blog post header image

Mit jelent a NIS2 az Ön vállalatának?

Az elmúlt években jelentősen megnőtt a kibertámadások és incidensek száma Európában, különösen a phishing, a kártékony szoftverek és a zsarolóvírusok jelentenek nagy problémát. Ezek a támadások jelentős hatással lehetnek a társadalomra, mivel mind üzleti, mind magánéleti szinten nagymértékben függünk a jól működő digitális infrastruktúrától. A digitális munkavégzés elterjedése miatt a kiberbiztonság alapvető követelménnyé vált, nem csupán választási lehetőség.

A kiberbiztonság megerősítése érdekében az Európai Parlament elfogadta a hálózati és információs rendszerekre vonatkozó, 2022/0383 számú, felülvizsgált irányelvet, amelyet általában "NIS2"-ként ismerünk. A NIS2 célja az EU jelenlegi kiberbiztonsági keretének kiterjesztése, megerősítése és harmonizálása. Fontos részét képezi az EU kiberbiztonsági stratégiájának, összhangban az Európai Bizottság digitális korszakra való felkészülésre vonatkozó prioritásaival. De mely szektorokra vonatkozik pontosan, és mit jelent a bevezetése az Ön vállalatának?

Mi a NIS2 irányelv?

2016-ban az EU bevezette a Hálózati és Információbiztonsági (NIS) irányelvet, amely szigorú kiberbiztonsági követelményeket határoz meg a kockázatos ágazatokban működő szolgáltatók és szervezetek számára, mint például a víziközmű-, energia-szolgáltató és telekommunikációs vállalatok. A NIS2 kiegészíti és bővíti ezt az irányelvet, további szektorokban működő cégeket minősítve kritikus, illetve kiemeleten kritikus ágazatban működő vállalatokként, amely így összesen körülbelül 160 000 szervezetet érint Európa-szerte.

A NIS2 legfontosabb elemei közé tartozik:

  • A gazdasági és társadalmi jelentőség miatt az új irányelv több szektort is lefed, és optimalizálja a vállalatok besorolását. A javaslat mostantól közepes és nagy vállalatokat is magában foglal bizonyos szektorokból, miközben rugalmasságot biztosít a tagállamoknak a magas kockázati profilú kisebb vállalatok azonosítására.
  • A hatókörbe tartozó vállalatok vezető testületeinek nagyobb figyelmet kell szentelni, a tagállamoknak biztosítaniuk kell, hogy ezek a testületek felelősségre vonhatóak legyenek a vállalatok által a kiberbiztonsági intézkedésekkel kapcsolatos előírások megsértése esetén.
  • Az irányelv szigorítja a vállalatok biztonsági követelményeit, előírva egy kockázatmenedzsment megközelítést és meghatározva a kulcsfontosságú kiberbiztonsági intézkedéseket, amelyeket az érintett vállalatoknak meg kell hozniuk.
  • A NIS2-ben már nem történik megkülönböztetés a kritikus szolgáltatások üzemeltetői és a digitális szolgáltatások nyújtói között. A vállalatok fontosságuk, illetve az általuk folytatott tevékenység fontossága alapján kerülnek besorolásra kritikus és kiemelten kritikus kategóriákba, s ettől függően különböző követelmények és felügyeleti rendszabályok vonatkoznak rájuk.
  • Az incidensjelentési követelmények jelentősen megváltoztak, valamint a szabályok be nem tartása esetén a szankciók szigorodtak.
  • A vállalatoknak foglalkozniuk kell a biztonsági kockázatokkal a beszállítói láncukban és beszállítói kapcsolataikban is.
  • Erősebb felügyeleti jogosultságokat kapnak a nemzeti felügyeleti szervek és hatóságok, szigorúbb ellenőrzési hatáskört, emellett, s ezzel összefüggésben a szankciós rendszerek és jelentési kötelezettségek harmonizálása is megtörténik a tagállamok között, továbbá szorosabb együttműködést vár el az EU-shatóságok között és a hatálya alá tartozó cégek és a felügyeleti hatóság között is.

Kérjen ajánlatot

Mikor és kire vonatkozik a NIS2?

A NIS2 minden olyan szervezetre vonatkozik, amely az EU-ban működik, vagy olyan tevékenységeket folytat, amelyek alapvető szolgáltatást nyújtanak a fogyasztóknak (azaz megfelelnek az irányelvben meghatározott ágazati besorolásnak, a kritikus vagy kiemelten kritikus tevékenységet végző vállallat leírásának). Ilyen például az internetszolgáltatók, energiaszolgáltatók, ivóvíz-szolgáltatók, hulladékkezelők, bankok, közlekedési vállalatok, egészségügyi intézmények és az élelmiszereket vagy fontos háztartási cikkeket gyártó üzemek. Kivételt képeznek a kisebb vállalatok, amelyek lényegesnek tekinthetők, de nem érik el a meghatározott méretet (10 millió EUR éves árbevétel és/vagy kevesebb mint 50 alkalmazott).

Az új jogszabály tehát szélesebb hatályú (több szektorra és több cégre vonatkozik), mint a NIS1 irányelv, s arra törekszik, hogy az összes EU-tagállamban egységesítse és növelje a digitális veszélyekkel szembeni ellenálló képességet. A NIS2 irányelv már hatályba lépett, hazai jogi implementációja befejezésének végső határideje 2024. október 17., addigra minden ezzel összefüggő törvény és végrehajtási rendelet, illetve azok módosítása meg fog jelenni. Az eddig ismert új jogszabályi előírások alapján az első kötelező feladat a NIS2 hatálya alá tartozó cégek számra a regisztráció 2024. június 30-ig!

Milyen hatásokkal jár az új jogszabály?

Amennyiben cége a törvényben rögzített feltételeknek megfelel és besorolható a kritikus ágazatokban működő vállalatok közé, de ennek ellenére nem felel meg a NIS2 követelményeinek, mert elmulasztja a kötelezően előírt feladatok végrehajtását, akkor jelentős pénzbírsággal vagy a teljes globális éves árbevétel minimum 2%-ának megfelelő bírsággal is sújthatják. A kiberbiztonság területén megfelelő hatáskörrel rendelkező vezetők személyesen is felelősségre vonhatók a szabályok be nem tartása miatt.

Ebben a kontextusban a HANGANOV Kft. szerepe kiemelten fontos lehet, mint az adatvédelem és információbiztonság terén nyújtott szakértői szolgáltatások szállítója, amely támogatást nyújt a vállalatok számára a NIS2 irányelvnek és a törvényi előírásoknak való megfelelésben.

További információkért vagy azonnali kapcsolatfelvételért kérjen ajánlatot.
Készen állunk, hogy segítsünk megfelelni.

Többet szeretne tudni?
Kérjen ajánlatot!

Küldjön nekünk üzenetet vagy kérjen ajánlatot gyorsan pár kattintással! Ajánlatkérésnél kérjük, hogy adja meg telefonszámát is, hogy mielőbb fel tudjuk venni Önnel a kapcsolatot az ajánlat részletes tartalmának egyeztetése céljából!

Hozzájárulok az üzenetem elküldése során megadott személyes adataimnak az Adatkezelési tájékoztatóban meghatározott célból és ideig történő kezeléséhez.