2023 május 23-án lépett hatályba a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, amelynek alapja az EU által 2022 december 27-én kihirdetett ún. NIS2 Irányelv. Az Irányelvet – egyelőre részlegesen – implementáló jogszabály célja a vállalatok informatikai biztonsági megfelelésének előírása, illetve az azt tanúsító, valamint ellenőrző hatósági rendszer kialakítása. Az Irányelv teljes implementációját 2024 október 17-ig kell végrehajtaniuk a tagállamoknak.

A téma különösen aktuális, hiszen a kiberbűnözők által elkövetett kibertámadások egyre gyakoribbak, kifinomultabbak és jövedelmezőbbek lettek, amelyre legszembetűnőbb példa a széleskörű és sikeres zsarolóvírus támadások a közelmúltban, amelynek több ügyfelünk is áldozatul esett. Ráadásul a koronavírus pandémia szinte minden ágazatban felgyorsította a digitalizációt, de ez új fenyegetésekkel, több biztonsági incidenssel, valamint új függőségekkel jár. Továbbá az orosz-ukrán háború a kibertérben is zajlik, ami szintén sok gyenge pontra világított rá az EU-n belül is.

Ha egy vállalkozás nem felel meg az Irányelvben foglalt előírásoknak, a kiszabható bírság maximuma 10 000 000 EUR vagy a szervezet globális éves forgalmának legfeljebb 2%-a, attól függően, hogy melyik összeg a magasabb. Fontos kiemelni, hogy az Irányelv alapján akár az ügyvezetés is felelőssége is megállapítható és az ügyvezető súlyos esetben, akár az ügyvezetéstől el is tiltható, ha az érintett szervezet nem felel meg a NIS2-ben előírt kiberbiztonsági követelményeknek.

Kikre vonatkozik a NIS2?

Elsősorban közép- és nagyvállalkozásokra, konkrétabban a legalább 50 főt foglalkoztató vagy nettó 10 millió EUR értéket elérő éves árbevétellel rendelkező szervezetekre.

Mérettől függetlenül kell alkalmazni a NIS2 előírásait különösen a következő kiemelt ágazatokban működő vállalkozásokat:

  • energetika (villamosenergia, távfűtés és -hűtés, olaj, gáz, hidrogén)
  • szállítmányozás
  • banki és pénzügyi szolgálatatások és az azokat biztosító infrastruktúrát üzemeltetők
  • egészségügy
  • ivóvíz szolgáltatás
  • szennyvíz
  • digitális infrastruktúra szolgáltatók (pl. internet szolgáltatók, DNS-szolgáltatók, felhőszolgáltatók)

Mi a teendő?

A NIS2 megfelelést a hatóság által akkreditált szervezetek tanúsíthatják és auditálhatják, a hatóság pedig ellenőrizheti. Akár a tanúsításra, akár az ellenőrzésre azonban érdemes házon belül felkészülni elsősorban a következőkkel:

  • Információbiztonsági irányítási rendszer (IBIR) bevezetése, vagy a létező rendszer felülvizsgálata kockázatelemzés alapján;
  • Proaktív védelmi intézkedések bevezetése (incidensek megelőzése, kezelése);
  • Eseménykezelési protokoll bevezetése az esemény bekövetkezése esetén a hatások csökkentése érdekében;
  • Üzletmenet folytonosság menedzsment bevezetése (BCM), vagy a létező rendszer felülvizsgálata ( tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés);
  • Információtechnológiai biztonsági felelős (IBF) kinevezése;
  • Személyes adatokat is érintő incidens esetére a GDPR kapcsolódási pontok azonosítása és az adatkezelési dokumentáció (pl. eljárásrend) szükség szerinti kiegészítése;
  • Intézkedések az ellátási lánc biztonsága (ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat) érdekében.

Földhő – egy forró téma

A kormány által társadalmi vitára bocsátott Magyarország Helyreállítási és Ellenállóképességi Terve REPowerEU-fejezet (a továbbiakban: Tervezet) a geotermikus energia tekintetében is tartalmaz elképzeléseket annak érdekében, hogy a geotermikus energia...

Whistleblowing – kötelező visszaélés-bejelentő rendszer

Az EU 2019-ben elfogadta az ún. Whistleblowing Irányelvet, ami 2021. december 17-én lépett hatályba. Az Irányelv alapján fogadta el a Parlament az új, a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló...

Változások 2023 január 1-től a munkajogban

A 2023 január 1-től hatályos munkajogi változások alapja, egyrészt az EU 2019/1152 irányelve az Európai Unióban alkalmazandó átlátható és kiszámítható munkafeltételekről, másrészt az EU 2019/1158 irányelve a szülők és a gondozók vonatkozásában a munka és a magánélet...

A mesterséges intelligencia és az iparjogvédelem

Az mesterséges intelligencia (MI) számos iparágat, köztük az iparjogvédelmet is gyorsan átalakítja. Ahogy az MI egyre képesebb az eredeti művek létrehozására, bonyolult jogi kérdéseket vet fel az alkotások tulajdonjogával és védelmével kapcsolatban. Az MI-generált...

Milyen változások voltak az elmúlt évben a jogi személyeknél

Év végi visszatekintésként összefoglaljuk, hogy 2022. január 1-től hogyan változtak a jogi személyekre vonatkozó szabályok. A módosítások olyan korrekciókat hajtottak végre a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a...

Bekebelezés, avagy osztatlan közös tulajdon rendezése

Új lehetőség a közös tulajdon megszüntetésére az ún. bekebelezés jogintézménye. Noha a kapcsolódó, – a földeken fennálló osztatlan közös tulajdon felszámolásáról és a földnek minősülő ingatlanok jogosultjai adatainak ingatlan-nyilvántartási rendezéséről szóló 2020....

Tényleges tulajdonosi nyilvántartás és amit érdemes tudni róla

A tényleges tulajdonosi nyilvántartásból az arra jogosult hatóságok és az ügyfélazonosításra kötelezett szolgáltatók már 2022. február 1-től végezhetnek adatlekérdezést, július 1-től azonban harmadik személyek is jogosultak lesznek bizonyos keretek között adatokat...

Milyen újdonságokat hoz a szerkezetátalakításról szóló törvény?

2019-ben hatályba lépett az (EU) 2019/1023 európai parlamenti és tanácsi irányelv (Szerkezetalakítási Irányelv). A Szerkezetátalakítási Irányelvet átültető magyar törvény 2021. július 1. napján lépett hatályba. Azonban egy évvel később 2022. július 1. napjától lehet...

Szerzői jogi törvény változásai

Június 1-jével hatályba lépett a szerzői jogi törvénynek az elmúlt években talán legjelentősebb változása. A módosításáról a Szellemi Tulajdon Nemzeti Hivatala úgy fogalmaz, hogy az „igazságosabbá” teszi majd a szerzői jogi kérdéseket. Annak eldöntésére, hogy valóban...

Egyészségügyi adatok kezelésének szigorú szabályai

Az immáron lassan 3. éve alkalmazandó a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU)...