az Európai Unió kiberbiztonsági szabályozása.

A NIS2 irányelv átültetése gyakorlatilag megtörtént, a biztonsági követelmények ismertek, megkezdődhet az alkalmazásuk. Az irányelvnek való megfelelés segíti az érintett szervezeteket abban, hogy felkészüljenek a kiberbiztonsági fenyegetések elleni védelemre!

Az Ön vállalata felkészült már?

Kérdőívünk kitöltése segíti Önt abban, hogy átgondolja melyek azok a legfontosabb témakörök, amelyekkel foglalkozni kell a NIS2 irányelv kapcsán.

Kitöltöm a kérdőívet
tothtamas

Tóth Tamás 
EURO ONE Számítástechnikai Zrt.
GRC szakértő  

Kapcsolat

Követelmények

Az irányelv korszerű kiberbiztonsági kockázatkezelési intézkedések bevezetését és alkalmazását írja elő, hogy megelőzzék és minimalizálják a kibertámadások és más fenyegetések hatásait.

Ágazatok

Az irányelv hatálya az alapvető és fontos szervezetekre terjed ki, amelyek kiesése vagy fennakadása súlyos hatást gyakorol a társadalmunk működésére.

Határidők és szankció

Az irányelv 2023. január 16-án lépett hatályba, de a rendelkezéseit 2024. október 18-tól kell alkalmazni. Aki a megadott határidőre nem felel meg a szabályozásnak, akár több millió eurós bírságra és a tevékenységétől való eltiltásra is számíthat.

A NIS2 irányelv fontos célja a kiberbiztonság és a kiberreziliencia uniós szintű fejlesztése, valamint az EU tagállamai közötti együttműködés és összehangolt fellépés elősegítése a kiberbiztonsági fenyegetések elleni védekezés terén. Az irányelv fontos szándéka, hogy megteremtse az EU tagállamainak közös minimális biztonsági szintjét.

ÁLLÁSPONTUNK SZERINT A KÖVETKEZŐ ÉVEKBEN A NIS2 IRÁNYELV A GDPR-HOZ HASONLÓ MEGHATÁROZÓ SZABÁLYOZÁS LESZ AZ INFORMÁCIÓBIZTONSÁGI TERÜLETEN ÉS PIACON.

19199700-[Converted]

Követelmények

A NIS2 irányelv és azt a magyar jogba átültető Kibertantv. hatálya alá tartozó szervezeteknek a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerek biztonságáról.

A védelmi intézkedéseknek az alábbiakra kell kiterjedniük:

  • információbiztonsági irányítás rendszerére (kockázatmenedzsment keretrendszer),
  • kockázatainak feltárására és kezelésére,
  • rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • biztonsági események megelőzésére, felismerésére, kezelésére, bejelentésére és hatásainak csökkentésére,
  • üzletmenet folytonosság biztosítására és
  • rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére,
  • alkalmazandó követelmények kiterjesztésére a rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőkre.

A NIS2 irányelv és a Kibertantv. által elvárt védelmi intézkedések

Artboard 1 copy

Ágazatok

A NIS2 irányelv hatálya olyan állami vagy magánszervezetekre terjed ki, amelyek legalább középvállalkozásoknak minősülnek és amelyek az Unión belül nyújtják szolgáltatásaikat vagy végzik tevékenységeiket. Bizonyos tevékenységek esetén az irányelv a szervezet méretétől függetlenül minden szervezetre – tehát kisvállalkozásokra is – vonatkozik.

nis2-2

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:

  • Energetika (villamos energia, távfűtés- és hűtés, olaj, földgáz, hidrogén)
  • Közlekedés (légi, vasúti, vízi, közúti– és tömegközlekedés)
  • Egészségügy
  • Ivóvíz, szennyvíz
  • Digitális infrastruktúra
  • Kihelyezett IKT szolgáltatások
  • Űralapú szolgáltatás

Kockázatos ágazatokban működő szolgáltatók és szervezetek:

  • Postai és futárszolgáltatások
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek gyártása, előállítása és forgalmazása
  • Gyártás (orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek, villamos berendezések, gépek és gépi berendezések, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása)
  • Digitális szolgáltatók (online piacterek, online keresőmotorok, közösségimédia-szolgáltatási platform szolgáltatói)
  • Kutatás (kutatóhelyek)

Határidők és szankciók

A NIS2 irányelv alapján a Kibertantv. több fontos határidőt is megszabott, amit a szabályozás hatálya alá tartozó szervezeteknek be kell tartaniuk:

nis2-3

A hatáskörrel rendelkező felügyeleti hatóság többféle szankciót alkalmazhat a követelményeket nem teljesítő szervezetekkel szemben:

  • Szervezet figyelmeztetése
  • Feltárt biztonsági hiányosságok elhárításának elrendelése
  • Szervezet eltiltása a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől (a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével)
  • Bírság kiszabása (ismételhető módon)
  • Szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatása az őket potenciálisan érintő fenyegetésről

Hogyan kezdjem el felkészíteni a szervezetem a megfelelésére?

1. Szabályozás hatálya alá tartozás vizsgálata
2. Gap elemzés végrehajtása
3. Felkészülési projekt vagy program indítása, budget tervezése és az alkalmazandó védelmi intézkedések implementálása
4. Kompetencia vagy erőforrás hiánya esetén külső segítség igénybevétele
5. Best practice figyelembe vétele a védelmi intézkedések kialakítása során

Kezdje el velünk a NIS2 megfelelésre való felkészülést!

Kapcsolat

Az EURO ONE szakértői segítenek:  

  • A vállalat információbiztonsági felmérésében és kockázatelemzés végrehajtásában, valamint a feltárt hiányosságok és kockázatok kezelésében 
  • A megfeleléshez szükséges dokumentációs és tanácsadási feladatok ellátásában, folyamatok kialakításában 
  • A megfeleléshez szükséges technikai kontrollok bevezetésében (pl. SIEM, többfaktoros hitelesítés, hálózati eszközök integrációja)
  • A kijelölt információbiztonsági felelős szakmai támogatásában 

Megoldásaink, amelyek segítenek megfelelni az irányelvnek

  • Biztonságos hálózati infrastruktúra kialakítása és üzemeltetése
  • Többfaktoros hitelesítési megoldások kialakítása és üzemeltetése
  • SIEM és SOAR megoldások telepítése és üzemeltetése, SIEM use case-k és SOAR playbook-ok kialakítása
  • Menedzselt SOC szolgáltatás
  • Biztonsági incidensek kezelésének támogatása
  • Sérülékenységvizsgálatok és behatolási tesztek végrehajtása, Red-, Blue és Purple Teaming gyakorlatok
  • Cyber Threat Intelligence és Threat Hunting szolgáltatások
  • Kiberbiztonsági oktatások
  • DR site IT infrastruktúra kialakítása
  • IT és OT Információbiztonsági felmérése (gap assessment, üzleti hatáselemzés, kockázatelemzés)
  • IT és OT Információbiztonsági szabályozása és folyamatok kialakítása
  • Közreműködés a feltárt hiányosságok és kockázatok kezelésében
  • Üzletmenet-folytonossági tervek (BCP), Katasztrófa utáni helyreállítási tervek (DRP) kialakítása
  • Kijelölt információbiztonsági felelős szakmai támogatása