2025 januárjától Magyarországon is hatályba lépett a NIS2 irányelv hazai megfelelője, az új kiberbiztonsági törvény, amely minden korábbinál szigorúbb előírásokat hozott az informatikai rendszerek védelmére.
A cél egy egységes európai kiberbiztonsági szint megteremtése, amely csökkenti a kibertámadások kockázatát és erősíti az üzleti bizalmat.
A szabályozás nem csupán technikai intézkedéseket követel meg: a vállalatoknak kockázatértékelést kell végezniük, incidenseiket 72 órán belül jelenteniük kell, és független kiberauditon kell átesniük meghatározott időszakonként.
Kikre vonatkozik a NIS2 Magyarországon?
A NIS2 törvény két kategóriába sorolja az érintett szervezeteket:
alapvető szervezetekre és fontos szervezetekre.
Alapvető szervezetek
Az úgynevezett essential entities közé tartoznak:
· energiaszolgáltatók,
· közlekedési vállalatok,
· egészségügyi intézmények,
· víz- és közmûszolgáltatók,
· valamint egyes állami és önkormányzati szervek.
Fontos szervezetek
A important entities kategóriába sorolják:
· gyártóipari és élelmiszeripari cégeket,
· gyógyszeripari vállalatokat,
· pénzügyi és biztosítási szolgáltatókat,
· logisztikai és IT-cégeket, különösen a felhõ- és tárhelyszolgáltatókat.
A szabályozás nem vonatkozik a mikrovállalkozásokra (50 fő alatt és 10 millió euró árbevétel alatt), de kötelező a közepes és nagyvállalatok számára.
Az érintett cégeknek regisztrálniuk kell az SZTFH-nál, be kell vezetniük az előírt biztonsági intézkedéseket, és az első auditot 2025. december 31-ig el kell végeztetniük.
Miért fontos a megfelelés – és mi nem helyettesíti?
A NIS2-megfelelés nemcsak jogszabályi elvárás, hanem versenyelőnyt is jelent: a tudatos kiberbiztonsági működés csökkenti a működési kockázatokat, és növeli az ügyfelek, partnerek bizalmát.
Fontos azonban megérteni, hogy a megfelelés önmagában nem nyújt teljes védelmet – egy jól kiépített informatikai rendszer is sebezhető lehet emberi hiba, zsarolóvírus vagy beszállítói incidens esetén.
Éppen ezért érdemes megfontolni egy cyberbiztosítás megkötését, amely pénzügyi és jogi védelmet nyújt. Segít a kár megelőzésben, vészhelyzet elhárításban, adatvesztés helyreállításban egy kibertincidens vagy támadás esetén.