top of page

NIS2 felkészítés - Tanácsadás

Kire vonatkozik a NIS 2 kötelezettség

Minden olyan szervezetre mely:

  • Több mint 50 főt alkalmaz, vagy

  • a forgalma több mint 10 000 000 Euro;

  • A tevékenysége benne van a 2023. évi XXIII. törvény által meghatározott ágazati listában.

A feltételek közül a szervezetnek 50 főt kell alkalmaznia vagy a forgalmának több mint 10 000 000 EUR-nak kell lennie és benne kell lennie a törvény által meghatározott ágazati listában, ellenkező esetben a szervezet nem kötelezett a NIS2 elvárásainak betartására. 

A NIS 2 irányelvben meghatározott konkrét ágazati lista a 2023 évi XXIII. törvény mellékletében itt található: https://njt.hu/jogszabaly/2023-23-00-00

Direkt kötelezettek számára

A Gill & Murry az alábbi szolgáltatásokat nyújtja a NIS2 tanácsadás során:

  • Elkészítjük a szervezet NIS2 szerinti biztonsági osztályba sorolását.

  • Interjúk és kérdőívek segítségével felmérjük a szervezet informatikai rendszerinek és szolgáltatásainak (IKT-szolgáltatás vagy IKT-folyamat) valamint az általa gyártott IKT-termék, jelenlegi biztonsági felkészültségét.

  • NIS2 kritérium rendszer szerint kialakítjuk a kockázat menedzsment dokumentációs módszertanát és szabályzatát.

  • Elvégezzük és dokumentáljuk a kockázat elemzést.

  • Cselekvési tervet alakítunk ki az esetleges kockázatok csökkentésére.

    • Kizárjuk a szervezet működése alapján nem figyelembe veendő kockázatokat, csökkentve az adminisztrációs terhet.

    • Megkeressük az üzleti működés fenntartása szempontjából a legoptimálisabb kockázat kezelési módszert.

    • Elkészítjük a NIS2 irányelvnek megfelelő szabályzatokat.

    • Amennyiben lehet, adminisztratív megoldást javaslunk a költséges pótberuházások helyett.

  • Rendszeres felülvizsgálati szolgáltatást biztosítunk.

  • A rendszer esetleges sérülése esetén dokumentáljuk az incidenst és támogatjuk a hatósági bejelentés dokumentálását.

  • Elkészítjük és kulcsra készen átadjuk a NIS 2 elvárásinak megfelelő teljes szabályozási és dokumentációs csomagot.

  • Vállalunk IBF (információbiztonsági felelős) szolgáltatást.

  • Igény esetén támogatjuk a szervezetet a tanúsító audit során.

NIS2 felkészítés direkt kötelezettek számára
Azon szervezetek, melyek a törvény alapján bejelentkezési kötelezettsége van a Hatóság felé.

NIS2 felkészítés alvállalkozói lánc számára
Azon szervezetek számára, melyek olyan szolgáltatóval/vevővel állnak kapcsolatban,
 melyek direkt kötelezettek a NIS2 megfelelésre.

















 

nis2-felkeszites-tanacsadas
Határidők

  • 2024. január 1-től önazonosítás, információbiztonsági felelős kinevezése 

  • 2024. június 30-ig a direkt érintettek hatósági regisztrációja ügyfélkapun keresztül (SZTFH) 

    • IT Üzemeltetésben résztvevő alvállalkozók bejelentése 

    • Igénybe vett elektronikus hírközlési szolgáltatást nyújtó szervezet (pld. internet szolgáltató)

  • 2024. október 18-tól alkalmazni kell a bevezetett védekezési mechanizmusokat.

    • Működtetni kell egy IBIR rendszert a szervezetben.

  • 2024. december 31-ig szerződést kell kötni egy auditor szervezettel a hatóság által közzétett listáról.

  • 2025 során el kell végezni az első auditot.

Részletek és magyarázat ITT.

Megfelelés kritériumai

2024. Q1-re ígéri a Hatóság a végleges kritérium rendszer meghatározását. Jelenlegi ismeretek szerint a NIST 800/53R5-t alapján a hatóság a 2013.L. törvényt és annak 41.2015 BM rendelet – végrehajtási utasítását fogja módosítani. A felkészülést akár most el lehet kezdeni, akár az ISO 27001:2022, vagy a jelenlegi 2013.L. törvény elvárásai alapján. A Gill & Murry szakmai álláspontja szerint érdemes elkezdeni az információbiztonságra  való felkészüléssel és később ezt kiegészíteni a végleges elvárásokkal.

Üzletmenet folytonosság

A rendelet elvárása alapján üzleti hatáselemzésen alapuló üzletemet folytonossági tervezet és katasztrófa esetén alkalmazandó akcióterve elkészítését várja el a rendelet végrehajtási utasítása.

  • Üzleti hatáselemzés (BIA, Business Impact analisys)

  • Üzletmenet vagy szolgáltatás folytonossági terv (BCP,Business Continuity Plan)

  • Katasztrófa elhárítási terv (DRP, Disaster Recovery Plan)

Projekt időkeret

Felkészültségi szinttől függőken minimum két (2), de akár tíz (10) hónapot is igénybe vehet a teljes felkészülés a szervezet jelenlegi informácóbiztonsági felkészülésétől függően.

A NIS2 a korábbi EU 2016/1148 NIS irányelv továbbfejlesztett változata. Célja a kiberbiztonság stabilitásának növelése az illetékes hatóságok és az EU között.

 

Magyarországon több ezer közepes és nagyvállalat esik a NIS2 irányelv hatálya alá, az érintett szervezeteknél különös hangsúlyt kap majd a folyamatos hatósági ellenőrzés, és emellett független auditorok által végzett kockázat értékelés is kötelező.

 

Az uniós tagállamoknak intézkedéseket kell tenniük hálózataik és információs rendszereik kiberbiztonságának fokozása érdekében, nemzeti riasztórendszereket kell létrehozniuk , és a kiberbiztonság terén a NIS 2 értelmében együtt kell működniük más uniós tagállamokkal és uniós intézményekkel.

 

Az EU 2022/2555 irányelvének és a 2023. évi XXIII.  a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénynek megfelelő teljeskörű szolgáltatás közép és nagyvállalatok számára. Üzleti, kereskedelmi gondolkodással, a vállalat működőképességét tartjuk a fókuszban úgy, hogy közben mindenben megfeleljen a dokumentációs követelményeknek.

NIS 2 előaudit

Azoknak ajánljuk a szolgáltatást, aki saját erőből vagy más külső szolgáltató segítségével készültek fel a NSI2 elvárásaira és a hatósági audit előtt büntetlenül szeretnék felméri a felkészültségi szintjüket.

Megoldások a NIS2 kötelezettek alvállalkozói lánca számára

​A Gill & Murry az alábbi szolgálatásokat nyújtja a NIS2 tanácsadás során azok számára, akik NIS 2 kötelezett vevői, vagy valamilyen formában a szervezet megköveteli a NIS2 megfelelést.

A Hatóság a direkt kötelezetteket fogja ellenőrizni és rájuk hárítja azt a feladatot, hogy ellenőrizzék az alvállalkozóikat. 

Jelenleg az IT üzemeltetésben részvevőket kell bejelenteni, tehát ezeknek a cégeknek biztosan fel kell készülniük a NIS2 elvárásaira. Elsősorban jogi garanciákat kérnek majd a nagyvállalatok alvállalkozóiktól, hogy szerződéses módon vállalják a NIS2 megfelelést. Azonban ettől nem mentesülnek sem a felelősségtől sem a hatósági büntetéstől. Ezért számos nagyvállalat ilyen esetben megköveteli a függetlenül tanúsított Informácóbiztonsági irányítási rendszert (IBIR), például ISO 27001, TISAX, SOC2 stb.  Amennyiben az alvállalkozó nem rendelkezik független tanúsítvánnyal, úgy a kérdőív kitöltését szokták még kérni, melyben már részletes informatikai és szervezési védelmi intézkedések meglétéről kell nyilatkozni. 

Természetesen olyan eset is előfordul, hogy a Megrendelő rendelkezik erőforrással és saját auditort küld ki az alvállalkozóhoz, hogy meggyőződjön a valós információbiztonsági működésről. 

Azt javasoljuk az alvállalkozóknak, hogy készüljenek fel az ISO/IEC 27001:2022 szabvány elvárásainak megfelelően és tanúsítsák le irányítási rendszerüket. A direkt kötelezett cégek el fogják ismerni a tanúsítványt az informácóbiztonság igazolásaként és sok esetben könnyebb az ISO 27001-nek megfelelni mint az Excel-es elvárástömegnek.

bottom of page