NIS2 felkészítés - Tanácsadás
Kire vonatkozik a NIS 2 kötelezettség
Minden olyan szervezetre mely:
-
Több mint 50 főt alkalmaz, vagy
-
a forgalma több mint 10 000 000 Euro;
-
A tevékenysége benne van a 2023. évi XXIII. törvény által meghatározott ágazati listában.
A feltételek közül a szervezetnek 50 főt kell alkalmaznia vagy a forgalmának több mint 10 000 000 EUR-nak kell lennie és benne kell lennie a törvény által meghatározott ágazati listában, ellenkező esetben a szervezet nem kötelezett a NIS2 elvárásainak betartására.
A NIS 2 irányelvben meghatározott konkrét ágazati lista a 2023 évi XXIII. törvény mellékletében itt található: https://njt.hu/jogszabaly/2023-23-00-00
Direkt kötelezettek számára
A Gill & Murry az alábbi szolgáltatásokat nyújtja a NIS2 tanácsadás során:
-
Elkészítjük a szervezet NIS2 szerinti biztonsági osztályba sorolását.
-
Interjúk és kérdőívek segítségével felmérjük a szervezet informatikai rendszerinek és szolgáltatásainak (IKT-szolgáltatás vagy IKT-folyamat) valamint az általa gyártott IKT-termék, jelenlegi biztonsági felkészültségét.
-
NIS2 kritérium rendszer szerint kialakítjuk a kockázat menedzsment dokumentációs módszertanát és szabályzatát.
-
Elvégezzük és dokumentáljuk a kockázat elemzést.
-
Cselekvési tervet alakítunk ki az esetleges kockázatok csökkentésére.
-
Kizárjuk a szervezet működése alapján nem figyelembe veendő kockázatokat, csökkentve az adminisztrációs terhet.
-
Megkeressük az üzleti működés fenntartása szempontjából a legoptimálisabb kockázat kezelési módszert.
-
Elkészítjük a NIS2 irányelvnek megfelelő szabályzatokat.
-
Amennyiben lehet, adminisztratív megoldást javaslunk a költséges pótberuházások helyett.
-
-
Rendszeres felülvizsgálati szolgáltatást biztosítunk.
-
A rendszer esetleges sérülése esetén dokumentáljuk az incidenst és támogatjuk a hatósági bejelentés dokumentálását.
-
Elkészítjük és kulcsra készen átadjuk a NIS 2 elvárásinak megfelelő teljes szabályozási és dokumentációs csomagot.
-
Vállalunk IBF (információbiztonsági felelős) szolgáltatást.
-
Igény esetén támogatjuk a szervezetet a tanúsító audit során.
Határidők
-
2024. január 1-től önazonosítás, információbiztonsági felelős kinevezése
-
2024. június 30-ig a direkt érintettek hatósági regisztrációja ügyfélkapun keresztül (SZTFH)
-
IT Üzemeltetésben résztvevő alvállalkozók bejelentése
-
Igénybe vett elektronikus hírközlési szolgáltatást nyújtó szervezet (pld. internet szolgáltató)
-
-
2024. október 18-tól alkalmazni kell a bevezetett védekezési mechanizmusokat.
-
Működtetni kell egy IBIR rendszert a szervezetben.
-
-
2024. december 31-ig szerződést kell kötni egy auditor szervezettel a hatóság által közzétett listáról.
-
2025 során el kell végezni az első auditot.
Részletek és magyarázat ITT.
Megfelelés kritériumai
2024. Q1-re ígéri a Hatóság a végleges kritérium rendszer meghatározását. Jelenlegi ismeretek szerint a NIST 800/53R5-t alapján a hatóság a 2013.L. törvényt és annak 41.2015 BM rendelet – végrehajtási utasítását fogja módosítani. A felkészülést akár most el lehet kezdeni, akár az ISO 27001:2022, vagy a jelenlegi 2013.L. törvény elvárásai alapján. A Gill & Murry szakmai álláspontja szerint érdemes elkezdeni az információbiztonságra való felkészüléssel és később ezt kiegészíteni a végleges elvárásokkal.
Üzletmenet folytonosság
A rendelet elvárása alapján üzleti hatáselemzésen alapuló üzletemet folytonossági tervezet és katasztrófa esetén alkalmazandó akcióterve elkészítését várja el a rendelet végrehajtási utasítása.
-
Üzleti hatáselemzés (BIA, Business Impact analisys)
-
Üzletmenet vagy szolgáltatás folytonossági terv (BCP,Business Continuity Plan)
-
Katasztrófa elhárítási terv (DRP, Disaster Recovery Plan)
Projekt időkeret
Felkészültségi szinttől függőken minimum két (2), de akár tíz (10) hónapot is igénybe vehet a teljes felkészülés a szervezet jelenlegi informácóbiztonsági felkészülésétől függően.
A NIS2 a korábbi EU 2016/1148 NIS irányelv továbbfejlesztett változata. Célja a kiberbiztonság stabilitásának növelése az illetékes hatóságok és az EU között.
Magyarországon több ezer közepes és nagyvállalat esik a NIS2 irányelv hatálya alá, az érintett szervezeteknél különös hangsúlyt kap majd a folyamatos hatósági ellenőrzés, és emellett független auditorok által végzett kockázat értékelés is kötelező.
Az uniós tagállamoknak intézkedéseket kell tenniük hálózataik és információs rendszereik kiberbiztonságának fokozása érdekében, nemzeti riasztórendszereket kell létrehozniuk , és a kiberbiztonság terén a NIS 2 értelmében együtt kell működniük más uniós tagállamokkal és uniós intézményekkel.
Az EU 2022/2555 irányelvének és a 2023. évi XXIII. a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénynek megfelelő teljeskörű szolgáltatás közép és nagyvállalatok számára. Üzleti, kereskedelmi gondolkodással, a vállalat működőképességét tartjuk a fókuszban úgy, hogy közben mindenben megfeleljen a dokumentációs követelményeknek.
Megoldások a NIS2 kötelezettek alvállalkozói lánca számára
A Gill & Murry az alábbi szolgálatásokat nyújtja a NIS2 tanácsadás során azok számára, akik NIS 2 kötelezett vevői, vagy valamilyen formában a szervezet megköveteli a NIS2 megfelelést.
A Hatóság a direkt kötelezetteket fogja ellenőrizni és rájuk hárítja azt a feladatot, hogy ellenőrizzék az alvállalkozóikat.
Jelenleg az IT üzemeltetésben részvevőket kell bejelenteni, tehát ezeknek a cégeknek biztosan fel kell készülniük a NIS2 elvárásaira. Elsősorban jogi garanciákat kérnek majd a nagyvállalatok alvállalkozóiktól, hogy szerződéses módon vállalják a NIS2 megfelelést. Azonban ettől nem mentesülnek sem a felelősségtől sem a hatósági büntetéstől. Ezért számos nagyvállalat ilyen esetben megköveteli a függetlenül tanúsított Informácóbiztonsági irányítási rendszert (IBIR), például ISO 27001, TISAX, SOC2 stb. Amennyiben az alvállalkozó nem rendelkezik független tanúsítvánnyal, úgy a kérdőív kitöltését szokták még kérni, melyben már részletes informatikai és szervezési védelmi intézkedések meglétéről kell nyilatkozni.
Természetesen olyan eset is előfordul, hogy a Megrendelő rendelkezik erőforrással és saját auditort küld ki az alvállalkozóhoz, hogy meggyőződjön a valós információbiztonsági működésről.
Azt javasoljuk az alvállalkozóknak, hogy készüljenek fel az ISO/IEC 27001:2022 szabvány elvárásainak megfelelően és tanúsítsák le irányítási rendszerüket. A direkt kötelezett cégek el fogják ismerni a tanúsítványt az informácóbiztonság igazolásaként és sok esetben könnyebb az ISO 27001-nek megfelelni mint az Excel-es elvárástömegnek.