Prompt phone (AM 8- PM 20): +36 30 9 82 13 68 | E-mail: tivadar.neuwald@beconz.com | Web last modification: 02 February, 2025

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
NIS2 megfelelés, GAP analízis

Mi az a NIS2?

A NIS2 (Network and Information Security) irányelv az egész EU-ra kiterjedő kiberbiztonsági jogszabály, amely jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére. Az első NIS irányelv a GDPR-ral szinte egy időben került elfogadásra, és míg utóbbi beváltotta a hozzá fűzött reményeket, addig ez nem volt elmondható a kiberbiztonság növelését célzó intézkedésről. A gyorsuló digitalizáció, az évek óta egyre erősödő kiberbiztonsági kockázatok, a kibertérben (is) zajló háború miatt azonban egyre sürgetőbb az egységes direktíva kialakítása. Többek közt ez vezetett oda, hogy a NIS 1 gyakorlatban nem mérhető hatása és a gyorsuló digitalizáció kihívásai miatt az európai törvényhozók az irányelv frissítésébe kezdtek.

A 2016-os megjelenést követően öt évvel később, 2021-ben kezdtek el az európai jogalkotók az irányelv módosításán dolgozni. Hosszú hónapok munkáját, és a több körös egyeztetést követően 2022. május 13-án vált véglegessé a tervezet. A NIS2 értelmében az érintett szervezeteknek, fokozottabban kell összpontosítania a kibernetikai biztonságra. Ez magában foglalja a megfelelő védelmi intézkedések megtételét, a kibernetikai incidensek hatékony kezelését, valamint az incidensekkel kapcsolatos jelentések megbízható és gyors továbbítását a megfelelő hatóságoknak. Emellett a szervezeteknek rendszeresen biztonsági auditokat is végre kell hajtaniuk, amelyek értékelik a rendszerek biztonságát és felkészültségét. A tagállamoknak 2024-ig kell átültetniük az irányelvet a saját jogrendszerükbe. A NIS2 a NIS eredeti dokumentumot egészíti ki az alábbi célkitűzésekkel:

  • A kollektív kiberfenyegetésekkel szembeni felkészültség javítása az EU-ban.
  • A kibertámadásokkal szembeni ellenállóképesség növelése.
  • Ellenállóképességre vonatkozó egyszerűsített elvárások és szigorúbb szankciók.

Törvényi háttér

Ez a törvény az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.
A törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

Magyarországi felügyelő szerv

A kiberbiztonsági felügyeletet kevés kivételtől eltekintve az SZFTH (Szabályozott Tevékenységek Felügyeleti Hatósága) látja el: https://sztfh.hu/

A Szervezet azzal a céllal jött létre, hogy stabil és kiszámítható működési és szabályozási környezetet teremtsen olyan kiemelt ágazatok számára, mint a szerencsejáték-szervezés, a dohányügy, a kiberbiztonság, valamint a bányászat és a földtani tevékenységek. Ezen túlmenően a Hatóság feladata a bírósági végrehajtók és a felszámolói szervezetrendszer hatékony működésének biztosítása.

Érintettek köre

Elsősorban közép- és nagyvállalkozásokra, konkrétabban az alábbi ágazatokban működő vállalkozások legalább 50 főt foglalkoztató vagy nettó 10 millió EUR értéket elérő éves árbevétellel rendelkező szervezetekre. A 2024. évi LXIX. törvény 2. és 3. melléklete részletesen felsorolja, hogy mely iparágak tartoznak a felügyelettel érintett, kiemelten kockázatos, illetve kockázatos kategóriába. A jelenlegi becslések alapján hazánkban ez mintegy 3 800 közepes és nagyvállalatot érint közvetlenül.

  • Kiemelten kockázatos ágazatok
  • Energia: Villamosenergia, távfűtés és távhűtés, olaj-, gáz-, hidrogénenergia.
  • Közlekedés: Közúti, légi, vasúti vízi és tömegközlekedés.
  • Egészségügy: Beleértve a gyógyszeripart, az orvostechnikai eszközgyártást és a kutatást.
    Víz: Ivóvíz, szennyvíz (víziközmű szolgáltatás)
  • Digitális infrastruktúrák: IXP szolgáltatók, DNS-szolgáltatók (kivéve a root névszerverek üzemeltetőit), legfelső szintű domain (TLD) névregiszterek, felhőszolgáltatók, adatközpont-szolgáltatók, hálózati tartalomszolgáltatók, bizalmi szolgáltatók (TSP), nyilvános elektronikus hírközlő szolgáltatók.
  • Hírközlési szolgáltatók
  • Kihelyezett IKT szolgáltatók: kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató, kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató,
  • Űralapú szolgáltatás

Kockázatos ágazatok

  • Kritikus termékek gyártása: orvostechnikai eszközök és in vitro diagnosztikai eszközök, számítógépes, elektronikus és optikai termékek, elektromos berendezések, gépek, gépjárművek, pótkocsik, közlekedési eszközök, gyógyszerek és egészségügyi felszerelések, cement, mész és gipszgyártás
  • Posta, futárszolgálatok
  • Hulladékgazdálkodás
  • Elektronikai gyártás
  • Járműgyártás
    Élelmiszerek előállítása, feldolgozása és elosztása
  • Vegyipar
  • Digitális szolgáltatók
  • Kutatóhelyek

Méretkorlát alóli kivételek

NIS2 követelmények az Érintettek felé

Az Érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.

A biztonság magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti:

  • a tárolt, továbbított vagy feldolgozott adatok, információk,
  • az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

Mire kell a védelemnek kiterjednie?

  • az információbiztonsági irányítás rendszerére,
  • az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
  • a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
  • az üzletmenet folytonosság biztosítására,
  • az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

Határidők

  • 2024. december 31.
    1. Az Érintett megköti és bemutatja kiberbiztonsági audit szerződését.

    • a. Első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral.
    • b. Szerződést kell kötni egy auditor szervezettel a hatóság által közzétett listáról.

2025 januárjában minden Érintett szervezet mulasztásos jogsértés állapotában van, mivel nem tudtak szerződést kötni Auditorral a fenti határidővel. Ennek oka nem az Érintettek szándéka, hanem az állami szabályzó rendszer döntéshozatali folyamatában keletkezett lassulás. Ezzel magunk a folyamatot szabályzók is tisztában vannak, ezért jelen – átmeneti – időszak számonkéréssel, büntetéssel nem terhelt. Minden NIS2 érintett cég, amely 2025.01.01. előtt kezdte meg működését és a hatóság nyilvántartásba vette, 2024.12.31-ig kellett volna szerződést kötnie a kiberbiztonsági auditra, egy, a hatóság listáján szereplő auditor céggel. Mivel az audit módszertani jogszabály még nem jelent meg, így ezen szerződések megkötésére sem volt lehetőség. Ezzel a hatóság is tisztában van és méltányosságot gyakorol az érintettek felé a határidő elmulasztása miatt. Az első kiberbiztonsági auditot ezen cégek tekintetében 2025.12.31-ig kell elvégezni.

  • 2025. december 31.
    1. Az Érintett szervezet az első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

    • a. Első kiberbiztonsági audit lefolytatása.
    • b. Eredetileg 2024 december 31-e volt a dátum.

Milyen büntetésre lehet számítani, ha valaki nem tesz eleget a kötelezettségének?

Az Irányelv szerint, ha egy Vállalkozás/Intézmény nem felel meg az Irányelvben foglalt előírásoknak, a kiszabható bírság maximuma 10 millió EUR vagy a szervezet globális éves forgalmának legfeljebb 2 %-a, attól függően, hogy melyik összeg a magasabb.

Fontos kiemelni, hogy az Irányelv alapján akár az ügyvezetés felelőssége is megállapítható és az ügyvezető súlyos esetben, akár az ügyvezetéstől eltiltható, ha az érintett szervezet nem felel meg a NIS2-ben előírt kiberbiztonsági követelményeknek.

A hazai konkrét büntetési tételeket a 418/2024. (XII.23.) kormányrendelet 3. számú melléklete tartalmazza.

Kihívások

Az irányelvnek való megfelelés nem kis feladat és számos komplex kihívást tartogat az Érintett szervezetek számára. Ezek kezelésében jelentős segítséget nyújthatunk. Van tapasztalatunk a kibernetikai biztonsági követelményekben és ismerjük a hozzájuk kapcsolódó jogszabályi környezetet.

Segítünk megérteni a NIS2 irányelv hazai szabályozásának minden finomságát, tanácsot adunk a megfelelő védelmi intézkedések kiválasztásában, és segítünk kialakítani a hatékony incidenskezelési és jelentési folyamatokat. Társaságunkkal való együttműködés javítja a szervezet általános kibernetikai felkészültségét és ellenálló képességét, ami növeli a bizalmat a szervezet és ügyfelei, partnerei között.

A biztonság terén elkötelezett Érintett képes megőrizni jó hírnevét és elkerülni a jogszabályokkal összefüggő súlyos bírságokat. A Delta támogatásával a szervezet hatékonyan tudja kezelni a kibernetikai kihívásokat, és így biztonságosabbá teheti digitális infrastruktúráját.

Felkészülés a NIS2-es megfelelésre, mi az a GAP analízis?

A NIS2-es megfelelés több alprojektre bontható. Ennek első lépése az úgynevezett GAP analízis.

A GAP analízisről röviden

A GAP analízis, másképpen az előzetes hiányértékelés célja, hogy egy általános képet adjon a szervezet kiberbiztonsági helyzetéről a követelmények függvényében, innen lehet felépíteni, hogy mely területeken lesz szükség beavatkozásokra. Ez egy „nagy látószögű” jelentés, és nem minden EIR kontrollpontot érint. Azt mutatja meg, hogy a NIS2-es követelményekhez képest mennyire érett az Érintett, hol vannak a legnagyobb gócpontot.

A GAP analízis részei

Az előzetes érettségi vizsgálat az alábbi területekre terjed ki:

  1. Az információbiztonsági szabályozási rendszer működése.
  2. Kockázatelemzési gyakorlat módszertana.
  3. Védelmi intézkedések megvalósítása.
  4. Incidenskezelés folyamata, kommunikációja.
  5. Üzletmenet folytonosság kialakításának kockázatarányossága.
  6. Ellátási láncban szereplő partnerek IT biztonsági megfelelése.
  7. A szervezet által használt szoftver és hardver termékek kezelése (beszerzés, fejlesztés, üzemeltetés).

Az Információbiztonsági Felelős (IBF) kötelező kinevezéséről

A NIS2 irányelv értelmében Információbiztonsági Felelőst (IBF) kell kinevezni, és kötelezően regisztrálni a NIS2 felügyeleti hatóságnál (SZTFH). Az IBF szerepe nem csupán formális: a rendszeres hatósági auditok és a jövőben kötelezően jelentendő kiberbiztonsági incidensek miatt a pozíció valós, jelentős felelősséggel és konkrét feladatkörrel jár. Minden NIS2 érintett cégnek, már a hatósági regisztrációkor meg kellett jelölnie az elektronikus információs rendszer biztonságáért felelős személyt (IBF), aki lehet az érintett szervezet munkavállalója, vagy külsős megbízott. Az IBF fő feladatai: az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás. Az IBF-nek cselekvőképesnek és büntetlen előéletűnek kell lennie, aki rendelkezik a feladatellátáshoz szükséges végzettséggel és/vagy megfelelő tapasztalattal.
A jogszabály lehetőséget biztosít az IBF szerepkör kiszervezésére, ami különösen hasznos lehet azon szervezetek számára, amelyek nem rendelkeznek házon belüli szaktudással vagy erőforrással. Ez gyakran azért szükséges, mert az IT-rendszerek működtetéséért felelős IT-menedzser vagy rendszergazda nem feltétlenül alkalmas ennek a speciális feladatkörnek az ellátására, vagy a meglévő munkaterhei mellett nincs kapacitása erre.
Ezáltal a kiszervezés hatékony és szakmailag megalapozott megoldást nyújthat a szervezetek kiberbiztonsági megfelelésének biztosítására.

Az Auditra felkészülést támogató egyéb feladatok

  1. Elektronikus információs rendszerek (EIR) azonosítása, azok biztonsági osztályba sorolása – az EIR-ek biztonsági osztálya fogja meghatározni a kockázatarányos védelmi elvárásokat a 7/2024. MK rendelet alapján, illetve ahhoz lehet majd Auditort választani.
  2. Előzetes feladatterv készítést kell végezni az előzetes hiányértékelés alapján kieső feladatokra.
  3. Felkészülés a kiberbiztonsági auditra, amelyek a konkrét védelmi intézkedések foglalja magában, lefekteti a folyamatok kialakítását, a szükséges dokumentációk elkészítését.

Kérdése van? Bizonytalan? Keressen minket bátran!

Ezek is érdekelhetik...

Népszerű

Portfólió elemek

Adatvédelem

Adatkezelési tájékoztató
Adatvédelmi szabályzat
Adatvédelmi nyilatkozat

Vissza az elejére

Címkefelhő

Adatgyűjtés és tárolás (1) ADATTÓ (1) adatvédelem (1) ADS-B (2) advanced technology (7) Advertise anytime and anywhere (1) advertisements are saved in the cloud (1) agrárdrón (1) Agras MG-1S (2) AI (Artificial Intelligence) (1) államigazgatás (1) Állatkert (4) anonim szavazás (2) antidrón (2) antiua (2) antiuas (2) ARC (2) ARC Recommendations Final Report (2) áru kedvezmény digitális térben (1) Aruba (7) Aruba Beacon (2) Aruba ibeacon (20) Aruba Meridian (27) Aruba Meridian Addon (6) Automatic Dependent Surveillance – Broadcast (2) Be a conscious consume (1) Be a conscious consumer (1) Beacon (10) beacon based marketing (1) Beacon beállítás (6) Beacon eszközök a repülőtereken (4) Beacon eszközök a Szállodákban és a Vendéglátásban (4) Beacon eszközök használati és beállítási lehetőségei (6) Beacon Major (6) Beacon Minor (6) Beacon UUID (6) Beconz (2) Beltéri és Kültéri navigáció (17) Beltéri Navigáció (30) biztonságtudatosság (1) BLE (5) BLE beltéri navigáció (25) bluetooth based (1) Botanikus kert (4) Centralized advertisement management (1) Centralized digital coupon management (1) Checkmarx (2) Citrix (2) Citrix Home Office (1) Citrix Managed Desktops Business Continuity Program (1) Citrix távmunka (1) Civil Aviation Authority (2) coupon brochure (1) Covid-19 (3) családorvos app (6) Családorvosok Világnapja (6) Cybersecurity risk assessment and solution mapping (2) Deviza nem választási lehetőség (1) digital advertisments (1) Digital Content (7) Digital Content Framework (7) digital coupon app (1) digital coupon brochure (1) digital coupon platform (1) digital coupons are accessible directly on your mobile phone (1) digital coupons are saved in the cloud (1) digital coupons or digital advertisements (1) digital employer branding (23) digitalem (2) digitális akciók (1) Digitális információs tábla app (18) digitális kedvezmények (6) Digitális Konferencia Keretrendszer (15) Digitális Konferencia Útlevél (7) digitális kupon (3) digitális kupon alkalmazás (2) Digitális kupon és reklám klónozási lehetőség (1) Digitális kupon Kedvezmény (1) Digitális kupon történet (1) digitális kuponfüzet (8) digitális kupontér (2) digitális marketing (4) digitális munkáltatói márkaépítés (19) digitális reklám (1) digitális reklámtér (1) digitális szavazás (16) Digitális tárlatvezetés (18) Digitális városkártya (18) digitalizáció (2) DJI (3) DJI Focus (3) DJI Inspire 1 (4) drón (5) Drón Eseti Légtér (1) drón filmezés (3) drón jogszabályok (1) drón jogszerű használat (1) drón óceánon (1) drón Repülési azonosító (2) drón tengeren (1) drón törvény (1) drón üzemeltetés (1) drón videózás (3) drón víz felett (1) drone-to-phone (drón-telefon) szabvány (2) drónelhárítás (2) Drónpilóták Országos EgyesületE (1) dróntörvény (1) EASA (1) Egészségügy beltéri navigáció (2) Egészségügy gondozási élmény (2) Egészségügy kültéri navigáció (2) Egészségügyi és kutatási megoldások (1) egyedi fejlesztés (1) egyéni marketing megoldás (1) Élő (1) élőben követhető a digitális kupon (1) employer branding (3) Employer Branding tools (1) Épületen Belüli Navigáció (2) érettségi szintek (1) ERP kész (1) Érzékelők (2) Estimote (6) FAA (2) Federal Aviation Administration (2) felsőoktatás (1) fókuszálás (3) Forráskód elemzés (2) GDPR (1) Generatív AI (Generative AI) (1) Gépi tanulás (Machine Learning) (1) gimbal (4) GPS alapú kupon beváltás hely riportok (1) GPS based geolocation (7) GPS based marketing (1) GPS beltérben (14) GPS koordináta alapján kiadott kedvezmény kupon (3) GPS lokáció alapján kiadott kedvezmény kupon (3) GPS lokáció és turizmus (3) GPS lokációs reklámok (3) GPS-koordinátákkal ellátott videofelvételek (1) HAOSZ (6) Hely alapú digitális kupon tér (1) hely alapú digitális reklám (1) helyalapú marketing (1) helyfüggő marketing (12) Helyi segítséghívó turistáknak app (2) Helyi termékek és szolgáltatások app (2) helymeghatározás (17) Home Office (1) HPE (25) HPE Aruba (27) HPE Aruba Meridian (4) HPE Aruba Meridian support (7) HPE GreenLake (1) iBeacon (31) iBeacon - az utazási ipar lehetőségei (4) iBeacon eszközök a gyakorlatban (6) iBeacon eszközök használati és beállítási lehetőségei (6) ibeacon lokáció alapú reklám (7) ibeacon reklám (1) iBeacon technológia az Autókereskedésekben (1) iBeacon UUID (6) iBeacon versus Beacon (6) IBF (2) Időalapú Spórolás nyomon követése (1) Időzónák támogatása a különböző országokban (1) igitális munkáltatói márka (2) immediate digital discounts (1) Impress the Senses (1) Indoor Navigation (4) Információbiztonsági Felelős (2) Japán (1) képi hűség (2) Kiberbiztonság (2) Kifejezés eltávolítása: Citrix Business Continuity Assurance Program Citrix Business Continuity Assurance Program (1) Kifejezés eltávolítása: légijármű helyzetét automatikusan lesugárzó technológia légijármű helyzetét automatikusan lesugárzó technológia (2) Kiterjesztett és virtuális valóság (2) Komplex vásárló elégedettség mérő rendszer (1) Konferencia Útlevél (7) Kontakt (6) Közintézmény beltéri navigáció (18) Közszféra (1) kültéri navigáció (22) kupon (1) Kupon átruházás támogatása (1) Kupontér (1) kvadkopter (1) LAANC (2) légi fényképezés (4) légi fotózás (4) Légszennyezettség figyelő app (18) Légy tudatos fogyasztó (1) location based marketing (1) location-based digital coupons or advertisments (1) low energy consumption (1) Loyalty modul (2) Média és szórakoztatás (1) Mély Tanulás (Deep Learning) (1) Mérföldkövek támogatása (1) Meridian (1) Meridian addon (6) Mesterséges Intelligencia (1) MI (1) micro-location technology (1) mobil alkalmazás vs. weboldal (13) mobile application (1) Mobilitás (2) mobilos alkalmazás (1) munkáltatói márka (2) navigáció (17) Nem helyhez kötött digitális kupon tér (1) Network and Information Security (2) Neurális hálózatok (Neural Network) (1) nevesített szavazás (2) NIS2 (2) NIS2 Audit (2) NIS2 Gap analízis (2) NKH Légügyi Hivatal (1) okoskórház (3) oktokopter (1) online statisztika (1) önvezető autó (17) paperless usage of digital advertisement (1) paperless usage of digital coupons (1) papír alapú kuponok digitális kiváltása (1) pilóta nélküli légi járművek (1) PIN kód alapú kupon beváltás (1) Pontgyűjtés kezelése (1) pozícionálás (17) QR kód (3) QR kód alapú erőforrás foglalás (3) QR vagy Barcode támogatással (1) Qualys (2) qumulo (1) Reklám navigáció (1) Remote ID Aviation Rulemaking Committee (2) RPAS (1) RPAS-ek hivatalosan légi járművek (1) Secure Citrix Workspace for Small Businesses (1) Sensorberg (6) Sérülékenység elemzés (2) ShareFile (1) smart hospital (3) Smartcity (18) software definied storage (1) struktúrálatlan adathalmaz (1) strukturálatlan adatok tárolása (1) struktúráltalan adathalmaz (1) swiss army knfie of marketing (4) szezonális akciók (2) szolgáltatás kedvezmény digitális térben (1) szolgáltatás kedvezmények (1) SZTFH (2) szuggesztív termék- és szolgáltatásajánlás (2) szúnyog (1) Távmunka (1) Távoli Azonosító (Remote ID) (2) termék kedvezmények (1) Testre szabható (1) titkosítás (1) többleteladás (2) Touch the Y generation (1) Turizmus (18) Turizmus integrált adattár (18) UAS (3) UAS Identification and Tracking (UAS ID) Aviation Rulemaking Committee (ARC) (2) UAS/RPAS alkalmazások (1) UAV (3) Utazás közbeni helyszínek felfedezése Beacon eszközökkel (4) Város saját app (18) Városi rendezvények app (18) vásárlás ösztönzés (1) vevőcsalogatás (1) Vevői elégedettség mérő rendszer (VEM) (2) vevőmegtartás (1) vezeték nélküli mikro lokalizációs technológia (1) Virtual Data Room) (1) Virtuális adatszoba (1) www.beconz.com (7) Zenmuse X5 (4) Zenmuse X5R (4)
© Copyright ATN Global Services 2021
error: