NIS2 felkészítés (EU 2022/2555 irányelv) - Tanácsadás
Kire vonatkozik a NIS 2 kötelezettség
Minden olyan szervezetre mely:
-
Több mint 50 főt alkalmaz, vagy
-
a forgalma több mint 10 000 000 Euro;
-
A tevékenysége benne van a 2023. évi XXIII. törvény által meghatározott ágazati listában.
A feltételek közül a szervezetnek 50 főt kell alkalmaznia vagy a forgalmának több mint 10 000 000 EUR-nak kell lennie és benne kell lennie a törvény által meghatározott ágazati listában, ellenkező esetben a szervezet nem kötelezett a NIS2 elvárásainak betartására (kivétel a 2023.XXIII. törvény 17§-ben szereplő szervezetek).
A NIS 2 irányelvben meghatározott konkrét ágazati lista a 2023 évi XXIII. törvény mellékletében itt található: https://njt.hu/jogszabaly/2023-23-00-00
Direkt kötelezettek számára
A Gill & Murry az alábbi szolgáltatásokat nyújtja a NIS2 tanácsadás során:
-
Elkészítjük a szervezet NIS2 szerinti biztonsági osztályba sorolását.
-
Interjúk és kérdőívek segítségével felmérjük a szervezet informatikai rendszerinek és szolgáltatásainak (IKT-szolgáltatás vagy IKT-folyamat) valamint az általa gyártott IKT-termék, jelenlegi biztonsági felkészültségét.
-
NIS2 kritérium rendszer szerint kialakítjuk a kockázat menedzsment dokumentációs módszertanát és szabályzatát.
-
Elvégezzük és dokumentáljuk a kockázat elemzéseket (rendszerenként).
-
Cselekvési tervet készítünk a „hatósági” auditig elvégzendő feladatokról:
-
Kizárjuk a szervezet működése alapján nem figyelembe veendő kockázatokat, csökkentve az adminisztrációs terhet.
-
Megkeressük az üzleti működés fenntartása szempontjából a legoptimálisabb kockázat kezelési módszert.
-
-
Elkészítjük a NIS2 irányelvnek megfelelő szabályzatokat.
-
Amennyiben lehet, adminisztratív megoldást javaslunk a költséges pótberuházások helyett.
-
-
Intézkedési tervet készítünk a „hatósági” auditig NEM kezelhető feladatokról, mely dokumentum leadható az auditornak és a hatóságnak.
-
Támogatjuk a cselekvési terv bevezetését szakmai konzultációval.
-
A rendszer esetleges sérülése esetén dokumentáljuk az incidenst és támogatjuk a hatósági bejelentés dokumentálását.
Előaudit szolgáltatás
Azon szervezet számára, amely még nem vett részt információbiztonsági auditon vállaljuk a „hatósági” audit előtt az audit folyamat szimulálását és az elvégzett felkészülési munka előauditját. Az itt feltárt hiányosságokat a „hatósági” auditig még javítani tudja a szervezet.
IBF (információbiztonsági felelős) szolgáltatás
Az audit során képviseljük a szervezetet és nyilatkozunk az auditornak, elkerülve az eseteleges félreértéseket, ezzel minimalizálni lehet az audit és a büntetési kockázatot.

Határidők
-
2024. október 18-tól alkalmazni kell a bevezetett védekezési mechanizmusokat.
-
Működtetni kell egy IBIR rendszert a szervezetben.
-
2024. december 31-ig szerződést kell kötni egy auditor szervezettel a hatóság által közzétett listáról.
-
2025 során el kell végezni az első auditot.
Részletek és magyarázat ITT.
Megfelelés kritériumai
A Hatóság közzétette a 7/2024 MK rendeletet, mely leváltja 2013.L. törvény - 41.2015 BM rendelet – végrehajtási utasítását. Ennek a rendeletnek kell megfelelnie az összes az SZTFH -hoz bejelentkezetett szervezetnek.
Az NKI kiadta a 7/2024 MK rendeletet, az ISO 27001 és a 41.2015 BM rendelet kapcsolatainak táblázatát és a 7/2024 MK rendelet 2. mellékletében található 933 kontroll magyarázatát. A szervezeteknek ezeknek az elvárásoknak kell megfelelni.
Üzletmenet folytonosság
A rendelet elvárása alapján üzleti hatáselemzésen alapuló üzletemet folytonossági tervezet és katasztrófa esetén alkalmazandó akcióterve elkészítését várja el a rendelet végrehajtási utasítása.
-
Üzleti hatáselemzés (BIA, Business Impact analisys)
-
Üzletmenet vagy szolgáltatás folytonossági terv (BCP,Business Continuity Plan)
-
Katasztrófa elhárítási terv (DRP, Disaster Recovery Plan)
Projekt időkeret
Felkészültségi szinttől függőken minimum két (2), de akár tíz (10) hónapot is igénybe vehet a teljes felkészülés a szervezet jelenlegi informácóbiztonsági felkészülésétől függően.
A NIS2 a korábbi EU 2016/1148 NIS irányelv továbbfejlesztett változata. Célja a kiberbiztonság stabilitásának növelése az illetékes hatóságok és az EU között.
Magyarországon több ezer közepes és nagyvállalat esik a NIS2 irányelv hatálya alá, az érintett szervezeteknél különös hangsúlyt kap majd a folyamatos hatósági ellenőrzés, és emellett független auditorok által végzett kockázat értékelés is kötelező.
Az uniós tagállamoknak intézkedéseket kell tenniük hálózataik és információs rendszereik kiberbiztonságának fokozása érdekében, nemzeti riasztórendszereket kell létrehozniuk , és a kiberbiztonság terén a NIS 2 értelmében együtt kell működniük más uniós tagállamokkal és uniós intézményekkel.
Az EU 2022/2555 irányelvének és a 2023. évi XXIII. a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénynek megfelelő teljeskörű szolgáltatás közép és nagyvállalatok számára. Üzleti, kereskedelmi gondolkodással, a vállalat működőképességét tartjuk a fókuszban úgy, hogy közben mindenben megfeleljen a dokumentációs követelményeknek.
Megoldások a NIS2 kötelezettek alvállalkozói lánca számára
A Gill & Murry az alábbi szolgálatásokat nyújtja a NIS2 tanácsadás során azok számára, akik NIS 2 kötelezett vevői, vagy valamilyen formában a szervezet megköveteli a NIS2 megfelelést.
A Hatóság a direkt kötelezetteket fogja ellenőrizni és rájuk hárítja azt a feladatot, hogy ellenőrizzék az alvállalkozóikat.
Jelenleg az IT üzemeltetésben részvevőket kell bejelenteni, tehát ezeknek a cégeknek biztosan fel kell készülniük a NIS2 elvárásaira. Elsősorban jogi garanciákat kérnek majd a nagyvállalatok alvállalkozóiktól, hogy szerződéses módon vállalják a NIS2 megfelelést. Azonban ettől nem mentesülnek sem a felelősségtől sem a hatósági büntetéstől. Ezért számos nagyvállalat ilyen esetben megköveteli a függetlenül tanúsított Informácóbiztonsági irányítási rendszert (IBIR), például ISO 27001, TISAX, SOC2 stb. Amennyiben az alvállalkozó nem rendelkezik független tanúsítvánnyal, úgy a kérdőív kitöltését szokták még kérni, melyben már részletes informatikai és szervezési védelmi intézkedések meglétéről kell nyilatkozni.
Természetesen olyan eset is előfordul, hogy a Megrendelő rendelkezik erőforrással és saját auditort küld ki az alvállalkozóhoz, hogy meggyőződjön a valós információbiztonsági működésről.
Azt javasoljuk az alvállalkozóknak, hogy készüljenek fel az ISO/IEC 27001:2022 szabvány elvárásainak megfelelően és tanúsítsák le irányítási rendszerüket. A direkt kötelezett cégek el fogják ismerni a tanúsítványt az informácóbiztonság igazolásaként és sok esetben könnyebb az ISO 27001-nek megfelelni mint az Excel-es elvárástömegnek.