top of page

NIS2 felkészítés

NIS2 felkészítés direkt kötelezettek számára
Azon szervezetek, melyek a törvény alapján bejelentkezési kötelezettsége van a Hatóság felé.

NIS2 felkészítés alvállalkozói lánc számára
Azon szervezetek számára, melyek olyan szolgáltatóval/vevővel állnak kapcsolatban,
 melyek direkt kötelezettek a NIS2 megfelelésre.


 
A NIS2 a korábbi (EU) 2016/1148 NIS irányelv továbbfejlesztett változata. Célja a kiberbiztonsági stabilitás felállítása az illetékes hatóságok és az EU között.

Magyarországon több ezer közepes és nagyvállalat esik a NIS2 irányelv hatálya alá, az érintett szervezeteknél különös hangsúlyt kap majd a folyamatos hatósági ellenőrzés, és emellett független auditorok által végzett kockázat értékelés is kötelező. Az uniós tagállamoknak intézkedéseket kell tenniük hálózataik és információs rendszereik kiberbiztonságának fokozása érdekében, nemzeti riasztórendszereket kell létrehozniuk , és a kiberbiztonság terén a NIS2 értelmében együtt kell működniük más uniós tagállamokkal és uniós intézményekkel.

Az EU 2022/2555 irányelvének és a 2023. évi XXIII.  a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénynek megfelelő teljeskörű szolgáltatás közép és nagyvállalatok számára. Üzleti, kereskedelmi gondolkodással, a vállalat működőképességét tartjuk a fókuszban úgy, hogy közben mindenben megfeleljen a dokumentációs követelményeknek.

Határidők

  • 2024. január 1-től hatályos.

  • 2024. október 18-tól alkalmazni kell a bevezetett védekezési mechanizmusokat.

  • 2024. december 31-ig szerződést kell kötni egy auditor szervezettel a hatóság által közzétett listáról.

  • 2025 során el kell végezni az első auditot.

Megfelelés kritériumai

2023. december 31-ig ígéri a Hatóság a végleges kritérium rendszer

meghatározását. Jelenlegi ismeretek szerint a NIST 800/53R5-t kell majd alkalmazni, de a felkészülést akár most el lehet kezdeni egy ISO/IEC 27001:2022-re való felkészüléssel és később ezt kiegészíteni a végleges elvárásokkal.

Üzletmenet folytonosság

A rendelet elvárása alapján üzleti hatáselemzésen alapuló üzletemet folytonossági tervezet és katasztrófa esetén alkalmazandó akcióterve elkészítését várja el a rendelet végrehajtási utasítása.

  • Üzleti hatáselemzés (BIA, Business Impact analisys)

  • Üzletmenet vagy szolgáltatás folytonossági terv (BCP,Business Continuity Plan)

  • Katasztrófa elhráítási terv (DRP, Disaster Recovery Plan)

Projekt időkeret

Felkészültségi szinttől függőken minimum két (2), de akár tíz (10) hónapot is igénybe vehet a teljes felkészülés.

Direkt kötelezettek számára

  • Interjúk segítségével felmérjük a szervezet informatikai rendszerének és a létesítmények biztonságát

  • NI2 kritérium rendszer szerint kialakítjuk a kockázat menedzsment dokumentációs módszertanát és szabályzatát

  • Elvégezzük a kockázat elemzést

  • Cselekvési tervet alakítunk ki az esetleges kockázatok csökkentésére 

    • Kizárjuk a szervezet működése alapján nem figyelembe veendő kockázatokat, csökkentve az adminisztrációs terhet

    • Megkeressük az üzleti működés fenntartása szempontjából a legoptimálisabb kockázat kezelési módszert

    • Javaslatot teszünk a szabályzatok elkészítésére

    • Amennyiben lehet, adminisztratív megoldást javasolunk a költséges pótberuházások helyett

  • Dokumentáljuk a kockázat kezelés eredményét

  • Rendszeres felülvizsgálati szolgáltatást biztosítunk

  • A rendszer esetleges sérülése esetén dokumentáljuk a incidenst és támogatjuk a hatósági bejelentés dokumentálásást

  • Tényeken alapuló döntéshozatal

  • Kockázatalapú gondolkodásmód

A lista, melyben részletesen meghatározásra kerültek azon ágazatok, melyek a NIS2 alá esnek itt található: https://njt.hu/jogszabaly/2023-23-00-00

nis2_vonatkozik_edited.png

Alvállalkozói lánc számára

Jelent ismereteink szerint Magyarországon a Hatóság a direkt kötelezetteket fogja ellenőrizni és rájuk hárítja azt a feladatot, hogy ellenőrizzék az alvállalkozóikat, ma a nagyvállalatok többféle módon végzik alvállalkozóik ellenőrzését, (pld. szerződéses jogi felelősségvállalással, vagy Exceles felmérésekkel, vagy bekérik az ISO 27001 tanúsítványt.) 

Azt javasoljuk az alvállalkozóknak, hogy készüljenek fel az ISO/IEC 27001 szabvány elvárásainak megfelelően és tanúsítsák le irányítási rendszerüket. Nagy valószínűséggel el fogják fogadni a vevők, sok esetben könnyebb az ISO 27001-nek megfelelni mint az Exceles elvárástömegnek.

bottom of page