Célja, hogy a tagállamok egységes, magas szintű kiberbiztonsági szintet érjenek el, továbbá hogy a kritikus szektorokban működő és szolgáltatásokat nyújtó köz- és magánszereplők megfelelő ellenálló képességét növelje és incidenskezelési készségét bővítse.
Az EU 2022/2555 számú irányelveként fogadták el és 2023-ban lépett hatályba. A NIS2 direktíva, tehát nem közvetlenül hatályos, hanem minden tagállamnak el kell végeznie a lokális törvényalkotási munkát. Magyarországon a NIS2 követelményeinek való megfelelést a 2023. évi XXIII. Törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza.
Kiket érint?
Olyan iparágakat von hatálya alá, amelyek szereplőinek eddig törvényi megfelelőségi okokból nem kellett ennyire hangsúlyosan információbiztonsággal foglalkozniuk.
Kritikussági szint szerint két kategóriába sorolhatóak az érintett szervezetek:
- A „Kiemelten kritikus” kategóriába tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.
- A törvény az „Egyéb kritikus” ágazatok kategóriába sorolja a postai és futárszolgáltatásokat, hulladékgazdálkodást, vegyszerek gyártását, előállítását és forgalmazását, élelmiszer-termelését, -feldolgozását és -forgalmazását, gyártást, a digitális szolgáltatókat, valamint a kutatást.
Időbeliség:
A NIS2 direktíva 2023. január 03-án lépett hatályba, a 2023. XXIII. törvényt 2023. május 23-án hirdették ki.
A 2023. XXIII. törvénynek való megfelelés határideje 2024. október 28., melynek ellenőrzését, és nem megfelelőség esetén a szankcionálást a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) fogja végezni.
- Amennyiben az adott szervezet úgy ítéli meg, hogy a Kibertan. Tv., hatálya alá tartozik, legkésőbb 2024. június 30-ig nyilvántartásba kell venniük magukat a 23/2023. (XII. 19.) SZTFH rendelet alapján. A nyilvántartási kérelem az SZTFH honlapján elérhető űrlap kitöltésével, cégkapun keresztül egyszerűen végrehajtható.
- 2024. október 18-ig kell kialakítani egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert.
- Legkésőbb 2024. október 18-ig, vagy a nyilvántartásba vételt követő 120 napon belül auditori szerződéssel kell rendelkezzen az érintett szervezet.
- A független audit lefolytatására 2025. december 31-ig van lehetősége a vállalatoknak.
Mit kell tenni?
A NIS2 és a Kibertan. Tv. Alapvetően információbiztonsági elvárásokat fogalmaz meg a szervezetekkel szemben. Leegyszerűsítve, egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert kell létrehozni és működtetni. A törvénynek való megfelelést kétévente független féllel kell auditáltatni.
Miért kulcsfontoságú a megfelelés?
Cél: csökkenteni a kiberfenyegetések, támadások és a digitális bűnözés kockázatait, valamint minimalizálni a működéskieséseket és a támadások által okozott gazdasági és társadalmi károkat.
A NIS2 irányelv és a 2023. évi XXIII. törvény büntetési tételeket is megfogalmaz:
• Kiemelten Kritikus szervezetek esetén maximum 10.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 2%-a
• Kritikus szervezetek esetén maximum 7.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 1,4%-a
Az elvárások nem teljesítése esetén a kiszabott bírságok újból kiszabhatóak. A hazai büntetési tételek egyelőre nem ismertek.
A cyberkockázatokra ajánlott cyberbiztosítás megkötése.
Kérem, írjon nekünk:
info@hungarorisk.hu