Cookie / Süti tájékoztató
Kedves Látogató! Tájékoztatjuk, hogy a veszpremikamara.hu honlap a felhasználói élmény fokozásának érdekében cookie-kat alkalmaz. A honlap használatával Ön a tájékoztatást tudomásul veszi.
bővebben
Elfogadom
AA

NIS2 tájékoztató

  • NIS2 tájékoztató

TÁJÉKOZTATÓ

a NIS2 irányelv kibervédelmi biztonságot szolgáló előírásairól

 

Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (röviden és a továbbiakban: „NIS 2 irányelv”) már 2023. elején hatályba lépett, azonban az abban foglalt intézkedéseket 2024. október 17-ig kötelesek átültetni a nemzeti jogrendszereikbe a tagállamok. Magyarország e kötelezettségének már eleget tett, hiszen 2023. május 15-én megjelent a Magyar Közlönyben a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: „Törvény”). A törvényben foglalt kötelezettséget teljesítését – a hadiipari tevékenységek kivételével - a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) ellenőrzi.

A NIS2 irányelv és az annak rendelkezéseit átültető Törvény kötelezettségeket ír elő. Egyrészt a tagállamoknak: például, hogy rendelkezzenek számítógépes biztonsági eseményekre reagáló csoporttal (CSIRT) és egy illetékes nemzeti hálózati és információs rendszerekkel (NIS) rendelkező hatósággal, amely a nemzeti kiberbiztonsági tanúsítási rendszer fejlesztéséért, felügyeletéért is felelős. Jelentős kötelezettségeket ír ugyanakkor elő a jogalkotó egyes vállalkozásoknak is, mégpedig olyanoknak is, amelyeknek eddig nem kellett komolyabb kibervédelmi-imformációbiztonsági intézkedéseket hozniuk.

 

A kritikussági szint szerint két kategóriába sorolhatóak az érintett szervezetek:

  • A „Kiemelten kritikus” kategóriába tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.
  • A törvény az „Egyéb kritikus” ágazatok kategóriába sorolja a postai és futárszolgáltatásokat, hulladékgazdálkodást, vegyszerek gyártását, előállítását és forgalmazását, élelmiszer-termelését, -feldolgozását és -forgalmazását, gyártást, a digitális szolgáltatókat, valamint a kutatást.

 

Teendők a közeljövőben:

  • A Törvénynek való megfelelés határideje 2024. október 28., ettől kezdve az SZTFH ellenőrzi a megfelelést (és adott esetben szankcionálja annak hiányát).
  • Amennyiben a Vállalkozás a törvény hatálya alá tartozik, 2024. június 30-ig nyilvántartásba kellett vetetnie magát az SZTFH-nál. Az erre vonatkozó részletszabályokat a 23/2023. (XII. 19.) SZTFH rendelet (Rendelet) tartalmazza. Fontos, hogy a nyilvántartásba vétel során igazolni kell bizonyos feltételek meglétét – ezeket a Rendelet 7. § (6) bekezdése tartalmazza.
  • 2024. október 18-ig kell kialakítani egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert.
  • Legkésőbb 2024. október 18-ig, vagy a nyilvántartásba vételt követő 120 napon belül auditori szerződést kell kötnie az érintett, a Törvény hatálya alá tartozó vállalkozásnak.
  • A független audit lefolytatására 2025. december 31-ig van lehetősége a vállalatoknak.

 

A Törvény hatálya alá tartozó tevékenységet folytató vállalkozásoknak egy, a kockázatokkal arányos információbiztonsági irányítási keretrendszert kell létrehozni és működtetni. Fő szabály szerint a Törvénynek való megfelelést kétévente független féllel kell auditáltatni. (Bár bizonyos körben a megfelelőségi önértékelés is lehetséges). Az audit abban az esetben is kötelező, ha az érintett szervezet már rendelkezik iparági tanúsítványokkal vagy más auditokkal, tehát nem kiváltható!

 

A szabályozás forrásai a következő linkeken érhetők el:

 

Figyelem!

Bizotsan ki akarod törölni?
Igen