NIS2 audit felkészülés
A Foursys Consolution Kft. által vezetett szakmai konzorcium, amelyet a Black Cell Magyarország Kft.-vel közösen hívott életre, a hazai jogalkotásban, illetve megvalósításban kompetens hatóságokkal együttműködve arra törekszik, hogy segítse partnereit a NIS2 irányelvből fakadó kötelezettségek teljesítésére való felkészülésben.
Milyen kérdésekben tud segíteni a Konzorcium?
- Egyre fogy az idő a NIS 2 irányelv tényleges hatályba lépéséig, ezért különösen fontos foglalkozni minden érintettnek azokkal a kötelezettségekkel, amelyeket teljesíteni kell
- Nagy vízválasztónak ígérkezik október 18-a, de valóban az? Tényleg olyan tetemes a követelményhalmaz?
- Szeretné tudni és érteni, hogy a változó jogszabályi környezetben mi valójában a jogalkotó szándéka?
- A legoptimálisabb megoldások felé indulna, de túl nagy a zaj szakmai körökben és nehéz az igazán jó szolgáltatási csomagokhoz hozzájutni?
- Egy irányelv (NIS 2) – két törvény (Kibertan.tv és az Ibtv.) – egy végrehajtási rendelet (MK rendelet), a kapcsolódási pontok, a különbözőségek és a párhuzamok útvesztőjében fontos lenne látni a tényleges újdonságokat?
Kiberbiztonsági tanúsítási (kibertan) törvény: https://njt.hu/jogszabaly/2023-23-00-00.7
Infobizt törvény: https://net.jogtar.hu/jogszabaly?docid=a1300050.tv
- A rendezvény lehetőséget ad a szakemberekkel, jogalkotókkal való szakmai egyeztetésre.
Miért alkalmas a Foursys és a szakmai Konzorcium erre a feladatra? Miben tud a Foursys Consolution és Partnerei segíteni?
Tapasztalt csapatunk kiválóan ismeri az információbiztonsági szabványokat és rendelkezik a NIS2 irányelvvel kapcsolatos legfrissebb tudással. Segítünk az irányelvben foglalt követelmények pontos azonosításában és a megfelelő intézkedések meghozatalában.
Egyedi igényekre szabott megoldásokat kínálunk ügyfeleinknek. Felmérjük a kockázatokat és a kihívásokat, majd kidolgozzuk a NIS2 irányelv által előírt intézkedésekhez szükséges javaslatokat.
A cégünk nemcsak a NIS2 irányelvnek való megfelelésben segít, hanem átfogó támogatást is nyújt az informatikai biztonság egyéb területein. Legyen szó hálózatbiztonságról, adatvédelemről vagy kibervédelemről, mi mindent bevonunk a biztonságos üzleti környezet kialakításába.
Segítünk a BCP és a DRP felülvizsgálatában vagy kidolgozásában, valamint tanácsot adunk a kibertámadások elleni védekezés terén. Ezenkívül oktatást és tanácsadást is nyújtunk, hogy biztonsági tudatosságát és képességeit javíthassa.
Mindig naprakész technológiákat és megközelítéseket alkalmazunk a NIS2 irányelv megfelelőségének biztosítására. Korszerű eszközökkel végezzük a sérülékenységi vizsgálatokat és biztosítjuk a SOC (Security Operations Center) szolgáltatásokat, hogy Ön mindig a legmagasabb szintű védelmet élvezhesse.
Az ügyfelek elégedettsége a legfontosabb számunkra. Folyamatosan arra törekszünk, hogy partnereinkkel hatékony, hosszú távú együttműködést alakítsunk ki. A legoptimálisabb eredmények elérése érdekében mindig ügyfeleink igényeinek, prioritásainak és üzleti céljainak figyelembevételével kínálunk megoldásokat.
A NIS2 megfelelésen túl segítünk Önnek más releváns szabályozásokkal, például a GDPR-ral és az adatvédelmi előírásokkal kapcsolatban.
Milyen témákban tud a Foursys Consolution és a BlackCell segíteni?
- A (végleges) jogszabályok értelmezésében tud a Konzorcium segíteni, illetve a szabályozás jelenlegi állapotáról a meghívott előadók fognak tájékoztatást adni.
- Felkészültség felmérése és erről riport jellegű szakvélemény kiállítása, ami egyértelmű támpontot ad a megfeleléshez való felkészüléshez.
- Problémás területek célspecifikus megoldásainak kidolgozása (tervezés, megvalósítás)
- Későbbi akkreditált auditorral való együttműködés támogatása
- Auditfelkészítés
Kik az érintett kollégák, akikkel a folyamat során együttműködés várható?
CIO, CISO (Informatikai vezető, Információbiztonsági tisztviselő)
Esetleg műszaki vezető, vagy ügyvezető
Mi az a NIS2?
A NIS2 a korábbi (EU) 2016/1148 NIS irányelv felülvizsgálata révén, annak újragondolása és szakmai tekintetben részletesebb kifejtése által jött létre és hatálybalépésével jelentős előre lépeseket vár az Unió a szervezetek, a nemzetek és az egész közösség kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez és az új kihívásokra adandó hatékonyabb válaszok szükségének felismeréséhez vezetett, amely minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényel.
A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, ezáltal védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, fejlesszék a biztonsági eseményekre történő reagálóképességüket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén.
Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása a kibertérben. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló beszállítókkal szemben is magasszintű elvárásokat kell támasztaniuk, ezzel fokozható az ellátási láncok biztonsága.
Kik az érintettek?
Érintett ágazatok:
Hazánkban várhatóan legalább 2500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.
Kiemelten kritikus ágazatok:
- Energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
- Szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
- Banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
- Egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
- Ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
- Digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
- Közigazgatás
- Kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
- Világűr, űripar
Egyéb kritikus ágazat:
- Postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
- Hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
- Vegyszerek gyártása, -előállítása és -forgalmazása
- Élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
- Meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
- Digitális szolgáltatások
- Kutatóhelyek
Milyen határidők vonatkoznak az érintettekre?
- 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságáért felelős személy kell kijelölniük (regisztrációs és adatszolgáltatási kötelezettség az SZTFH részére).
- 2024. október 18-tól az érintett szervezetek alkalmazzák a kötelezően előírt védelmi intézkedéseket.
- 2024. december 31.-ig szerződni kell egy akkreditált auditorral.
- 2025. december 31-ig első kiberbiztonsági auditálás elvégzése, amelyet 2 évente meg kell ismételni
Milyen kötelezettségek vannak/lesznek?
Kötelezettségek
- Információbiztonságért felelős személyt kell kijelölni
- El kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
- Biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
- Informatikai biztonsági szabályzat kidolgozása (IBSZ)
- Meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket (=az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége)
- Példák a védelmi intézkedésekre:
titkosítási megoldások alkalmazása
többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
biztonsági kockázatértékelések elvégzése
biztonságos hang-, video- és szöveges kommunikáció biztosítása
a hálózat és a teljes rendszer monitorozása, felügyelete
a munkavállalók és a vezetők képzése
biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül szerződéses követelményeket kell támasztania a beszállítók felé, majd azok teljesítését kikényszeríteni, ami hozzáad az ellátási lánc biztonságához
sérülékenységi vizsgálatok elvégzése - Ellátási lánc biztonságának biztosítása (szerződéses követelményeket kell támasztania a beszállítók felé, majd azok teljesítését kikényszeríteni)
- Üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) – tartalékrendszerek kezelése
- Kiberbiztonsági incidens észlelési képesség kialakítása és fenntartása, incidenskezelés és bejelentés elvégzése
- Incidensekre való reagálási terv kidolgozása
- Incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
- 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
- 1 hónapon belüli zárójelentés kötelezettség
- Katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
Hatósággal történő együttműködést érintő kötelezettségek:
- Nyilvántartásba vétel érdekében regisztráció és adatok megküldése az SZTFH részére
- 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
- Éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)
A management felelőssége
- A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie – erről evidenciákat kell tudni bemutatni, igazolni a tényszerű felelősségvállalást az audit keretében.
- Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek – az első számú vezető felelőssége olyan mértékű, hogy súlyos hiányosság esetén a hatóság javaslatára megvonható a vezetői kinevezés.
- Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek (különösen, ha annak eredményeként súlyos biztonsági incidens következik be), alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca felé támasztott kiberbiztonsági elvárások kikényszerítéséért.
Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt.
Milyen büntetésekkel jár a jogszabályok be nem tartása?
A kötelezettségek elmulasztása, vagy nem megfelelő teljesítése súlyos közigazgatási bírságokat vonhat maga után:
Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
A vonatkozó rendelet: https://njt.hu/jogszabaly/2023-305-20-22
További jogkövetkezményként a felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.
Milyen megoldásokkal tudjuk segíteni a NIS2 megfelelést?
Kérjük látogasson el a www.consolution.hu illetve a www.blackcell.io címre, de pár szóban az alábbiakkal:
- IT biztonsági szolgáltatások
- IT biztonsági stratégia kialakítása
- IT biztonsági tanácsadás
- IT audit elvégzése
- Informatikai szabályzatok kidolgozása
- Sérülékenység vizsgálat (ethical hacking), penetrációs teszt (penetration test)
- Social engineering vizsgálat
- IT biztonsági rendszerek üzemeltetése
- Üzletmenet-folytonosság menedzsment (BCM)
- Üzletmenet-folytonossági tervezés (készenléti iroda biztosítása)
- GDPR felkészítés
- Adatvédelmi tisztviselő (DPO) szolgáltatás nyújtása
- Hibrid SOC szolgáltatások
Milyen termékek tudnak ebben segíteni?
- IT biztonsági termékek
- Szoftveres sérülékenységi vizsgálat
- Hálózatbiztonsági eszközök
- Végpontvédelem / Vírusirtó megoldások
- Cloud security
- Mentési rendszerek
- Mobil eszközök biztonsága
- Munkavállalók ellenőrzése, teljesítmény monitorozás
- Adattörlés, adathordozó megsemmisítés
- SIEM megoldások