Lanmen

Rendszergazda szolgáltatás, webáruház készítés, Office 365. Informatikai szolgáltatás kis és középvállalatoknak.

Célja:

A NIS2 irányelv célja az EU kiberrezilienciájának növelése, az informatikai rendszerek biztonságának javítása, valamint a kritikus ágazatokban működő szervezetek kibervédelmének megerősítése.

Legfontosabb pontjai:

1. Szélesebb hatály:

Több ágazatot és szervezetet érint, mint az előző NIS irányelv.

Kiemelten kritikus ágazatok:

gyógyszeripar, digitális infrastruktúrák,kihelyezett szolgáltatók,az energia,banki és pénzügyi szolgáltatások, víz, egészségügy,szállítás,közigazgatás, és
a világűr földi támogatói infrastruktúrái.

Kritikus ágazatok:

járműgyártás, élelmiszer előállítás és forgalmazás, hulladékgazdálkodás, postai és futárszolgálatok, elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések), vegyipari gyártás és forgalmazás, digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform), kutatóhelyek

2. Kötelező kiberbiztonsági intézkedések:

A szervezeteknek megfelelő technikai és szervezési intézkedéseket kell hozniuk, pl.:

  • kockázatkezelési gyakorlatok bevezetése,
  • incidenskezelés,
  • üzletmenet-folytonosság biztosítása,
  • ellátási lánc biztonságának kezelése.

3. Incidensjelentési kötelezettség:

Az érintett szervezetek kötelesek a jelentős kiberbiztonsági incidenseket rövid határidőn (pl. 24 órán) belül jelenteni az illetékes hatóságnak.

4. Szigorúbb felügyelet és szankciók:

A hatóságok szélesebb ellenőrzési jogosítványokat kapnak.

A nem teljesítő szervezetek akár több millió eurós bírsággal is sújthatók.

5. Vezetői felelősség:

A szervezetek vezetői (pl. ügyvezetők) személyesen is felelősségre vonhatók a kiberbiztonsági kötelezettségek elmulasztása esetén.

Miért fontos?

A NIS2 irányelv hatékonyabb és egységesebb kiberbiztonsági védelmet biztosít az EU-ban, különösen az egyre gyakoribb és súlyosabb kibertámadások idején. Emellett arra ösztönzi a vállalkozásokat, hogy proaktívan foglalkozzanak a kiberkockázatokkal.

Nyilvántartásba vétel és adatmódosítás

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.

Biztonsági osztályba sorolás

A biztonsági osztály meghatározza a konkrét megfelelőségi követelményeket is: minél magasabb az osztály, annál szigorúbb szabályokat kell alkalmazni.

A biztonsági osztályba sorolásról a szervezet vezetője dönt, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért.

Alap: Alacsony kockázat, nem kritikus szolgáltatás, kis hatás
Jelentős:  Fontos szolgáltatás, jelentős hatás országos vagy ágazati szinten
Magas: Kritikus infrastruktúra, súlyos következmények egy esetleges támadás esetén

NIS2 megfelelés

Hogyan juthatunk el a megfelelésig? Hogyan lesz fenntartható a rendszer?

  • Jogszabályi hatály vizsgálata
    A szervezet ágazata szerepel a NIS2 által érintettek között (alapvető vagy fontos ágazat)?
    A szervezet mérete eléri a küszöböt (≥50 fő vagy ≥10 M€ árbevétel)?
    Hivatalos besorolási döntés (pl. jogi/szakértői állásfoglalás)
  • Kockázatértékelés és helyzetelemzés
    Aktuális információbiztonsági helyzet felmérés.
    Kockázatelemzés az IT rendszerekre.
    Sérülékenységeket és hiányosságok feltárása.
  • Intézkedési és fejlesztési terv
    Konkrét intézkedési terv a hiányosságok megszüntetésére.
    Felelősök és határidők kijelölése.

  • Technikai és szervezeti biztonsági intézkedések
    Hozzáférések- és jogosultságok szabályozása
    Vírusvédelem, tűzfal, naplózás, sérülékenységkezelés
    Incidenskezelési folyamatok.
    Mentési és helyreállítási rendszerek kidolgozása.
    Kiberbiztonsági tudatosság növelése – oktatás, képzés.
    Ellátási lánc (beszállítók) biztonságának értékelése.
  • Incidenskezelés és jelentés
    Incidenskezelési szabályzat kidolgozása.
    Legyen világos, ki, mit, mikor, hogyan jelent!
    A jelentős incidenseket 24 órán belül jelenteni kell a nemzeti hatóságnak (pl. Magyarországon a SZTFH vagy későbbi kijelölt szerv).
  • Tudatosságnövelés, felkészülés és képzés
    A munkavállalók, vezetők részesüljenek kiberbiztonsági képzésben!
    A vezetők jogi felelősséggel tartoznak a megfelelésért.
    Készüljön belső jelentés a megfelelés állásáról.
  • Dokumentáció és megfelelőségi nyilvántartás
    A hatóságok ellenőrzés során a dokumentált folyamatokat, intézkedéseket és jegyzőkönyveket kérhetik.
    Javasolt egy információbiztonsági irányítási rendszer (pl. ISO 27001) kialakítása vagy annak alapelveinek átvétele.
  • Rendszeres felülvizsgálat és audit
    Évente legalább egyszer belső audit vagy külső szakértői felülvizsgálat.
    Kockázatelemzések és biztonsági intézkedések frissítése.
    Folyamatos fejlesztés és monitoring
Érdekel!

Kapcsolódó szolgáltatásaink

Segítségünkkel felkészülhet a NIS2 irányelv szerinti működés bevezetésére!

 

  • Információbiztonsági szabályozás, illetve Információbiztonsági Irányítási Rendszer (IBIR) kialakítása
  • Incidenskezelési eljárások megalkotása, azok kialakításának támogatása (megelőzés, észlelés, reagálás, jelentés)
  • BCP / DRP folyamatok kialakításának, szabályzatok elkészítése.
  • NIS2 audit-felkészítés
  • ISO27001 minősítő auditra való felkészítés
  • Sérülékenységvizsgálat
  • Védelmi és hálózatbiztonsági megoldások tervezése, szállítása, üzemeltetése
  • Biztonsági osztályba sorolás támogatása
Érdekel!

Mit tudunk még?

Nem tudjuk felsorolni az összes megoldásunk, de íme néhány, ízelítőül.

Remote App -> Alkalmazások bárhol, bármikor a felhőből!
Azure Active Drectory -> Címtár a felhőből! Végképp véget ért a helyi szerverek kora.
Remote app -> alkalmazások bárhol, bármikor a felhőből!
Azure Backup -> Mentés a felhőbe
Azure IaaS -> Infrastruktúra a felhőben. Virtuális gépek stb.
Owncloud -> Saját felhő alapú tárhely. Érje el saját tárolóján lévő adatait bárhol, bármikor!
A felsorolás koránt sem teljes!