Európai NIS2 irányelv
A NIS2 Irányelv, hivatalos nevén "A Hálózat- és Információbiztonsági Irányelv" 2022. december 27-én jelent meg az EU hivatalos lapjában, majd 2023. január 16-án lépett hatályba. Az üzleti vállalkozások és intézmények kiberbiztonságát és információbiztonságát szabályozza. Ezt az EU tagállamoknak 2024 októberig át kell ültetniük nemzeti jogkörükbe is.
NIS2 Irányelv szigorítja a kiberbiztonsági követelményeket és szankciókat annak érdekében, hogy harmonizálja és javítsa a tagállamok biztonsági szintjét. Szigorúbb követelményeket ír elő különböző ágazatokra, olyan témákat érintve, mint a kiberbiztonsági kockázatkezelés, ellenőrzés és monitorozás, incidenskezelés és üzletmenet-folytonosság. Emellett az irányelv a kiterjesztett hatálya miatt több szervezetet is magába foglal, amelyek vezetőségeire szigorúbb felelősségi szabályok vonatkoznak a jövőben.
Kérdése van?
Teljes név
Teljes név
- Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union
Háttér
Háttér
- Válasz az eszkalálódó kibertámadásokra Európában
- A korábbi NIS irányelv tapasztalataira építve
Célkitűzések
Célkitűzések
- Az EU kritikus szervezeteinek és infrastruktúrájának védelme kibertámadásokkal szemben
- Egységesen magas biztonsági szint elérése az Európai Unió egész területén
Érintett szektorok és ágazatok Európában
"Kiemelten kritikus" szektorok és iparágak
"Egyéb kritikus" szektorok és iparágak
Érintett az Ön vállalata
Ellenőrizze, hogy az Ön vállalata a kiemelten kritikus, vagy az egyéb kritikus szektorok valamelyikébe tartozik
Ha IGEN
AKKOR
 |
mérettől |
 |
szektortól |
 |
és kritikusságtól függően |
Az Ön vállalata vagy a kiemelten kritikus, vagy az egyéb kritikus szervezetek közé sorolható
Kiemelten kritikus és egyéb kritikus szervezetek
Szektor |
Nagy szervezet |
Közepes szervezet |
Kis szervezet |
Mikro szervezet |
|||||||
 |
Szállítás |
 |
Kritikus |  |
Fontos |  |
Nem releváns | |
Nem releváns | ||
 |
Energia |
|
Kritikus | |
Fontos | |
Nem releváns | |
Nem releváns | ||
 |
Digitális
|
|
Kritikus | |
Kritikus | |
Kritikus | |
Kritikus | ||
Munkavállalók száma vagy éves forgalom |
|||||||||||
| Nagy szervezet | Közepes szervezet | Kis szervezet | Mikro szervezet | ||||||||
| >=250 | >€ 50M | 50-249 | 10-50M | <50 | <10M | <10 | <2M | ||||||||
Idővonal
2022
december 17.
A NIS2 irányelv 2022/2555 EU irányelvként való hivatalos közzététele
2024
október 17.
A tagállamoknak el kell fogadniuk és közzé kell tenniük a NIS2 irányelv betartásához szükséges követelményeket
2025
április 17.
A tagállamok létrehozzák a kiemelt és a fontos szervezetek listáját
2027
október 17.
A Bizottság felülvizsgálja az irányelv működését
Az érintett szervezetekre
vonatkozó határidők
- A 2024. október 17-i határidő kizárólag a nemzeti jogba történő átültetésre vonatkozik
- Ez nem azt az időpontot jelöli, amelytől az új jogszabályoknak meg is kell felelniük
- Lesz egy végrehajtási időszak, amely elegendő időt ad majd az érintett szervezeteknek a nemzeti jogszabályoknak való megfelelőség elérésére
Felügyelet
Intézkedések |
Kiemelten kritikus vállalatok |
Egyéb kritikus vállalatok |
||
 |
Ellenőrzés |
Helyszíni ellenőrzés és távfelügyelet, ideértve a képzett szakemberek által végzett szúrópróba-szerű ellenőrzéseket | Helyszíni vizsgálat, későbbiekben távfelügyelet | |
 |
Audit |
Rendszeres és célzott biztonsági auditok, amelyeket független testület vagy illetékes hatóság végez; ideértve az ad-hoc auditokat is. | Célzott biztonsági auditok | |
 |
Biztonsági felmérések |
Biztonsági vizsgálatok objektív, nem megkülönböztető, egységes és átlátható kockázatértékelési kritériumokon alapulva. | ||
 |
Információ-igénylések |
Felügyeleti feladatok elvégzéséhez szükséges adatok, dokumentumok, és információk gyűjtése | ||
 |
További információ- igénylések |
Az érintett vállalat által a kiberbiztonság területén elfogadott kockázatkezelési intézkedések értékeléséhez szükséges információk lekérése | Az érintett vállalat által a kiberbiztonság területén elfogadott kockázatkezelési intézkedések utólagos értékeléséhez szükséges információk lekérése | |
Mi történik, amennyiben nem felel meg a NIS2 irányelvnek?
Bírságok
- Azon vállalatok, amelyek nem képesek megfelelni a NIS2 által előírt irányelveknek, jelentős büntetést kockáztatnak attól függően, hogy kiemelt vagy fontos vállalatnak minősülnek
- Kiemelten kritikus vállalatokat minimum 10 millió eurós vagy a megelőző pénzügyi évben elért teljes globális éves forgalmuk 2%-val bírságolhatók
- Fontos vállalatok legalább 7 millió eurós vagy a megelőző pénzügyi évben elért teljes globális éves forgalmuk 1,4%-val bírságolhatók
Jogi következmények
- Amennyiben egy vállalat nem felel meg a NIS2 előírásainak, nem csak pénzügyi büntetést kockáztat, hanem adott esetben a vezetőségnek jogi következményekkel is szembe kell néznie
A NIS2 követelményeinek főbb területei
NIS2 kibervédelmi kockázatkezelési megfelelőség: kettős biztonsági megközelítés
- IT és OT biztonság integrálása a NIS2 irányelvnek való megfeleléshez (Integrating IT and OT)
- A szervezeteknek össze kell olvasztaniuk az információs technológia (IT) és az operatív technológia (OT) biztonsági stratégiáit. Az IT és OT egyesülésének köszönhetően megnövekedett támadási felületek miatt ez a biztonsági integráció is kulcsfontosságú, ezzel biztosítva a kibertámadások elleni védelmet és a folyamatok ellenállóképességét
- IEC 62443 szabvány az OT biztonsághoz
- Ezen szabványok keretet szabnak az OT rendszerek védelméhez, különösen kritikus infrastruktúrák esetén. Az IEC 62443 betartása lehetővé teszi az OT-specifikus kockázatok proaktív kezelését, hatékony biztonsági intézkedések felállítását és az üzleti integritás fenntartását
- ISO 27001 Keretrendszer az IT biztonsághoz
- Ez a szabvány létfontosságú az IT biztonsági kockázatok szisztematikus kezeléséhez. Leírja az Információbiztonsági Menedzsment Rendszer (ISMS) követelményeit, amely biztosítja az adatvédelmet, és a jogi megfelelést, illetve strukturált módszert nyújt az IT-kockázatok értékelésére, kezelésére és csökkentésére.
Kiberbiztonsági kockázat csökkentésének eszközei
- Irányelvek a kockázatelemzésre és információs rendszerbiztonságra vonatkozóan
- Folyamatok definiálása rendszeres kockázatelemzéshez, illetve sebezhetőségek kiértékeléséhez
- Eszközök és szoftverek azonosítása, dokumentálása, és katalogizálása
- Jelenlegi biztonsági hiányosságok azonosítása és dokumentálása
- A belső infrastruktúra és meglévő biztonsági alkalmazások rutinszerű penetrációs tesztelése
- Az ISO 27001-es, a TISAX vagy egyéb szabványoknak megfelelő Információbiztonsági Menedzsment Rendszer (ISMS) bevezetése
- Incidenskezelési folyamat kialakítása, meglévő folyamat fejlesztése
- Üzletmenet folytonossága és válságkezelés (biztonsági mentések, katasztrófa menedzsment)
- Beszállítói lánc biztonsága - kibervédelmi követelmények betartatása a beszállítók felé
- Körültekintés az információs rendszerek beszerzésében, fejlesztésében és karbantartásában, ideértve a sebezhetőségek kezelését és felfedését is
- Irányelvek és eljárások felállítása a kibervédelmi kockázatkezelési intézkedések hatékonyságának értékelésére
- Alapvető kibertisztasági gyakorlatok és kibervédelmi képzés
- Irányelvek és folyamatok a kriptográfia területén, illetve ahol szükséges, titkosítás
- Emberi erőforrások megfelelő kiválasztása, hozzáférési irányelvek és eszközkezelés
- A többfaktoros azonosítás vagy folyamatos azonosítási megoldások, biztonságos telekommunikációs vészhelyzeti kommunikációs rendszerek használata szervezeten belül, ahol indokolt
Hogyan tud az msg-Plaut segíteni Önnek?
Stratégia kidolgozása a
NIS2 tanúsítvány
megszerzéséhez
Leegyszerűsítjük az Ön vállalata számára a NIS2 irányelvet, illetve segítünk a vállalat időrendjéhez és folyamataihoz illeszkedő terv kidolgozásában.
GAP-analízis és
cselekvési
lehetőségek
GAP-analízis segítségével meghatározzuk az Ön cégének állapotát a NIS2 irányelvekre vonatkozóan, és személyre szabott megoldásokkal segítünk a hiányosságok kezelésében.
Segítség a
megfelelésben
Az első lépéstől az utolsóig számíthat szakembereink segítségére a NIS2 követelményeknek való megfelelés elérésében.
NIS2
tréningek
Képzésünkön csapata megkap minden fontos ismeretet, amely a NIS2 követelmények megértéséhez és implementálásához szükségesek.