NIS2 tanácsadás

Slide 1

A NIS2 az Európai Unióban egy kiberbiztonságot előíró központi irányelv, amely kibervédelmi kötelezettségeket határoz meg a tagállamok számára a gazdaság működése szempontjából kiemelt ágazatokban. Ennek a célja a vállalati szektor kibervédelmi képességeinek erősítése, hiszen egy sikeres kibertámadás nemcsak az érintett vállalatot béníthatja meg, hanem azon keresztül egy egész ágazatra hatással lehet. (Gondoljunk itt pl. a COVID alatt a beszállítói láncokból kiesett vállalatok gazdasági következményeire.) A NIS2 bemutatása megtalálható itt.

A NIS2 irányelvet előíró hazai jogszabály a 2024. évi LXIX. törvény Magyarország kiberbiztonságáról. A NIS2 – mint jogi követelmény, – saját végrehajtási rendeletben határozza meg a vállalatok számára a megvalósítását előíró kibervédelmi kontrollokat, amelyek megfelelését hatósági auditon kell majd igazolni. Ez a végrehajtási rendelet a 7/2024. MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről. További feltételeket határoznak meg a következő rendeletek: 418/2024. (XII. 23.) Kormányrendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról, valamint a 1/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról.

A vállalatok NIS2-vel kapcsolatos tennivalóiról itt lehet olvasni.

Az INFOBIZ Kft. szolgáltatásai

A vállalat információbiztonsági / IT-biztonsági állapotának felmérése (GAP analízis NIS2 vonatkozásában);
IT biztonsági kockázatok felmérése, elektronikus információs rendszerek azonosítása és biztonsági osztályba sorolása;
Koncepció meghatározása a szabályozó rendszer (adminisztratív, fizikai és logikai IT-biztonsági kontrollok rendszere) és annak dokumentációs struktúrája kialakításához;
Az IT-biztonsági szabályozó rendszer kialakításában, dokumentálásában és bevezetésében tanácsadói támogatás;
A már kialakított IT-biztonsági / kibervédelmi rendszer belső felülvizsgálata (auditálása), és felkészítése a hatósági kibervédelmi auditra;
Igény alapján integrált információbiztonsági irányítási rendszer kiépítése és bevezetése, amely egyszerre felel meg a NIS2 követelményeinek is, és más információbiztonsági rendszerszabványnak (pl. ISO/IEC 27001, TISAX stb.) követelményeinek is;
Igény esetén a kialakított és működő információbiztonsági (vagy IT biztonsági vagy kibervédelmi) rendszer későbbi működtetésében tanácsadói támogatás, szakértés.

A NIS2 két aspektusa

A NIS2 irányelv célja a vállalati szektor kibervédelmi képességeinek hatékony erősítése, melynek két aspektusa van. Egyrészt az internetes kommunikációban olyan IKT eszközöket (értsd alatta: infokommunikációs technológiai eszközöket) kell alkalmazni, amely a szükséges védelmi képességgel és védelmi szinttel rendelkezik. Másrészt magának a vállalatnak az adott biztonságra alkalmas készülékeket tudnia kell megfelelő szinten kezelni, és a vállalati működés során betartani a szükséges kibervédelmi / információbiztonsági szabályokat, eljárásokat, azaz rendelkeznie kell egy működő információbiztonsági rendszerrel. Ennek a követelményeit a kibertan.tv.-hez kapcsolódó, hamarosan megjelenő végrehajtási rendelet írja elő, melynek teljesítését az érintett vállalatoknak hatóság általi auditokon kell igazolniuk.

A NIS2 kapcsolata más rendszerszabványokkal

Felmerül a kérdés, hogy miután a NIS2-nek való megfelelés tulajdonképpen egy információbiztonsági követelményrendszert határoz meg, akkor mennyire hozható összhangba pl. az ISO/IEC 27001 alapú információbiztonsági rendszerszabványok követelményeivel, mennyire tudják egymást támogatni. A NIS2 és az ISO/IEC 27001 követelmények egy összevetése olvasható itt.

Egy már meglévő információbiztonsági irányítási rendszer akkreditált tanúsító általi megfelelésének bemutatása nem válthatja ki a kibervédelmi auditot. Azonban, ha egy vállalat az információbiztonsági irányítási rendszerét pl. az ISO/IEC 27001 szabvány (vagy valamely arra épülő másik iparági szabvány) alapján építi ki, odafigyelve az IT biztonsági kontrollok NIS2-ben elvárt részletezettségű kialakítására, akkor azzal egy olyan rendszert kaphat, melyet hatékonyabban lesz képes menedzselni, fenntartani és fejleszteni, valamint a technikai kontrollok meglétét könnyebben tudja majd igazolni az elvégzendő NIS2 auditon.

Kapcsolat

Központi E-mail: infobiz [kukac] infobiz [dot] hu

Dr. Horváth Zsolt

Ügyvezető igazgató

Tel: (+36 70) 4198599

E-mail: horvathzs [kukac] infobiz [dot] hu