2026.06.17.
NIS2 Magyarországon: mely vállalkozásokat érinti és milyen kötelezettségekkel jár? - Segítünk a döntésben
2025. január 1-jén hatályba lépett Magyarországon a kiberbiztonság új szabályozási rendszere, amely az Európai Unió NIS2 irányelvének hazai átültetését valósítja meg. A szabályozás célja, hogy növelje a vállalkozások, intézmények és szolgáltatók ellenálló képességét a kibertámadásokkal, adatvesztésekkel és informatikai biztonsági eseményekkel szemben.
A jelenlegi magyar szabályozás alapját a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény képezi.
A törvény rendelkezéseit több végrehajtási rendelet egészíti ki, amelyek közül kiemelkedő jelentőségű a 418/2024. (XII. 23.) Korm. rendelet.
Az uniós szabályozási hátteret az (EU) 2022/2555 irányelv, közismertebb nevén a NIS2 irányelv biztosítja.
Kiket érint a NIS2?
A szabályozás általánosságban azokra a vállalkozásokra vonatkozik, amelyek legalább 50 munkavállalót foglalkoztatnak, vagy éves árbevételük, illetve mérlegfőösszegük meghaladja a 10 millió eurót, és egyben olyan tevékenységet végeznek, amelyet a jogszabály kiemelten fontosnak minősít. Érintettek lehetnek többek között az energiaipari vállalkozások, a villamosenergia- és földgázszolgáltatók, a távhőszolgáltatók, valamint a kőolaj- és hidrogénipari szereplők.
A közlekedési ágazatban a vasúti társaságok, repülőtér-üzemeltetők, légiforgalmi szolgáltatók, kikötők és egyes közúti infrastruktúrát működtető szervezetek szintén a szabályozás hatálya alá tartozhatnak.
A pénzügyi szektorban működő bankok, hitelintézetek, biztosítók, befektetési szolgáltatók és tőzsdei szereplők számára ugyancsak kötelező lehet a megfelelés.
Az egészségügyi területen a kórházak, szakrendelők, laboratóriumok, gyógyszergyártók, valamint az orvostechnikai eszközöket gyártó vállalkozások érintettek lehetnek.
A szabályozás kiterjed az ivóvíz- és szennyvízszolgáltatókra, az adatközpontokra, a felhőszolgáltatókra, az internetszolgáltatókra és más digitális infrastruktúrát üzemeltető szervezetekre is.
A gyártóiparban különösen a járműgyártók, gépgyártók, elektronikai cégek, gyógyszergyártók és vegyipari vállalkozások tartozhatnak a NIS2 hatálya alá.
Az élelmiszeripar, a hulladékgazdálkodás, valamint a postai és futárszolgáltatási szektor szereplői között is számos olyan vállalkozás található, amelynek meg kell felelnie az új előírásoknak.
Mit jelent a NIS2 a gyakorlatban?
A NIS2 megfelelés nem azt jelenti, hogy a vállalkozásnak feltétlenül új szervereket vagy drága informatikai rendszereket kell vásárolnia. A szabályozás elsődleges célja annak biztosítása, hogy a cég tisztában legyen saját informatikai kockázataival, és megfelelő intézkedéseket tegyen azok kezelésére.
A gyakorlatban az első lépés az informatikai rendszerek felmérése. A vállalkozásnak pontosan tudnia kell, hogy milyen számítógépeket, szervereket, programokat, felhőszolgáltatásokat és egyéb digitális rendszereket használ. Fel kell mérni azt is, hogy ezek közül melyek kritikusak a napi működés szempontjából. Például egy gyártó vállalat esetében egy termelésirányítási rendszer leállása akár a teljes gyártási folyamatot megakaszthatja.
A következő lépés a kockázatok azonosítása. Meg kell vizsgálni, hogy milyen események veszélyeztethetik a vállalkozás működését, például egy zsarolóvírus-támadás, egy adathalász e-mail, egy jogosulatlan belépés vagy egy hibás biztonsági beállítás. A cél annak meghatározása, hogy hol vannak a legnagyobb sérülékenységek, és milyen intézkedésekkel csökkenthetők ezek a kockázatok.
A NIS2 elvárja a megfelelő technikai védelem kialakítását is. Ide tartozhat a vírusvédelmi rendszerek használata, a tűzfalak megfelelő beállítása, a rendszeres biztonsági frissítések telepítése, valamint a többfaktoros azonosítás alkalmazása. A gyakorlatban ez azt jelenti, hogy a munkavállalók nem csupán felhasználónévvel és jelszóval lépnek be a rendszerekbe, hanem egy második azonosítási lépcsővel is igazolják magukat.
Kiemelt jelentősége van a biztonsági mentések készítésének. A vállalkozásnak rendelkeznie kell olyan mentésekkel, amelyek segítségével egy kibertámadás vagy rendszerhiba után helyreállíthatók az adatok. Fontos, hogy ezek a mentések rendszeresen készüljenek, elkülönítetten legyenek tárolva, és szükség esetén valóban visszaállíthatók legyenek.
A jogszabály előírja a biztonsági intézkedések dokumentálását is. Ez azt jelenti, hogy a vállalkozásnak írásban kell rögzítenie a kiberbiztonsági szabályait, a felelősségi köröket, az alkalmazott védelmi intézkedéseket, valamint az incidenskezelési folyamatokat. Egy esetleges hatósági ellenőrzés során ezek a dokumentumok kiemelt jelentőséggel bírnak.
A cégeknek incidenskezelési eljárást is ki kell alakítaniuk. Ennek tartalmaznia kell, hogy ki jogosult intézkedni egy kibertámadás esetén, kiket kell értesíteni, hogyan történik a hiba elhárítása, és milyen módon kell dokumentálni az eseményeket. Egy gyors és jól szervezett reagálás jelentősen csökkentheti a károkat.
A NIS2 nemcsak a saját rendszerek biztonságára koncentrál, hanem a beszállítókra és szolgáltatókra is. Egy vállalkozásnak ezért meg kell vizsgálnia, hogy az informatikai szolgáltatója, könyvelőprogramja, felhőszolgáltatója vagy más külső partnere megfelelő biztonsági szintet biztosít-e. Számos kibertámadás ugyanis valamelyik partneren keresztül éri el a célpontot.
A munkavállalók képzése szintén alapvető követelmény. A legtöbb sikeres kibertámadás nem technikai hibával, hanem emberi figyelmetlenséggel kezdődik. Egy gyanús e-mail megnyitása, egy hamis weboldalon megadott jelszó vagy egy fertőzött melléklet letöltése elegendő lehet ahhoz, hogy a támadók hozzáférjenek a vállalkozás rendszereihez.
Összességében a NIS2 célja nem az, hogy többletadminisztrációval terhelje a vállalkozásokat, hanem hogy tudatosabbá és ellenállóbbá tegye őket a növekvő kiberbiztonsági kockázatokkal szemben. A megfelelés ugyan kezdetben többletmunkát jelenthet, hosszú távon azonban hozzájárulhat a vállalkozás biztonságos és zavartalan működéséhez. A szabályozás külön hangsúlyt helyez arra, hogy a munkavállalók megfelelő tájékoztatást és képzést kapjanak. Egyetlen figyelmetlen kattintás vagy rosszul kezelt e-mail ugyanis komoly károkat okozhat. A kibertámadások jelentős része emberi hibából indul ki. Ezért a tudatosság növelése ma már ugyanolyan fontos, mint a technikai védelem.
Mit jelentenek ezek a kötelezettségek a gyakorlatban?
A NIS2 szabályozás nemcsak technikai intézkedéseket vár el a vállalkozásoktól, hanem azt is, hogy a kiberbiztonsággal kapcsolatos folyamatok átláthatók, dokumentáltak és naprakészek legyenek. Ez több olyan feladatot is jelent, amely első látásra adminisztratív jellegűnek tűnhet, valójában azonban a vállalkozás biztonságos működésének alapját képezi.
a.) Naprakészen kell tartaniuk a szabályzataikat
A vállalkozásnak rendelkeznie kell olyan belső szabályzatokkal, amelyek meghatározzák az informatikai rendszerek használatának szabályait, az adatkezelési folyamatokat, a jogosultságkezelést, valamint az esetleges biztonsági események kezelésének rendjét. Nem elegendő egyszer elkészíteni ezeket a dokumentumokat, azokat rendszeresen felül kell vizsgálni és szükség esetén módosítani kell. Egy új informatikai rendszer bevezetése, egy új telephely megnyitása vagy akár egy szervezeti átalakulás is indokolhatja a szabályzatok frissítését. A hatósági ellenőrzések során gyakran azt is vizsgálják, hogy a dokumentáció valóban megfelel-e a vállalkozás aktuális működésének.
b.) Gondoskodniuk kell a hozzáférések megfelelő kezeléséről
A gyakorlatban ez azt jelenti, hogy minden munkavállaló kizárólag azokhoz a rendszerekhez és adatokhoz férhessen hozzá, amelyekre a munkájához valóban szüksége van. Nem megfelelő gyakorlat például, ha több dolgozó ugyanazt a felhasználónevet és jelszót használja, vagy ha egy korábban kilépett munkavállaló hozzáféréseit nem szüntetik meg. A vállalkozásnak nyilvántartást kell vezetnie arról, hogy ki milyen jogosultságokkal rendelkezik, és rendszeresen ellenőriznie kell ezek indokoltságát. Kiemelt jelentőségű a megfelelő jelszóhasználat és a többfaktoros hitelesítés alkalmazása is, amely jelentősen csökkentheti a jogosulatlan hozzáférések kockázatát.
c.) Biztosítaniuk kell a biztonsági mentések elkészítését
A legtöbb vállalkozás működése ma már nagymértékben függ a digitális adatoktól. Egy rendszerhiba, kibertámadás vagy akár egy véletlen törlés komoly problémákat okozhat, ha az adatok nem állíthatók helyre. Ezért rendszeres biztonsági mentéseket kell készíteni a fontos adatokról és rendszerekről. Nem elegendő azonban a mentések elkészítése, azok visszaállíthatóságát is időről időre ellenőrizni kell. Jó gyakorlatnak számít, ha a mentések egy része fizikailag elkülönített helyen vagy felhőalapú rendszerben kerül tárolásra, így egy helyi incidens esetén is rendelkezésre állnak.
d.) Fel kell készülniük az üzletmenet-folytonosság fenntartására egy esetleges incidens esetén
A NIS2 egyik fontos elvárása, hogy egy vállalkozás ne csak a támadások megelőzésére koncentráljon, hanem arra is felkészüljön, mi történik akkor, ha mégis bekövetkezik egy informatikai incidens. Ennek érdekében célszerű előre meghatározni, hogy egy rendszerleállás vagy kibertámadás esetén mely folyamatok élveznek elsőbbséget, kik felelősek az intézkedésekért, és hogyan történik a helyreállítás. Egy jól kidolgozott üzletmenet-folytonossági terv segíthet abban, hogy a vállalkozás a lehető legrövidebb idő alatt visszatérjen a normál működéshez. Ez különösen fontos olyan szervezeteknél, ahol akár néhány órás leállás is jelentős pénzügyi veszteséget vagy szolgáltatáskiesést eredményezhet.A NIS2 alapján bizonyos eseményeket meghatározott határidőn belül jelenteni kell a hatóságok felé. Ez azt jelenti, hogy a vállalkozásoknak olyan belső folyamatokat kell kialakítaniuk, amelyek lehetővé teszik a gyors reagálást és a megfelelő dokumentálást.
Milyen következményei lehetnek a szabályok megsértésének?
A NIS2 szabályozásnak való megfelelés nem csupán ajánlás, hanem jogszabályi kötelezettség. Az érintett szervezeteknek biztosítaniuk kell, hogy a jogszabályban előírt kiberbiztonsági követelmények teljesüljenek, ellenkező esetben különböző hatósági intézkedésekre kerülhet sor.
a.) A hatóság ellenőrzéseket végezhet
Az érintett szervezetek működését a kijelölt hatóság rendszeresen vagy célzott ellenőrzés keretében vizsgálhatja. Az ellenőrzés során megtekinthetik a kiberbiztonsági szabályzatokat, a nyilvántartásokat, a kockázatelemzéseket, valamint azokat a dokumentumokat, amelyek igazolják a jogszabályi megfelelést. A hatóság azt is ellenőrizheti, hogy a vállalkozás a gyakorlatban valóban alkalmazza-e az előírt biztonsági intézkedéseket, vagy azok csupán dokumentumok formájában léteznek.
b.) Hiányosságok esetén kötelezheti a szervezetet a hibák kijavítására
Amennyiben az ellenőrzés során hiányosságokat tárnak fel, a hatóság előírhatja azok megszüntetését. Ez jelentheti új szabályzatok elkészítését, meglévő dokumentumok módosítását, biztonsági intézkedések bevezetését vagy akár a munkavállalók további képzését is. A vállalkozásnak ilyenkor meghatározott határidőn belül gondoskodnia kell a hiányosságok megszüntetéséről, és szükség esetén igazolnia kell a végrehajtott intézkedéseket.
c.) Súlyos esetben bírság kiszabására is sor kerülhet
Ha a szervezet nem teljesíti a jogszabályi kötelezettségeit, elmulasztja a szükséges intézkedések végrehajtását, vagy a hiányosságokat a felszólítás ellenére sem szünteti meg, a hatóság bírságot szabhat ki. Különösen súlyosan eshet latba, ha a mulasztás következtében jelentős biztonsági esemény vagy adatvédelmi incidens következik be. A bírság mellett a vállalkozás hírneve is sérülhet, az ügyfelek és üzleti partnerek bizalma pedig hosszabb időre megrendülhet.
A NIS2 célja ugyanakkor nem elsősorban a szankcionálás, hanem annak biztosítása, hogy az érintett szervezetek megfelelő védelmet alakítsanak ki az egyre gyakoribb kibertámadásokkal szemben. A jogszabályi megfelelés ezért nem csupán kötelezettség, hanem a biztonságos és folyamatos működés egyik alapvető feltétele is.
Fontos azonban hangsúlyozni, hogy a NIS2 nem elsősorban büntetési célokat szolgál. A jogalkotó célja az, hogy a kritikus és fontos szolgáltatásokat nyújtó szervezetek ellenállóbbá váljanak a növekvő számú kibertámadással szemben. Az elmúlt évek tapasztalatai azt mutatják, hogy a kibertámadások már nem kizárólag a nagy multinacionális vállalatokat érintik. Egyre gyakrabban válnak célponttá közepes méretű vállalkozások is.
Sok esetben a támadók nem az adatokat, hanem a működés folytonosságát támadják. Egy sikeres támadás akár napokra vagy hetekre megbéníthatja egy cég működését.
Éppen ezért minden vállalkozásnak érdemes megvizsgálnia, hogy érinti-e a NIS2 szabályozás.
A megfelelés nem csupán jogszabályi kötelezettség lehet, hanem a biztonságos és hosszú távon fenntartható működés egyik alapfeltétele is.
Érinti-e a cégemet a NIS2? – 10 gyors ellenőrző kérdés
A NIS2 szabályozás első látásra bonyolultnak tűnhet, azonban néhány egyszerű kérdés segítségével gyorsan felmérhető, hogy érdemes-e részletesebben megvizsgálni a vállalkozás érintettségét.
Ha több kérdésre is igen a válasz, célszerű szakértő bevonásával ellenőrizni, hogy a vállalkozás a jogszabály hatálya alá tartozik-e.
1. Legalább 50 főt foglalkoztat a vállalkozás?
☐ Igen
☐ Nem
2. Az éves árbevétel vagy mérlegfőösszeg meghaladja a 10 millió eurónak megfelelő összeget?
☐ Igen
☐ Nem
3. A vállalkozás energiaipari tevékenységet végez?
Ilyen lehet például a villamosenergia-, földgáz-, távhő-, kőolaj- vagy hidrogénipari tevékenység.
☐ Igen
☐ Nem
4. A vállalkozás a közlekedési szektorban működik?
Ide tartozhat például a vasút, a repülőtér-üzemeltetés, a kikötőüzemeltetés vagy bizonyos közlekedési infrastruktúrák működtetése.
☐ Igen
☐ Nem
5. A vállalkozás pénzügyi szolgáltatást nyújt?
Ilyen lehet például a banki, biztosítói, befektetési szolgáltatói vagy egyéb pénzügyi tevékenység.
☐ Igen
☐ Nem
6. Egészségügyi szolgáltatást nyújt, gyógyszert vagy orvostechnikai eszközt gyárt?
☐ Igen
☐ Nem
7. A vállalkozás adatközpontot, felhőszolgáltatást, internetszolgáltatást vagy más digitális infrastruktúrát üzemeltet?
☐ Igen
☐ Nem
8. A cég gyártóipari tevékenységet végez?
Különösen fontos lehet ez elektronikai, gépipari, járműipari, vegyipari vagy gyógyszeripari területen.
☐ Igen
☐ Nem
9. A vállalkozás élelmiszeripari, hulladékgazdálkodási, postai vagy futárszolgáltatási tevékenységet folytat?
☐ Igen
☐ Nem
10. A cég működése jelentős mértékben függ informatikai rendszerektől, digitális szolgáltatásoktól vagy elektronikus adatkezeléstől?
☐ Igen
☐ Nem
Hogyan értékelje az eredményt?
0–2 igen válasz:
Valószínűleg nem tartozik közvetlenül a NIS2 szabályozás hatálya alá, de az informatikai biztonság erősítése ettől függetlenül javasolt.
3–5 igen válasz:
Érdemes részletesen megvizsgálni a vállalkozás tevékenységét és méretét, mert előfordulhat, hogy egyes NIS2-kötelezettségek vonatkoznak a szervezetre.
6 vagy több igen válasz:
Nagy valószínűséggel érintett lehet a vállalkozás. Javasolt a jogszabályi megfelelés mielőbbi áttekintése és szükség esetén szakértő bevonása.
Fontos:
A fenti ellenőrző lista kizárólag tájékoztató jellegű.
A NIS2 érintettséget minden esetben a vállalkozás konkrét tevékenysége, mérete és a hatályos jogszabályok alapján lehet pontosan megállapítani.
A törvény rendelkezéseit több végrehajtási rendelet egészíti ki, amelyek közül kiemelkedő jelentőségű a 418/2024. (XII. 23.) Korm. rendelet.
Az uniós szabályozási hátteret az (EU) 2022/2555 irányelv, közismertebb nevén a NIS2 irányelv biztosítja.
Kiket érint a NIS2?
A közlekedési ágazatban a vasúti társaságok, repülőtér-üzemeltetők, légiforgalmi szolgáltatók, kikötők és egyes közúti infrastruktúrát működtető szervezetek szintén a szabályozás hatálya alá tartozhatnak.
A pénzügyi szektorban működő bankok, hitelintézetek, biztosítók, befektetési szolgáltatók és tőzsdei szereplők számára ugyancsak kötelező lehet a megfelelés.
Az egészségügyi területen a kórházak, szakrendelők, laboratóriumok, gyógyszergyártók, valamint az orvostechnikai eszközöket gyártó vállalkozások érintettek lehetnek.
A szabályozás kiterjed az ivóvíz- és szennyvízszolgáltatókra, az adatközpontokra, a felhőszolgáltatókra, az internetszolgáltatókra és más digitális infrastruktúrát üzemeltető szervezetekre is.
A gyártóiparban különösen a járműgyártók, gépgyártók, elektronikai cégek, gyógyszergyártók és vegyipari vállalkozások tartozhatnak a NIS2 hatálya alá.
Az élelmiszeripar, a hulladékgazdálkodás, valamint a postai és futárszolgáltatási szektor szereplői között is számos olyan vállalkozás található, amelynek meg kell felelnie az új előírásoknak.
Mit jelent a NIS2 a gyakorlatban?
A NIS2 megfelelés nem azt jelenti, hogy a vállalkozásnak feltétlenül új szervereket vagy drága informatikai rendszereket kell vásárolnia. A szabályozás elsődleges célja annak biztosítása, hogy a cég tisztában legyen saját informatikai kockázataival, és megfelelő intézkedéseket tegyen azok kezelésére.
A gyakorlatban az első lépés az informatikai rendszerek felmérése. A vállalkozásnak pontosan tudnia kell, hogy milyen számítógépeket, szervereket, programokat, felhőszolgáltatásokat és egyéb digitális rendszereket használ. Fel kell mérni azt is, hogy ezek közül melyek kritikusak a napi működés szempontjából. Például egy gyártó vállalat esetében egy termelésirányítási rendszer leállása akár a teljes gyártási folyamatot megakaszthatja.
A következő lépés a kockázatok azonosítása. Meg kell vizsgálni, hogy milyen események veszélyeztethetik a vállalkozás működését, például egy zsarolóvírus-támadás, egy adathalász e-mail, egy jogosulatlan belépés vagy egy hibás biztonsági beállítás. A cél annak meghatározása, hogy hol vannak a legnagyobb sérülékenységek, és milyen intézkedésekkel csökkenthetők ezek a kockázatok.
A NIS2 elvárja a megfelelő technikai védelem kialakítását is. Ide tartozhat a vírusvédelmi rendszerek használata, a tűzfalak megfelelő beállítása, a rendszeres biztonsági frissítések telepítése, valamint a többfaktoros azonosítás alkalmazása. A gyakorlatban ez azt jelenti, hogy a munkavállalók nem csupán felhasználónévvel és jelszóval lépnek be a rendszerekbe, hanem egy második azonosítási lépcsővel is igazolják magukat.
Kiemelt jelentősége van a biztonsági mentések készítésének. A vállalkozásnak rendelkeznie kell olyan mentésekkel, amelyek segítségével egy kibertámadás vagy rendszerhiba után helyreállíthatók az adatok. Fontos, hogy ezek a mentések rendszeresen készüljenek, elkülönítetten legyenek tárolva, és szükség esetén valóban visszaállíthatók legyenek.
A jogszabály előírja a biztonsági intézkedések dokumentálását is. Ez azt jelenti, hogy a vállalkozásnak írásban kell rögzítenie a kiberbiztonsági szabályait, a felelősségi köröket, az alkalmazott védelmi intézkedéseket, valamint az incidenskezelési folyamatokat. Egy esetleges hatósági ellenőrzés során ezek a dokumentumok kiemelt jelentőséggel bírnak.
A cégeknek incidenskezelési eljárást is ki kell alakítaniuk. Ennek tartalmaznia kell, hogy ki jogosult intézkedni egy kibertámadás esetén, kiket kell értesíteni, hogyan történik a hiba elhárítása, és milyen módon kell dokumentálni az eseményeket. Egy gyors és jól szervezett reagálás jelentősen csökkentheti a károkat.
A NIS2 nemcsak a saját rendszerek biztonságára koncentrál, hanem a beszállítókra és szolgáltatókra is. Egy vállalkozásnak ezért meg kell vizsgálnia, hogy az informatikai szolgáltatója, könyvelőprogramja, felhőszolgáltatója vagy más külső partnere megfelelő biztonsági szintet biztosít-e. Számos kibertámadás ugyanis valamelyik partneren keresztül éri el a célpontot.
A munkavállalók képzése szintén alapvető követelmény. A legtöbb sikeres kibertámadás nem technikai hibával, hanem emberi figyelmetlenséggel kezdődik. Egy gyanús e-mail megnyitása, egy hamis weboldalon megadott jelszó vagy egy fertőzött melléklet letöltése elegendő lehet ahhoz, hogy a támadók hozzáférjenek a vállalkozás rendszereihez.
Összességében a NIS2 célja nem az, hogy többletadminisztrációval terhelje a vállalkozásokat, hanem hogy tudatosabbá és ellenállóbbá tegye őket a növekvő kiberbiztonsági kockázatokkal szemben. A megfelelés ugyan kezdetben többletmunkát jelenthet, hosszú távon azonban hozzájárulhat a vállalkozás biztonságos és zavartalan működéséhez. A szabályozás külön hangsúlyt helyez arra, hogy a munkavállalók megfelelő tájékoztatást és képzést kapjanak. Egyetlen figyelmetlen kattintás vagy rosszul kezelt e-mail ugyanis komoly károkat okozhat. A kibertámadások jelentős része emberi hibából indul ki. Ezért a tudatosság növelése ma már ugyanolyan fontos, mint a technikai védelem.
Mit jelentenek ezek a kötelezettségek a gyakorlatban?
A NIS2 szabályozás nemcsak technikai intézkedéseket vár el a vállalkozásoktól, hanem azt is, hogy a kiberbiztonsággal kapcsolatos folyamatok átláthatók, dokumentáltak és naprakészek legyenek. Ez több olyan feladatot is jelent, amely első látásra adminisztratív jellegűnek tűnhet, valójában azonban a vállalkozás biztonságos működésének alapját képezi.
a.) Naprakészen kell tartaniuk a szabályzataikat
b.) Gondoskodniuk kell a hozzáférések megfelelő kezeléséről
c.) Biztosítaniuk kell a biztonsági mentések elkészítését
d.) Fel kell készülniük az üzletmenet-folytonosság fenntartására egy esetleges incidens esetén
b.) Gondoskodniuk kell a hozzáférések megfelelő kezeléséről
c.) Biztosítaniuk kell a biztonsági mentések elkészítését
d.) Fel kell készülniük az üzletmenet-folytonosság fenntartására egy esetleges incidens esetén
a.) Naprakészen kell tartaniuk a szabályzataikat
A vállalkozásnak rendelkeznie kell olyan belső szabályzatokkal, amelyek meghatározzák az informatikai rendszerek használatának szabályait, az adatkezelési folyamatokat, a jogosultságkezelést, valamint az esetleges biztonsági események kezelésének rendjét. Nem elegendő egyszer elkészíteni ezeket a dokumentumokat, azokat rendszeresen felül kell vizsgálni és szükség esetén módosítani kell. Egy új informatikai rendszer bevezetése, egy új telephely megnyitása vagy akár egy szervezeti átalakulás is indokolhatja a szabályzatok frissítését. A hatósági ellenőrzések során gyakran azt is vizsgálják, hogy a dokumentáció valóban megfelel-e a vállalkozás aktuális működésének.
b.) Gondoskodniuk kell a hozzáférések megfelelő kezeléséről
A gyakorlatban ez azt jelenti, hogy minden munkavállaló kizárólag azokhoz a rendszerekhez és adatokhoz férhessen hozzá, amelyekre a munkájához valóban szüksége van. Nem megfelelő gyakorlat például, ha több dolgozó ugyanazt a felhasználónevet és jelszót használja, vagy ha egy korábban kilépett munkavállaló hozzáféréseit nem szüntetik meg. A vállalkozásnak nyilvántartást kell vezetnie arról, hogy ki milyen jogosultságokkal rendelkezik, és rendszeresen ellenőriznie kell ezek indokoltságát. Kiemelt jelentőségű a megfelelő jelszóhasználat és a többfaktoros hitelesítés alkalmazása is, amely jelentősen csökkentheti a jogosulatlan hozzáférések kockázatát.
c.) Biztosítaniuk kell a biztonsági mentések elkészítését
A legtöbb vállalkozás működése ma már nagymértékben függ a digitális adatoktól. Egy rendszerhiba, kibertámadás vagy akár egy véletlen törlés komoly problémákat okozhat, ha az adatok nem állíthatók helyre. Ezért rendszeres biztonsági mentéseket kell készíteni a fontos adatokról és rendszerekről. Nem elegendő azonban a mentések elkészítése, azok visszaállíthatóságát is időről időre ellenőrizni kell. Jó gyakorlatnak számít, ha a mentések egy része fizikailag elkülönített helyen vagy felhőalapú rendszerben kerül tárolásra, így egy helyi incidens esetén is rendelkezésre állnak.
d.) Fel kell készülniük az üzletmenet-folytonosság fenntartására egy esetleges incidens esetén
A NIS2 egyik fontos elvárása, hogy egy vállalkozás ne csak a támadások megelőzésére koncentráljon, hanem arra is felkészüljön, mi történik akkor, ha mégis bekövetkezik egy informatikai incidens. Ennek érdekében célszerű előre meghatározni, hogy egy rendszerleállás vagy kibertámadás esetén mely folyamatok élveznek elsőbbséget, kik felelősek az intézkedésekért, és hogyan történik a helyreállítás. Egy jól kidolgozott üzletmenet-folytonossági terv segíthet abban, hogy a vállalkozás a lehető legrövidebb idő alatt visszatérjen a normál működéshez. Ez különösen fontos olyan szervezeteknél, ahol akár néhány órás leállás is jelentős pénzügyi veszteséget vagy szolgáltatáskiesést eredményezhet.A NIS2 alapján bizonyos eseményeket meghatározott határidőn belül jelenteni kell a hatóságok felé. Ez azt jelenti, hogy a vállalkozásoknak olyan belső folyamatokat kell kialakítaniuk, amelyek lehetővé teszik a gyors reagálást és a megfelelő dokumentálást.
Milyen következményei lehetnek a szabályok megsértésének?
A NIS2 szabályozásnak való megfelelés nem csupán ajánlás, hanem jogszabályi kötelezettség. Az érintett szervezeteknek biztosítaniuk kell, hogy a jogszabályban előírt kiberbiztonsági követelmények teljesüljenek, ellenkező esetben különböző hatósági intézkedésekre kerülhet sor.
a.) A hatóság ellenőrzéseket végezhet
b.) Hiányosságok esetén kötelezheti a szervezetet a hibák kijavítására
c.) Súlyos esetben bírság kiszabására is sor kerülhet
b.) Hiányosságok esetén kötelezheti a szervezetet a hibák kijavítására
c.) Súlyos esetben bírság kiszabására is sor kerülhet
a.) A hatóság ellenőrzéseket végezhet
Az érintett szervezetek működését a kijelölt hatóság rendszeresen vagy célzott ellenőrzés keretében vizsgálhatja. Az ellenőrzés során megtekinthetik a kiberbiztonsági szabályzatokat, a nyilvántartásokat, a kockázatelemzéseket, valamint azokat a dokumentumokat, amelyek igazolják a jogszabályi megfelelést. A hatóság azt is ellenőrizheti, hogy a vállalkozás a gyakorlatban valóban alkalmazza-e az előírt biztonsági intézkedéseket, vagy azok csupán dokumentumok formájában léteznek.
b.) Hiányosságok esetén kötelezheti a szervezetet a hibák kijavítására
Amennyiben az ellenőrzés során hiányosságokat tárnak fel, a hatóság előírhatja azok megszüntetését. Ez jelentheti új szabályzatok elkészítését, meglévő dokumentumok módosítását, biztonsági intézkedések bevezetését vagy akár a munkavállalók további képzését is. A vállalkozásnak ilyenkor meghatározott határidőn belül gondoskodnia kell a hiányosságok megszüntetéséről, és szükség esetén igazolnia kell a végrehajtott intézkedéseket.
c.) Súlyos esetben bírság kiszabására is sor kerülhet
Ha a szervezet nem teljesíti a jogszabályi kötelezettségeit, elmulasztja a szükséges intézkedések végrehajtását, vagy a hiányosságokat a felszólítás ellenére sem szünteti meg, a hatóság bírságot szabhat ki. Különösen súlyosan eshet latba, ha a mulasztás következtében jelentős biztonsági esemény vagy adatvédelmi incidens következik be. A bírság mellett a vállalkozás hírneve is sérülhet, az ügyfelek és üzleti partnerek bizalma pedig hosszabb időre megrendülhet.
A NIS2 célja ugyanakkor nem elsősorban a szankcionálás, hanem annak biztosítása, hogy az érintett szervezetek megfelelő védelmet alakítsanak ki az egyre gyakoribb kibertámadásokkal szemben. A jogszabályi megfelelés ezért nem csupán kötelezettség, hanem a biztonságos és folyamatos működés egyik alapvető feltétele is.
Fontos azonban hangsúlyozni, hogy a NIS2 nem elsősorban büntetési célokat szolgál. A jogalkotó célja az, hogy a kritikus és fontos szolgáltatásokat nyújtó szervezetek ellenállóbbá váljanak a növekvő számú kibertámadással szemben. Az elmúlt évek tapasztalatai azt mutatják, hogy a kibertámadások már nem kizárólag a nagy multinacionális vállalatokat érintik. Egyre gyakrabban válnak célponttá közepes méretű vállalkozások is.
Sok esetben a támadók nem az adatokat, hanem a működés folytonosságát támadják. Egy sikeres támadás akár napokra vagy hetekre megbéníthatja egy cég működését.
Éppen ezért minden vállalkozásnak érdemes megvizsgálnia, hogy érinti-e a NIS2 szabályozás.
A megfelelés nem csupán jogszabályi kötelezettség lehet, hanem a biztonságos és hosszú távon fenntartható működés egyik alapfeltétele is.
Érinti-e a cégemet a NIS2? – 10 gyors ellenőrző kérdés
A NIS2 szabályozás első látásra bonyolultnak tűnhet, azonban néhány egyszerű kérdés segítségével gyorsan felmérhető, hogy érdemes-e részletesebben megvizsgálni a vállalkozás érintettségét.
Ha több kérdésre is igen a válasz, célszerű szakértő bevonásával ellenőrizni, hogy a vállalkozás a jogszabály hatálya alá tartozik-e.
1. Legalább 50 főt foglalkoztat a vállalkozás?
☐ Igen
☐ Nem
2. Az éves árbevétel vagy mérlegfőösszeg meghaladja a 10 millió eurónak megfelelő összeget?
☐ Igen
☐ Nem
3. A vállalkozás energiaipari tevékenységet végez?
Ilyen lehet például a villamosenergia-, földgáz-, távhő-, kőolaj- vagy hidrogénipari tevékenység.
☐ Igen
☐ Nem
4. A vállalkozás a közlekedési szektorban működik?
Ide tartozhat például a vasút, a repülőtér-üzemeltetés, a kikötőüzemeltetés vagy bizonyos közlekedési infrastruktúrák működtetése.
☐ Igen
☐ Nem
5. A vállalkozás pénzügyi szolgáltatást nyújt?
Ilyen lehet például a banki, biztosítói, befektetési szolgáltatói vagy egyéb pénzügyi tevékenység.
☐ Igen
☐ Nem
6. Egészségügyi szolgáltatást nyújt, gyógyszert vagy orvostechnikai eszközt gyárt?
☐ Igen
☐ Nem
7. A vállalkozás adatközpontot, felhőszolgáltatást, internetszolgáltatást vagy más digitális infrastruktúrát üzemeltet?
☐ Igen
☐ Nem
8. A cég gyártóipari tevékenységet végez?
Különösen fontos lehet ez elektronikai, gépipari, járműipari, vegyipari vagy gyógyszeripari területen.
☐ Igen
☐ Nem
9. A vállalkozás élelmiszeripari, hulladékgazdálkodási, postai vagy futárszolgáltatási tevékenységet folytat?
☐ Igen
☐ Nem
10. A cég működése jelentős mértékben függ informatikai rendszerektől, digitális szolgáltatásoktól vagy elektronikus adatkezeléstől?
☐ Igen
☐ Nem
Hogyan értékelje az eredményt?
0–2 igen válasz:
Valószínűleg nem tartozik közvetlenül a NIS2 szabályozás hatálya alá, de az informatikai biztonság erősítése ettől függetlenül javasolt.
3–5 igen válasz:
Érdemes részletesen megvizsgálni a vállalkozás tevékenységét és méretét, mert előfordulhat, hogy egyes NIS2-kötelezettségek vonatkoznak a szervezetre.
6 vagy több igen válasz:
Nagy valószínűséggel érintett lehet a vállalkozás. Javasolt a jogszabályi megfelelés mielőbbi áttekintése és szükség esetén szakértő bevonása.
Fontos:
A fenti ellenőrző lista kizárólag tájékoztató jellegű.
A NIS2 érintettséget minden esetben a vállalkozás konkrét tevékenysége, mérete és a hatályos jogszabályok alapján lehet pontosan megállapítani.
G
Munkavilága a Google-ben
Ha később is gyorsan szeretnéd megtalálni ezt az oldalt, keress rá a Google-ben:
munkavilaga.hu
Megnyitás Google keresésben →