top of page

NIS2 felkészítés (EU 2022/2555 irányelv) - Tanácsadás

Kire vonatkozik a NIS 2 kötelezettség

Minden olyan szervezetre mely:

  • Több mint 50 főt alkalmaz, vagy

  • a forgalma több mint 10 000 000 Euro;

  • A tevékenysége benne van a 2023. évi XXIII. törvény által meghatározott ágazati listában.

​A feltételek közül a szervezetnek 50 főt kell alkalmaznia vagy a forgalmának több mint 10 000 000 EUR-nak kell lennie és benne kell lennie a törvény által meghatározott ágazati listában, ellenkező esetben a szervezet nem kötelezett a NIS2 elvárásainak betartására (kivétel a 2023.XXIII. törvény 17§-ben szereplő szervezetek).

A NIS 2 irányelvben meghatározott konkrét ágazati lista a 2023 évi XXIII. törvény mellékletében itt található: https://njt.hu/jogszabaly/2023-23-00-00

Direkt kötelezettek számára

A Gill & Murry az alábbi szolgáltatásokat nyújtja a NIS2 tanácsadás során:

  • Elkészítjük a szervezet NIS2 szerinti biztonsági osztályba sorolását.

  • Interjúk és kérdőívek segítségével felmérjük a szervezet informatikai rendszerinek és szolgáltatásainak (IKT-szolgáltatás vagy IKT-folyamat) valamint az általa gyártott IKT-termék, jelenlegi biztonsági felkészültségét.

  • NIS2 kritérium rendszer szerint kialakítjuk a kockázat menedzsment dokumentációs módszertanát és szabályzatát.

  • Elvégezzük és dokumentáljuk a kockázat elemzéseket (rendszerenként).

  • Cselekvési tervet készítünk a „hatósági” auditig elvégzendő feladatokról:

    • Kizárjuk a szervezet működése alapján nem figyelembe veendő kockázatokat, csökkentve az adminisztrációs terhet.

    • Megkeressük az üzleti működés fenntartása szempontjából a legoptimálisabb kockázat kezelési módszert.

  • Elkészítjük a NIS2 irányelvnek megfelelő szabályzatokat.

    • Amennyiben lehet, adminisztratív megoldást javaslunk a költséges pótberuházások helyett.

  • Intézkedési tervet készítünk a „hatósági” auditig NEM kezelhető feladatokról, mely dokumentum leadható az auditornak és a hatóságnak.

  • Támogatjuk a cselekvési terv bevezetését szakmai konzultációval.

  • A rendszer esetleges sérülése esetén dokumentáljuk az incidenst és támogatjuk a hatósági bejelentés dokumentálását.

Előaudit szolgáltatás

Azon szervezet számára, amely még nem vett részt információbiztonsági auditon vállaljuk a „hatósági” audit előtt az audit folyamat szimulálását és az elvégzett felkészülési munka előauditját. Az itt feltárt hiányosságokat a „hatósági” auditig még javítani tudja a szervezet.

IBF (információbiztonsági felelős) szolgáltatás
Az audit során képviseljük a szervezetet és nyilatkozunk az auditornak, elkerülve az eseteleges félreértéseket, ezzel minimalizálni lehet az audit és a büntetési kockázatot.

NIS2 felkészítés direkt kötelezettek számára
Azon szervezetek, melyek a törvény alapján bejelentkezési kötelezettsége van a Hatóság felé.

NIS2 felkészítés alvállalkozói lánc számára
Azon szervezetek számára, melyek olyan szolgáltatóval/vevővel állnak kapcsolatban,
 melyek direkt kötelezettek a NIS2 megfelelésre.

















 

nis2-felkeszites-tanacsadas
Határidők

  • 2024. október 18-tól alkalmazni kell a bevezetett védekezési mechanizmusokat.

  • Működtetni kell egy IBIR rendszert a szervezetben.

  • 2024. december 31-ig szerződést kell kötni egy auditor szervezettel a hatóság által közzétett listáról.

  • 2025 során el kell végezni az első auditot.

Részletek és magyarázat ITT.

Megfelelés kritériumai

A Hatóság közzétette a 7/2024 MK rendeletet, mely leváltja 2013.L. törvény - 41.2015 BM rendelet – végrehajtási utasítását. Ennek a rendeletnek kell megfelelnie az összes az SZTFH -hoz bejelentkezetett szervezetnek.
Az NKI kiadta a 7/2024 MK rendeletet, az ISO 27001 és a 41.2015 BM rendelet kapcsolatainak táblázatát és a 7/2024 MK rendelet 2. mellékletében található 933 kontroll magyarázatát. A szervezeteknek ezeknek az elvárásoknak kell megfelelni.

Üzletmenet folytonosság

A rendelet elvárása alapján üzleti hatáselemzésen alapuló üzletemet folytonossági tervezet és katasztrófa esetén alkalmazandó akcióterve elkészítését várja el a rendelet végrehajtási utasítása.

  • Üzleti hatáselemzés (BIA, Business Impact analisys)

  • Üzletmenet vagy szolgáltatás folytonossági terv (BCP,Business Continuity Plan)

  • Katasztrófa elhárítási terv (DRP, Disaster Recovery Plan)

Projekt időkeret

Felkészültségi szinttől függőken minimum két (2), de akár tíz (10) hónapot is igénybe vehet a teljes felkészülés a szervezet jelenlegi informácóbiztonsági felkészülésétől függően.

A NIS2 a korábbi EU 2016/1148 NIS irányelv továbbfejlesztett változata. Célja a kiberbiztonság stabilitásának növelése az illetékes hatóságok és az EU között.

 

Magyarországon több ezer közepes és nagyvállalat esik a NIS2 irányelv hatálya alá, az érintett szervezeteknél különös hangsúlyt kap majd a folyamatos hatósági ellenőrzés, és emellett független auditorok által végzett kockázat értékelés is kötelező.

 

Az uniós tagállamoknak intézkedéseket kell tenniük hálózataik és információs rendszereik kiberbiztonságának fokozása érdekében, nemzeti riasztórendszereket kell létrehozniuk , és a kiberbiztonság terén a NIS 2 értelmében együtt kell működniük más uniós tagállamokkal és uniós intézményekkel.

 

Az EU 2022/2555 irányelvének és a 2023. évi XXIII.  a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénynek megfelelő teljeskörű szolgáltatás közép és nagyvállalatok számára. Üzleti, kereskedelmi gondolkodással, a vállalat működőképességét tartjuk a fókuszban úgy, hogy közben mindenben megfeleljen a dokumentációs követelményeknek.

NIS 2 előaudit

Azoknak ajánljuk a szolgáltatást, aki saját erőből vagy más külső szolgáltató segítségével készültek fel a NSI2 elvárásaira és a hatósági audit előtt büntetlenül szeretnék felméri a felkészültségi szintjüket.

Megoldások a NIS2 kötelezettek alvállalkozói lánca számára

​A Gill & Murry az alábbi szolgálatásokat nyújtja a NIS2 tanácsadás során azok számára, akik NIS 2 kötelezett vevői, vagy valamilyen formában a szervezet megköveteli a NIS2 megfelelést.

A Hatóság a direkt kötelezetteket fogja ellenőrizni és rájuk hárítja azt a feladatot, hogy ellenőrizzék az alvállalkozóikat. 

Jelenleg az IT üzemeltetésben részvevőket kell bejelenteni, tehát ezeknek a cégeknek biztosan fel kell készülniük a NIS2 elvárásaira. Elsősorban jogi garanciákat kérnek majd a nagyvállalatok alvállalkozóiktól, hogy szerződéses módon vállalják a NIS2 megfelelést. Azonban ettől nem mentesülnek sem a felelősségtől sem a hatósági büntetéstől. Ezért számos nagyvállalat ilyen esetben megköveteli a függetlenül tanúsított Informácóbiztonsági irányítási rendszert (IBIR), például ISO 27001, TISAX, SOC2 stb.  Amennyiben az alvállalkozó nem rendelkezik független tanúsítvánnyal, úgy a kérdőív kitöltését szokták még kérni, melyben már részletes informatikai és szervezési védelmi intézkedések meglétéről kell nyilatkozni. 

Természetesen olyan eset is előfordul, hogy a Megrendelő rendelkezik erőforrással és saját auditort küld ki az alvállalkozóhoz, hogy meggyőződjön a valós információbiztonsági működésről. 

Azt javasoljuk az alvállalkozóknak, hogy készüljenek fel az ISO/IEC 27001:2022 szabvány elvárásainak megfelelően és tanúsítsák le irányítási rendszerüket. A direkt kötelezett cégek el fogják ismerni a tanúsítványt az informácóbiztonság igazolásaként és sok esetben könnyebb az ISO 27001-nek megfelelni mint az Excel-es elvárástömegnek.

bottom of page