Az elmúlt években az Európai Unió különös hangsúlyt fektetett a kiberbiztonságra. 2022-ben három olyan jogszabály is elfogadásra került, amely a különböző szervezetek kibertámadások elleni védekezését erősíti. A Dora rendelet a pénzügyi ágazat rezilienciáját készíti elő, míg a CER irányelv a kritikus szervezetek rezilienciájáról, a NIS2 irányelv pedig a magas szintű kiberbiztonságot biztosító intézkedésekről szól.
Miért fontos ez adott szervezetek számára? Mert azon szervezetek számára, amelyek a NIS2 irányelv, illetve az ezt implementáló kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény hatálya alá tartoznak súlyos szankciós fenyegetettség mellett számos kötelezettséget ír elő a jogszabály.
A törvény kettős feltételrendszert állít fel a hatály kapcsán, egyrészt kockázatos és kiemelten kockázatos ágazatokat határoz meg, melyek a hatálya alá tartoznak, de emellett egy bizonyos minimum méret is feltétel a hatály alá tartozással kapcsolatban. Kiemelten védett ágazatok kategóriájába tartozik az energetika, a közlekedés, egészségügy, vízközmű szolgáltatások, a hírközlés stb., míg kockázatos ágazatnak minősül a postai is futárszolgáltatások, az élelmiszerek előállítása, a termékek gyártása, vegyszerek előállítása és gyártása stb. 50 fő felletti foglalkoztatotti létszám, illetve az éves nettó 10 millió eurós árbevétel feletti cégek a fenti ágazatokból a szabályozás hatálya alá kerülnek, de emellett ezen szervezetek beszállítóinak is meg kell felelni a követelményeknek.
A törvény alapján az érintett szervezeteknek be kell jelentkeznie a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ki kell nevezniük egy információs rendszerek biztonságáért felelős személyt a szervezeten belül, és informatikai rendszereiket a törvény által meghatározott szempontok alapján biztonsági osztályokba kell sorolni. Bár az egyes osztályokra vonatkozó feladatokat tartalmazó MK rendelet végleges verziója még nem került elfogadásra, de a tervezet alapján látszik, hogy az érintett szervezeteknek több száz feladatot kell teljesíteni a megfelelés érdekében.
Az érintett szervezeteknek 2024 június 30-ig el kell végezniük az önazonosítást, miszerint egyáltalán a vonatkozó jogszabály hatálya alá tartoznak-e, és ha igen, akkor be kell jelentkezniük a Hatósághoz, és el kell végezniük az informatikai rendszereik biztonsági osztályba sorolását. A NIS2 irányelv 2024 október 18-i határidőt állapít meg a szervezetek számra az egyes védelmi intézkedések alkalmazására, azaz a NIS2 megfelelésre, és ezen időpontig kell a hatóság számára felügyeleti díjat fizetni. 2024 december 31-ig le kell szerződni egy auditor céggel a megfelelés ellenőrizésére, és ennek 2025 december 31-ig meg kell történnie.
A tét nem kicsi, a megfelelés hiányában az érintett szervezetek nem csak a kibertámadásoknak vannak erősebben kitéve, de kiemelten kockázatos ágazatok szervezeteit 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő, a kockázatok ágazatok szervezeteit 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírság kockázat fenyegeti. Emellett új szankciós lehetőségnek számít, hogy súlyos esetben nem csak a szervezet vezető tisztségviselőjét, de magát a szervezetet is eltilthatják az adott tevékenységtől.
Ne várjon tovább, lépjen kapcsolatba irodánkkal a +36 1 700 4750 számon, vagy küldjön e-mailt a nis2@rvdpartners.com címre. Tapasztalt jogi és IT biztonsági szakértői csapatunk készen áll, hogy segítsenek a NIS2 irányelv sikeres implementálásában. Készüljön fel velünk a jövő kihívásaira, és biztosítsa vállalkozása, szervezete kiberbiztonságát!
