NIS2 Direktíva
Miről szól a megfelelés,hogyan
kezdjünk hozzá?
A törvény hatálya alá tartoznak a kijelölt ágazatokon belül azok a szervezetek,
amelyeknél:
50 főnél több alkalmazott
10M Euro feletti az éves árbevétel
A kiberbiztonsági tanúsítási rendszer főbb céljai
A cégvezetés többlet felelősségének nyomatékosítása
Információbiztonsági irányítási rendszer működtetése
Kockázatelemzési és kezelési folyamatok fenntartása, védelmi
intézkedések a kockázatok csökkentésére
Incidenskezelési folyamat működtetése, hatósági bejelentési
kötelezettség
(24 órán belül esemény bejelentés,
72 órán belül részletes adatszolgáltatás,
30 napon belül teljes
technikai kivizsgálás és jelentés)
Üzletmenet-folytonosság erősítése
Életciklus egészében megvalósuló védelem
Személyi- és fizikai biztonság
Biztonságtudatosság növelése
Ellátási láncok biztonságának növelése (szállítók,
alvállalkozók)
Fenti célok alapján látható, hogy az információbiztonsági felkészültség függvényében
nem feltétlenül újdonság a törvény szerinti elvárások, már eddig is meglévő
ajánlásokat terjesztenek ki szervezetek szélesebb körére, illetve egységes és
magasabb szintű elvárásokat tűztek ki.
A hatósági felügyeleti díj és az audit költsége, továbbá a hiányosságok miatti
intézkedések eredményeként az érintett szervezetek számára erőforrás igények,
illetve költségek merülnek fel, amivel tervezni kell.
Kiemelten kockázatos
ágazatok (alapvető
szervezetek)
• energetika
• közlekedés
• egészségügy
• ívóvíz, szennyvíz
• hírközlési szolgáltatás
• digitális infrastruktúra
• kihelyezett IKT szolgáltatások
• űralapú szolgáltatás
Kockázatos ágazatok
(fontos szervezetek)
• postai és futárszolgálatok
• élelmiszer előállítása
• feldolgozása és forgalmazása
• hulladékgazdálkodás
• vegyszerek előállítása és forgalmazása
• gyártás
• digitális szolgáltatók
• kutatás
Hogyan segíthet Önnek
szakértő csapatunk:
Vállalkozása migrálása Google Workspace-re
A szolgáltatás minden olyan biztonsági követelménynek megfelel, amelyet a szigorú adatvédelmi előírásokkal rendelkező vállalatok megkövetelnek.
A szolgáltatás működési folyamatosságának SLA-ja 99,9999%-os rendelkezésre állást biztosít.
Az adatok titkosítva vannak mind tárolás, mind átvitel során.
A titkosított fájlokat több adatközpontban tárolják, így még üzemzavar vagy váratlan esemény esetén sem fenyeget adatvesztés veszélye.
A Google Workspace biztonságának felügyelete
A Cloud Tender szakemberei folyamatosan, figyelemmel kísérik a Google Workspace szolgáltatás biztonsági állapotát
A megfelelően konfigurált riasztási rendszer azonnali beavatkozást és megelőző lépéseket tesz lehetővé.
Felhasználók és rendszergazdák biztonsági oktatása
A rendszergazdák számára bemutatjuk, hogyan védhetik meg a vállalati rendszert az adatszivárgás és külső támadások ellen.
A felhasználók biztonságtudatosságát fejlesztjük azzal, hogy megismertetjük velük a fenyegetések felismerésének és a fiókvédelemnek a módszereit a napi munkafolyamatokban.
Képzéseink műhelymunka alapúak, így a résztvevők azonnal kipróbálhatják az elsajátított készségeket.
A foglalkozások anyagát korábbi, valós támadások és adatszerzési próbálkozások tapasztalatai alapján dolgoztuk ki, hogy a tanultak valódi helyzetekben is alkalmazhatók legyenek.
A NIS2 irányelv az egész Európai Unióban egységesen magas szintű
kiberbiztonságot előirányzó intézkedés, amely 2023-ban lépett hatályba. Az irányelv
kötelezettségeket ír elő a tagállamok számára és olyan ágazatokra terjed ki, amelyek a
gazdaság működése szempontjából kiemelt fontosságúak.
A nemzeti kiberbiztonsági tanúsító hatóság feladatait Magyarországon a Szabályozott
Tevékenységek Felügyeleti Hatósága (SZTFH) látja el. Az irányelvnek történő
megfeleléshez a hazai jogszabályi környezet kialakítása érdekében alkották meg
itthon a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023.
évi XXIII. (Kibertan.) törvényt, aminek hatálybalépése, illetve végrehajtási
rendeletekkel történő kiegészítése több lépcsőben történik meg 2024. október 18-ig.
NIS2 Direktíva
A törvény hatálya alá tartozó szervezet feladatai a megfelelés kapcsán
2024.10.18-ig
Éves felügyeleti díj megfizetése
(előző évi árbevétel 0,015%
2024.12.31-ig
Első kiberbiztonsági audit
vonatkozásában szerződés kötés
auditorral – a nyilvántartásba
vételtől számított 120 napon belül,
legkésőbb 2024.12.31-ig (ha
érintett 2024. október 18-a előtt
megkezdte működését)
2025.12.31-ig
Első kiberbiztonsági audit
lefolytatásának határideje
A kiberbiztonsági audit megismétlése 2 évente elvárás.
A méretkorláttól függetlenül az irányelv hatálya alá tartoznak:
• Nyilvános elektronikus hírközlés, bizalmi szolgáltatók, TLD-nyilvántartók,
• DNS szolgáltatók, domainnév nyilvántartók
• Kritikus szervezetek a CER (2022/2557 EU) irányelv alapján azonosítva
• Köz-szempont: szolgáltatás zavara jelentős hatású lehet a közvédelemre,
közegészségre, közbiztonságra;
• Közigazgatási szerv: nemzeti jog alapján;
• Különös fontosságú: nemzeti vagy regionális szinten;
• Egyetlen szolgáltatásnyújtó: szolgáltatása a kritikus társadalmi vagy gazdasági tevékenységek fenntartásához elengedhetetlen
Az elvárások az érintett szervezet által használt információs rendszerek biztonsági osztályba sorolását várják, ami alap, jelentős vagy magas lehet.
A besorolásuk után az osztálytól függő védelmi elvárásokat kell teljesíteni ezekre, a törvény 2024. év elején várható megjelenésű végrehajtási rendelete szerint.
