A Foursys Consolution Kft. által vezetett szakmai konzorcium, amelyet a Black Cell Magyarország Kft.-vel közösen hívott életre, a hazai jogalkotásban, illetve megvalósításban kompetens hatóságokkal együttműködve arra törekszik, hogy segítse partnereit a NIS2 irányelvből fakadó kötelezettségek teljesítésére való felkészülésben.

• Egyre fogy az idő a NIS 2 irányelv tényleges hatályba lépéséig, ezért különösen fontos foglalkozni minden érintettnek azokkal a kötelezettségekkel, amelyeket teljesíteni kell
• Nagy vízválasztónak ígérkezik október 18-a, de valóban az? Tényleg olyan tetemes a követelményhalmaz?
• Szeretné tudni és érteni, hogy a változó jogszabályi környezetben mi valójában a jogalkotó szándéka?
• A legoptimálisabb megoldások felé indulna, de túl nagy a zaj szakmai körökben és nehéz az igazán jó szolgáltatási csomagokhoz hozzájutni?
• Egy irányelv (NIS 2) – két törvény (Kibertan.tv és az Ibtv.) – egy végrehajtási rendelet (MK rendelet), a kapcsolódási pontok, a különbözőségek és a párhuzamok útvesztőjében fontos lenne látni a tényleges újdonságokat?
  
  Kiberbiztonsági tanúsítási (kibertan) törvény: https://njt.hu/jogszabaly/2023-23-00-00.7
  Infobizt törvény: https://net.jogtar.hu/jogszabaly?docid=a1300050.tv

• A rendezvény lehetőséget ad a szakemberekkel, jogalkotókkal való szakmai egyeztetésre.

Tapasztalt csapatunk kiválóan ismeri az információbiztonsági szabványokat és rendelkezik a NIS2 irányelvvel kapcsolatos legfrissebb tudással. Segítünk az irányelvben foglalt követelmények pontos azonosításában és a megfelelő intézkedések meghozatalában.

Egyedi igényekre szabott megoldásokat kínálunk ügyfeleinknek. Felmérjük a kockázatokat és a kihívásokat, majd kidolgozzuk a NIS2 irányelv által előírt intézkedésekhez szükséges javaslatokat.

A cégünk nemcsak a NIS2 irányelvnek való megfelelésben segít, hanem átfogó támogatást is nyújt az informatikai biztonság egyéb területein. Legyen szó hálózatbiztonságról, adatvédelemről vagy kibervédelemről, mi mindent bevonunk a biztonságos üzleti környezet kialakításába.

Segítünk a BCP és a DRP felülvizsgálatában vagy kidolgozásában, valamint tanácsot adunk a kibertámadások elleni védekezés terén. Ezenkívül oktatást és tanácsadást is nyújtunk, hogy biztonsági tudatosságát és képességeit javíthassa.

Mindig naprakész technológiákat és megközelítéseket alkalmazunk a NIS2 irányelv megfelelőségének biztosítására. Korszerű eszközökkel végezzük a sérülékenységi vizsgálatokat és biztosítjuk a SOC (Security Operations Center) szolgáltatásokat, hogy Ön mindig a legmagasabb szintű védelmet élvezhesse.

Az ügyfelek elégedettsége a legfontosabb számunkra. Folyamatosan arra törekszünk, hogy partnereinkkel hatékony, hosszú távú együttműködést alakítsunk ki. A legoptimálisabb eredmények elérése érdekében mindig ügyfeleink igényeinek, prioritásainak és üzleti céljainak figyelembevételével kínálunk megoldásokat.

A NIS2 megfelelésen túl segítünk Önnek más releváns szabályozásokkal, például a GDPR-ral és az adatvédelmi előírásokkal kapcsolatban.

CIO, CISO (Informatikai vezető, Információbiztonsági tisztviselő)
Esetleg műszaki vezető, vagy ügyvezető

A NIS2 a korábbi (EU) 2016/1148 NIS irányelv felülvizsgálata révén, annak újragondolása és szakmai tekintetben részletesebb kifejtése által jött létre és hatálybalépésével jelentős előre lépeseket vár az Unió a szervezetek, a nemzetek és az egész közösség kiberrezilienciájának növelése terén. A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez és az új kihívásokra adandó hatékonyabb válaszok szükségének felismeréséhez vezetett, amely minden Európai Uniós tagállamban kiigazított, összehangolt és innovatív reagálást igényel.

A NIS2 irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, ezáltal védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, fejlesszék a biztonsági eseményekre történő reagálóképességüket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén.

Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása a kibertérben. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló beszállítókkal szemben is magasszintű elvárásokat kell támasztaniuk, ezzel fokozható az ellátási láncok biztonsága.

Érintett ágazatok:

Hazánkban várhatóan legalább 2500 közép- és nagyvállalatra vonatkozik majd a NIS2 direktíva. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás.

Kiemelten kritikus ágazatok:

• Energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
• Szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
• Banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
• Egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
• Ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
• Digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
• Közigazgatás
• Kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
• Világűr, űripar

Egyéb kritikus ágazat:

• Postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
• Hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
• Vegyszerek gyártása, -előállítása és -forgalmazása
• Élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
• Meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
• Digitális szolgáltatások
• Kutatóhelyek

• 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságáért felelős személy kell kijelölniük (regisztrációs és adatszolgáltatási kötelezettség az SZTFH részére).
• 2024. október 18-tól az érintett szervezetek alkalmazzák a kötelezően előírt védelmi intézkedéseket.
• 2024. december 31.-ig szerződni kell egy akkreditált auditorral.
• 2025. december 31-ig első kiberbiztonsági auditálás elvégzése, amelyet 2 évente meg kell ismételni

Kötelezettségek

• Információbiztonságért felelős személyt kell kijelölni
• El kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését
  
• Biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas)
  
• Informatikai biztonsági szabályzat kidolgozása (IBSZ)
  
• Meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket (=az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettsége)
  
• Példák a védelmi intézkedésekre:
  titkosítási megoldások alkalmazása
  többtényezős hitelesítési vagy folyamatos hitelesítési megoldások
  biztonsági kockázatértékelések elvégzése
  biztonságos hang-, video- és szöveges kommunikáció biztosítása
  a hálózat és a teljes rendszer monitorozása, felügyelete
  a munkavállalók és a vezetők képzése
  biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül szerződéses követelményeket kell támasztania a beszállítók felé, majd azok teljesítését kikényszeríteni, ami hozzáad az ellátási lánc biztonságához
  sérülékenységi vizsgálatok elvégzése
• Ellátási lánc biztonságának biztosítása (szerződéses követelményeket kell támasztania a beszállítók felé, majd azok teljesítését kikényszeríteni)
  
• Üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) – tartalékrendszerek kezelése
  
• Kiberbiztonsági incidens észlelési képesség kialakítása és fenntartása, incidenskezelés és bejelentés elvégzése
  
• Incidensekre való reagálási terv kidolgozása
  
• Incidens esetén 24 órán belüli első értesítési kötelezettség a hatóságok felé
  
• 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
  
• 1 hónapon belüli zárójelentés kötelezettség
  
• Katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)

Hatósággal történő együttműködést érintő kötelezettségek:

• Nyilvántartásba vétel érdekében regisztráció és adatok megküldése az SZTFH részére
  
• 2 évente kötelező auditálás (SZTFH által nyilvántartott auditor által)
  
• Éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)

A management felelőssége

• A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie – erről evidenciákat kell tudni bemutatni, igazolni a tényszerű felelősségvállalást az audit keretében.
  
• Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek – az első számú vezető felelőssége olyan mértékű, hogy súlyos hiányosság esetén a hatóság javaslatára megvonható a vezetői kinevezés.
  
• Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek (különösen, ha annak eredményeként súlyos biztonsági incidens következik be), alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca felé támasztott kiberbiztonsági elvárások kikényszerítéséért.

Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt.

A kötelezettségek elmulasztása, vagy nem megfelelő teljesítése súlyos közigazgatási bírságokat vonhat maga után:

Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.

Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.

A vonatkozó rendelet: https://njt.hu/jogszabaly/2023-305-20-22

További jogkövetkezményként a felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.

Kérjük látogasson el a www.consolution.hu illetve  a www.blackcell.io címre, de pár szóban az alábbiakkal:

• IT biztonsági szolgáltatások
• IT biztonsági stratégia kialakítása
• IT biztonsági tanácsadás
• IT audit elvégzése
• Informatikai szabályzatok kidolgozása
• Sérülékenység vizsgálat (ethical hacking), penetrációs teszt (penetration test)
• Social engineering vizsgálat
• IT biztonsági rendszerek üzemeltetése
• Üzletmenet-folytonosság menedzsment (BCM)
• Üzletmenet-folytonossági tervezés (készenléti iroda biztosítása)
• GDPR felkészítés
• Adatvédelmi tisztviselő (DPO) szolgáltatás nyújtása
• Hibrid SOC szolgáltatások 

Milyen termékek tudnak ebben segíteni?

• IT biztonsági termékek
• Szoftveres sérülékenységi vizsgálat
• Hálózatbiztonsági eszközök
• Végpontvédelem / Vírusirtó megoldások
• Cloud security
• Mentési rendszerek
• Mobil eszközök biztonsága
• Munkavállalók ellenőrzése, teljesítmény monitorozás
• Adattörlés, adathordozó megsemmisítés
• SIEM megoldások