Kiberbiztonság: NIS2 megfelelés
Az uniós NIS2 irányelvet implementáló jogszabály előírásai elsősorban iparág és cégméret alapján a vállalkozások többségének számára számos jogi, folyamatszervezési, dokumentációs és IT biztonsági feladatot jelentenek.
Közeleg az első határidő. Június 30-ig minden érintett cégnek be kell jelentkeznie a hatósági nyilvántartásba, és el kell végeznie az IT rendszerei biztonsági osztályba sorolását. A közvetlenül érintett cégeken kívül az IT beszállítókra is kiterjed a NIS2 szabályozás. El kell kerülni a túl magas osztályba sorolást, amely jelentős kötelezettségeket von magával, de az alulértékelést is, amely, a határidők elmulasztásához hasonlóan, jelentős szankcióval járhat. Olvassa el részletes leírásunkat és a legfrissebb blogbejegyzésünket a NIS2-ről!
Az RVD Partners teljeskörű NIS2 támogatási szolgáltatást nyújt, amelynek segítségével felkészítheti cégét a NIS2 első határidejéhez kötődő és a további kötelezettségek teljesítésére.
Vegye fel velünk a kapcsolatot, ha akár az osztályba sorolással, vagy a szolgáltatásainkkal kapcsolatban kérdése merülne fel!
Kik az érintettek?
A NIS2 alapján két nagyobb csoportot különböztethetünk meg, a közvetlenül érintett szervezeteket és azok informatikai beszállítóit.
Közvetlenül érintettek köre:
Mérettől függetlenül vonatkoznak a NIS2 kötelezettségek az alábbi vállalkozásokra:
- Elektronikus hírközlési szolgáltatók
- Bizalmi szolgáltatók
- DNS-szolgáltatást nyújtó szolgáltatók
- Legfelső szintű doqmainnév-nyilvántartók
- Domainnév-regisztrációt végző szolgáltatók
Érintettek a cégek legalább 50 fővel vagy csoportszinten évi nettó 10 millió EUR-t meghaladó éves árbevétellel a következő ágazatokban:
- Energetika
- Közlekedés
- Egészségügy
- Ivóvíz, szennyvíz
- Hírközlési szolgáltatás
- Digitális infrastruktúra
- Kihelyezett infókommunikáció
- Űralapú szolgáltatások
- Postai és futárszolgálatok
- Élelmiszeripar, forgalmazás
- Hulladékgazdálkodás
- Vegyszer előállítás és forgalmazás
- Eszközök és gépek gyártása
- Digitális szolgáltatások
- Kutatás
Informatikai beszállítók
A jogszabályok által előírt NIS2 megfelelőséget azoknak a beszállítóknak is teljesíteniük kell, amelyek a NIS2 által közvetlenül érintett szervezet elektronikus információs rendszerének létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködik. Tehát a NIS2 közvetve kiterjed minden a meghatározott kiemeleten kockázatos és kockázatos ágazatokban működő szervezetnek szolgáltatást nyújtó IT cégekre, különösen a rendszerek kialakítóira, szotverfejlesztőkre, szoftverszolgáltatókra, üzemeltetést és támogatást nyújtó vállalkozásokra.
Részletes információk a kifejezetten az egyes kötelezetti kategóriák számára kidolgozott NIS2 támogatási szolgáltatásainkról:
Ha bizonytalan abban, hogy a cége a NIS2 hatálya alá tartozik-e vagy sem, keressen bennünket!
Kötelezettségek: mit és mikor kell tenni?
Részletes információk a kifejezetten az egyes kötelezetti kategóriák számára kidolgozott NIS2 támogatási szolgáltatásainkról:
Ha kérdése merül fel a határidőkkel és az egyes feladatokkal kapcsolatban, keressen bennünket!
A NIS2 megfelelés elmulasztása súlyos jogkövetkezményekkel járhat
A nem megfelelő osztályba sorolás, az előírt védelmi intézkedések nem teljesítése, a hiányos dokumentáció, a nem szabályozott folyamatok a NIS2 megfelelés nemteljesítését jelentik. Az alábbi szankciók a NIS2 által közvetlenül érintett szervezeteket sújtják, de azok átháríthatók az IT beszállítókra a felelősség fennállása esetén.
■ 7.000.000 EUR vagy a teljes éves csoportszintű forgalom 1,4%-ának megfelelő bírság a kockázatos ágazatok szervezetei esetén
■ Súlyos esetben a társaság eltiltása az adott tevékenységtől, a vezető tisztségviselő eltiltása
Miben tudunk segíteni?
NIS2 támogatási szolgáltatásaink közvetlenül érintett szervezetek részére:
Nyilvántartásba vétel és a kapcsolódó dokumentációs kötelezettségek (határidő: 2024.06.30.)
- Önazonosítás, annak meghatározása, hogy a vállalkozás a NIS2 hatálya alá tartozik-e vagy sem, illetve vállalatcsoportok komplex rendszerei esetén a NIS2 hatálya alá tartozó érintett vállalatok azonosítása
- Hatásvizsgálat, informatikai rendszerek biztonsági osztályba sorolása
- Hatósági nyilvántartásba vételi dokumentáció előkészítése
Biztonsági intézkedések értékelése (határidő: 2024.10.18.)
- A vállalat által alkalmazott IT biztonsági intézkedések értékelése a NIS2 szempontjából
- NIS2 által előírt IT beszállítói megfelelőség szempontjából a szolgáltatási szerződések vizsgálata és kiegészítése
- A NIS2 audithoz elkészítendő dokumentumok, egyéb alkalmazandó intézkedések azonosítása
- Javaslattétel hatékony helyettesítő intézkedések alkalmazására
Felkészítés az első NIS2 auditra (határidő: 2024.10.18.)
- Kockázatelemzés elvégzése
- Helyettesítő intézkedések alkalmazásának alátámasztása
- A NIS2 megfeleléshez szükséges hiányzó dokumentumok elkészítése, meglévő dokumentumok kiegészítése
- További szükséges intézkedések bevezetése, például:
- Információbiztonsági irányítási rendszer (IBIR)
- Proaktív védelmi intézkedések (incidensek megelőzése, kezelése)
- Eseménykezelési protokoll a hatások csökkentése érdekében
- Üzletmenet folytonosság menedzsment (BCM, pl. tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés)
- Személyes adatokat is érintő rendszerek esetén adatkezelési dokumentáció (GDPR) kiegészítése
Miben tudunk segíteni?
NIS2 támogatási szolgáltatásaink IT beszállítók részére:
IT beszállítói szerződések kiegészítése (határidő: 2024.06.30.)
- A közvetlenül érintett szervezettel kötött szerződés és az abban meghatározott teljesítése vizsgálata NIS2 szempontból
- NIS2 megfelelést biztosító szerződés-kiegészítés előkészítése
IT beszállítói szerződések komplex értékelése (határidő: 2024.10.18.)
- Az IT beszállító számára beszállító alvállalkozók szerződéseinek értékelése és szükséges kiegészítése
- NIS2 által előírt IT beszállítói megfelelőség szempontjából a szolgáltatási szerződések vizsgálata és kiegészítése
- A NIS2 megfeleléshez szükséges dokumentumok, egyéb alkalmazandó intézkedések azonosítása
- Javaslattétel hatékony helyettesítő intézkedések alkalmazására
Beszállítók támogatás az első NIS2 audit során (határidő: 2024.10.18.)
- Kockázatelemzés elvégzése
- Helyettesítő intézkedések alkalmazásának alátámasztása
- A NIS2 megfeleléshez szükséges hiányzó dokumentumok elkészítése, meglévő dokumentumok kiegészítése
- További szükséges intézkedések bevezetése, például:
- Információbiztonsági irányítási rendszer (IBIR)
- Proaktív védelmi intézkedések (incidensek megelőzése, kezelése)
- Eseménykezelési protokoll a hatások csökkentése érdekében
- Üzletmenet folytonosság menedzsment (BCM, pl. tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés)
Személyes adatokat is érintő rendszerek esetén adatkezelési dokumentáció (GDPR) kiegészítése
Vezetőink
A tanácsadóink több évtizednyi tapasztalattal rendelkeznek a nemzetközi jogi, adatvédelmi és IT biztonsági megfelelés és tanácsadás területén számos szektorban.
dr. Rövid Levente
ügyvéd, ügyvezető partner
Kósa Péter
partner, NIS2 tanácsadási szolgáltatások vezető
dr. Detrekői Zsuzsa
ügyvéd, adatvédelmi szakjogász
Közel 100 sikeres projekt
Tanácsadóink az elmúlt években közel 100 sikeres kiberbiztonsági és adatbiztonsági projektben vettek részt
Adatvagyon felmérés, GDPR tanácsadás
Üzleti hatáselemzés
Kockázatelemzés
Üzletmenet-folytonosság tervezés
IBF/ CISO tevékenységek
Biztonsági rendszerek tervezése
Biztonsági szabályzatok készítése, biztonsági folyamatok kialakítása