Kiberbiztonság: NIS2 megfelelés

Az uniós NIS2 irányelvet implementáló jogszabály előírásai elsősorban iparág és cégméret alapján a vállalkozások többségének számára számos jogi, folyamatszervezési, dokumentációs és IT biztonsági feladatot jelentenek.

Közeleg az első határidő. Június 30-ig minden érintett cégnek be kell jelentkeznie a hatósági nyilvántartásba, és el kell végeznie az IT rendszerei biztonsági osztályba sorolását. A közvetlenül érintett cégeken kívül az IT beszállítókra is kiterjed a NIS2 szabályozás. El kell kerülni a túl magas osztályba sorolást, amely jelentős kötelezettségeket von magával, de az alulértékelést is, amely, a határidők elmulasztásához hasonlóan, jelentős szankcióval  járhat. Olvassa el részletes leírásunkat és a legfrissebb blogbejegyzésünket a NIS2-ről!

Az RVD Partners teljeskörű NIS2 támogatási szolgáltatást nyújt, amelynek segítségével felkészítheti cégét a NIS2 első határidejéhez kötődő és a további kötelezettségek teljesítésére.

Vegye fel velünk a kapcsolatot, ha akár az osztályba sorolással, vagy a szolgáltatásainkkal kapcsolatban kérdése merülne fel!

7

Kik az érintettek?

A NIS2 alapján két nagyobb csoportot különböztethetünk meg, a közvetlenül érintett szervezeteket és azok informatikai beszállítóit.

Közvetlenül érintettek köre:

Mérettől függetlenül vonatkoznak a NIS2 kötelezettségek az alábbi vállalkozásokra:

  • Elektronikus hírközlési szolgáltatók
  • Bizalmi szolgáltatók
  • DNS-szolgáltatást nyújtó szolgáltatók
  • Legfelső szintű doqmainnév-nyilvántartók
  • Domainnév-regisztrációt végző szolgáltatók

Érintettek a cégek legalább 50 fővel vagy csoportszinten évi nettó 10 millió EUR-t meghaladó éves árbevétellel a következő ágazatokban:

  • Energetika
  • Közlekedés
  • Egészségügy
  • Ivóvíz, szennyvíz
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra
  • Kihelyezett infókommunikáció
  • Űralapú szolgáltatások
  • Postai és futárszolgálatok
  • Élelmiszeripar, forgalmazás
  • Hulladékgazdálkodás
  • Vegyszer előállítás és forgalmazás
  • Eszközök és gépek gyártása
  • Digitális szolgáltatások
  • Kutatás

Informatikai beszállítók

A jogszabályok által előírt NIS2 megfelelőséget azoknak a beszállítóknak is teljesíteniük kell, amelyek a NIS2 által közvetlenül érintett szervezet elektronikus információs rendszerének létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködik. Tehát a NIS2 közvetve kiterjed minden a meghatározott kiemeleten kockázatos és kockázatos ágazatokban működő szervezetnek szolgáltatást nyújtó IT cégekre, különösen a rendszerek kialakítóira, szotverfejlesztőkre, szoftverszolgáltatókra, üzemeltetést és támogatást nyújtó vállalkozásokra.

Részletes információk a kifejezetten az egyes kötelezetti kategóriák számára kidolgozott NIS2 támogatási szolgáltatásainkról:

Ha bizonytalan abban, hogy a cége a NIS2 hatálya alá tartozik-e vagy sem, keressen bennünket!

Kötelezettségek: mit és mikor kell tenni?

Folyamatábra
Folyamatábra
Folyamatábra

Részletes információk a kifejezetten az egyes kötelezetti kategóriák számára kidolgozott NIS2 támogatási szolgáltatásainkról:

Ha kérdése merül fel a határidőkkel és az egyes feladatokkal kapcsolatban, keressen bennünket!

A NIS2 megfelelés elmulasztása súlyos jogkövetkezményekkel járhat

A nem megfelelő osztályba sorolás, az előírt védelmi intézkedések nem teljesítése, a hiányos dokumentáció, a nem szabályozott folyamatok a NIS2 megfelelés nemteljesítését jelentik. Az alábbi szankciók a NIS2 által közvetlenül érintett szervezeteket sújtják, de azok átháríthatók az IT beszállítókra a felelősség fennállása esetén.

   10.000.000 EUR vagy a teljes éves csoportszintű forgalom 2%-ának megfelelő bírság a kiemelten kockázatos ágazatok szervezetei esetén

   7.000.000 EUR vagy a teljes éves csoportszintű forgalom 1,4%-ának megfelelő bírság a kockázatos ágazatok szervezetei esetén

   Súlyos esetben a társaság eltiltása az adott tevékenységtől, a vezető tisztségviselő eltiltása

Miben tudunk segíteni?

NIS2 támogatási szolgáltatásaink közvetlenül érintett szervezetek részére:

 

Nyilvántartásba vétel és a kapcsolódó dokumentációs kötelezettségek (határidő: 2024.06.30.)

  • Önazonosítás, annak meghatározása, hogy a vállalkozás a NIS2 hatálya alá tartozik-e vagy sem, illetve vállalatcsoportok komplex rendszerei esetén a NIS2 hatálya alá tartozó érintett vállalatok azonosítása
  • Hatásvizsgálat, informatikai rendszerek biztonsági osztályba sorolása
  • Hatósági nyilvántartásba vételi dokumentáció előkészítése

Biztonsági intézkedések értékelése (határidő: 2024.10.18.)

  • A vállalat által alkalmazott IT biztonsági intézkedések értékelése a NIS2 szempontjából
  • NIS2 által előírt IT beszállítói megfelelőség szempontjából a szolgáltatási szerződések vizsgálata és kiegészítése
  • A NIS2 audithoz elkészítendő dokumentumok, egyéb alkalmazandó intézkedések azonosítása
  • Javaslattétel hatékony helyettesítő intézkedések alkalmazására

Felkészítés az első NIS2 auditra (határidő: 2024.10.18.)

  • Kockázatelemzés elvégzése
  • Helyettesítő intézkedések alkalmazásának alátámasztása
  • A NIS2 megfeleléshez szükséges hiányzó dokumentumok elkészítése, meglévő dokumentumok kiegészítése
  • További szükséges intézkedések bevezetése, például:
  • Információbiztonsági irányítási rendszer (IBIR)
  • Proaktív védelmi intézkedések (incidensek megelőzése, kezelése)
  • Eseménykezelési protokoll a hatások csökkentése érdekében
  • Üzletmenet folytonosság menedzsment (BCM, pl. tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés)
  • Személyes adatokat is érintő rendszerek esetén adatkezelési dokumentáció (GDPR) kiegészítése

Miben tudunk segíteni?

NIS2 támogatási szolgáltatásaink IT beszállítók részére:

 

IT beszállítói szerződések kiegészítése (határidő: 2024.06.30.)

  • A közvetlenül érintett szervezettel kötött szerződés és az abban meghatározott teljesítése vizsgálata NIS2 szempontból
  • NIS2 megfelelést biztosító szerződés-kiegészítés előkészítése

IT beszállítói szerződések komplex értékelése (határidő: 2024.10.18.)

  • Az IT beszállító számára beszállító alvállalkozók szerződéseinek értékelése és szükséges kiegészítése
  • NIS2 által előírt IT beszállítói megfelelőség szempontjából a szolgáltatási szerződések vizsgálata és kiegészítése
  • A NIS2 megfeleléshez szükséges dokumentumok, egyéb alkalmazandó intézkedések azonosítása
  • Javaslattétel hatékony helyettesítő intézkedések alkalmazására

Beszállítók támogatás az első NIS2 audit során (határidő: 2024.10.18.)

  • Kockázatelemzés elvégzése
  • Helyettesítő intézkedések alkalmazásának alátámasztása
  • A NIS2 megfeleléshez szükséges hiányzó dokumentumok elkészítése, meglévő dokumentumok kiegészítése
  • További szükséges intézkedések bevezetése, például:
  • Információbiztonsági irányítási rendszer (IBIR)
  • Proaktív védelmi intézkedések (incidensek megelőzése, kezelése)
  • Eseménykezelési protokoll a hatások csökkentése érdekében
  • Üzletmenet folytonosság menedzsment (BCM, pl. tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés)

Személyes adatokat is érintő rendszerek esetén adatkezelési dokumentáció (GDPR) kiegészítése

Vezetőink

A tanácsadóink több évtizednyi tapasztalattal rendelkeznek a nemzetközi jogi, adatvédelmi és IT biztonsági megfelelés és tanácsadás területén számos szektorban.

dr. Rövid Levente

ügyvéd, ügyvezető partner

Kósa Péter

partner, NIS2 tanácsadási szolgáltatások vezető

dr. Detrekői Zsuzsa

ügyvéd, adatvédelmi szakjogász

7

Közel 100 sikeres projekt

Tanácsadóink az elmúlt években közel 100 sikeres kiberbiztonsági és adatbiztonsági projektben vettek részt

Auditok (MNB, ISO27001)

Adatvagyon felmérés, GDPR tanácsadás

Üzleti hatáselemzés

Kockázatelemzés

Üzletmenet-folytonosság tervezés

IBF/ CISO tevékenységek

Biztonsági rendszerek tervezése

Biztonsági szabályzatok készítése, biztonsági folyamatok kialakítása

Kapcsolat

nis2@rvdpartners.com

+36 70 791 5454

1055 Budapest, Honvéd utca 18.