Az NIS 2 Annak érdekében, hogy az Európai Unióban a kiberbiztonságra vonatkozó szabvány megvalósuljon, a különböző ágazatokban működő vállalatoknak fel kell állítaniuk biztonsági stratégiájukat. A visszaszámlálás megkezdődött, és itt az ideje, hogy együtt készüljünk!
- október 18-tól kötelező hatályú az EU új kiberbiztonsági irányelve, az NIS 2. Ez a kötelező érvényű előírás az egész Európai Unióban meghatározza a kiberbiztonságra vonatkozó szabványt, és arra kényszeríti a különböző ágazatokban működő vállalatokat, hogy dokumentálják biztonsági stratégiájukat.
A vállalatoknak kötelezően cselekedniük kell.
Mi az az NIS 2?
Az NIS 2 (Network and Information Security, hálózati és információbiztonság) révén az EU szigorú kiberbiztonsági előírásokat vezetett be a tagállamok számára. Az NIS 2 a már 2016-ban hatályba lépett NIS-irányelv utódja. Az átfogó biztonsági stratégia végrehajtása tehát már nemcsak szükséges a kibertámadások elleni védelemhez, hanem törvény is előírja.
A tagállamoknak 2024. október 17-ig kellett bevezetniük az NIS 2 irányelvnek való megfeleléshez szükséges intézkedéseket, és ezeket az intézkedéseket 2024. október 18-tól kell alkalmazniuk.
Miben különbözik az NIS 1 az NIS 2-től?
Az NIS 2 annak a 2016-os NIS-irányelvnek a továbbfejlesztett változata, amely már az uniós hálózati és információs rendszerek magas szintű biztonságát volt hivatott biztosítani, de volt néhány hiányossága.
Az NIS 1 és az NIS 2 közötti legfontosabb különbségek a következők:
-
Az új változat több, a társadalom és a gazdaság számára alapvető fontosságú ágazatot és vállalatot tartalmaz, mint például az energia, az egészségügy, a közlekedés és a digitális infrastruktúra.
-
Az NIS 2 előírja az érintett vállalatok és szervezetek számára, hogy hatékony kockázatkezelést folytassanak, és a súlyos vagy jelentős kibernetikai eseményeket jelenteniük kell az illetékes nemzeti hatóságoknak, amelyek ezután megtehetik a szükséges intézkedéseket. Az NIS 1 csak általános iránymutatásokat adott a biztonsági intézkedésekre és az események jelentésére vonatkozóan.
-
Az új biztonsági irányelv szigorúbb szankciókat ír elő a tagállamok számára, amelyek akár 20 millió eurót vagy a globális forgalom négy százalékát is elérhetik, ha az érintett vállalatok és szervezetek nem hajtják végre a szükséges biztonsági intézkedéseket, vagy nem jelentik a súlyos vagy jelentős kibernetikai eseményeket az illetékes nemzeti hatóságoknak. Az NIS 1 a tagállamokra bízta a szankciók meghatározását, ami következetlen alkalmazáshoz vezetett.
-
Az NIS 2 hangsúlyozza a vezetők személyes felelősségét a kiberbiztonságért, és rögzíti, hogy az ügyvezetők személyes vagyonukkal felelnek, ha nem tesznek eleget a törvényi előírásoknak.
Kit érint ez?
Mely vállalatok kötelesek végrehajtani a NIS 2 irányelvet?
Lényeges intézmények: ezek azok a szervezetek, amelyek a kritikus infrastruktúrák területén tevékenykednek. Ezek közé tartozik például az energia-, a közlekedési, a vízgazdálkodási, az egészségügyi és a bankszektor.
Fontos létesítmények: ez a kategória az élelmiszeripar és a vegyipar vezető vállalatait, valamint az elektromos készülékek, gépek és járművek gyártásáért felelős vállalatokat foglalja magában.
Ezen túlmenően a tagállamok maguk is bővíthetik a NIS 2 által érintett célcsoportok körét. A tagállamok további szervezeteket vehetnek fel nemzeti listájukra, kötelezve a helyi hatóságokat, oktatási intézményeket és másokat az irányelvek végrehajtására.
Milyen büntetések vannak?
A NIS 2 irányelvet szigorúan be fogják tartatni, beleértve a súlyos bírságokat a megfelelés vagy a jelentéstételi kötelezettség elmulasztása esetén. A bírságok mértéke az egyes vállalatok besorolásától függ.
A „fontosnak” minősített vállalatoknak 7 millió euró vagy az előző pénzügyi évben elért teljes éves globális forgalmuk legfeljebb 1,4%-ának megfelelő bírságot kell fizetniük. A "lényeges vállalatok" 10 millió euróig terjedő bírsággal vagy a teljes globális éves forgalmuk legfeljebb 2%-ával sújthatók.
A kiberbiztonság területén a kellő gondosság nem képezi vita tárgyát, és a felső vezetésnek kötelessége vezetni e kiberbiztonsági intézkedések végrehajtását és felügyeletét.
Ez pontosan mit jelent az Ön számára?
Az NIS 2 irányelv egy 2023. január 16-án hatályba lépett uniós irányelv, amelynek célja a kritikus infrastruktúrák és a digitális szolgáltatók kiberbiztonságának és ellenálló képességének javítása. Az irányelv előírja az érintett vállalatok és szervezetek számára, hogy hatékony kockázatkezelést alkalmazzanak, és a súlyos vagy jelentős kibernetikai eseményeket jelentsék az illetékes nemzeti hatóságoknak, amelyek ezután meghozhatják a szükséges intézkedéseket. A felhasználók, a környezet és a közrend esetleges károsodásának minimalizálása érdekében az a cél, hogy a biztonsági hiányosságokat korán felismerjük, és ellenük megelőző intézkedéseket hozzunk. Annak biztosítása érdekében, hogy minden érintett fél ugyanolyan magas színvonalú szabványokat tartson be, a vállalatok felelősek a teljes szállítási lánc biztonságának biztosításáért és a követelmények továbbításáért üzleti partnereik és beszállítóik felé. A további intézkedések többek között a következők:
-
Megfelelő és arányos biztonsági intézkedések bevezetése, amelyek megfelelnek a jelenlegi szabványoknak és a legjobb gyakorlatoknak, hogy biztosítsák adataik és szolgáltatásaik bizalmas jellegét, integritását, rendelkezésre állását és hitelességét.
-
Olyan üzletmenet-folytonossági terv létrehozása és frissítése, amely lehetővé teszi a normál működési feltételek helyreállítását egy kibernetikai esemény után.
-
A jogosulatlan hozzáférés megakadályozása érdekében többtényezős hitelesítés bevezetése a hálózataik és információs rendszereik eléréshez.
Az EU Kiberbiztonsági Ügynöksége (ENISA) kulcsszerepet játszik majd e jogi aktusok alkalmazásának ellenőrzésében és támogatásában.
Az NIS 2 menetrendje
Az NIS 2 irányelv 2023. január 16-án lépett hatályba, és 2024. október 17-ig kellett átültetni a nemzeti jogba. Az irányelv végrehajtását a Bizottság 2027. október 17-től kezdődően 36 havonta felülvizsgálja.
Itt az ideje az aktívvá válásnak és a felkészülésnek.
A NIS 2 már 2023. január 16-án hatályba lépett
Teljes 360°-Security koncepciónk
360°-os biztonság – teljes kínálatunk, kompromisszumok nélkül
A kiberbiztonság dinamikus világában a változás állandó, és az NIS 2 irányelv bevezetése ezt a tényt hangsúlyozza. Miközben arra várunk, hogy az irányelv átültetésre kerüljön a nemzeti jogba, hogy teljes mértékben hatályba léphessen, az intézkedések meghozatalának sürgőssége tagadhatatlan.
Az NIS 2 szigorú követelményeinek teljesítéséhez az európai és nemzetközi szabványokra kell támaszkodnunk, amelyekre építhetünk. Ezek a szabványok nem csak biztonságos termékeket határoznak meg, hanem a megbízható biztonsági rendszerek megvalósításának alapelveit is lefektetik. Ennek egyik kiemelkedő példája az IEC 62443, az automatizálás biztonságára vonatkozó, világszerte elismert szabványsorozat. Az átfogó 360°-os biztonsági koncepciónk mind technikai, mind szervezeti intézkedéseket tartalmaz, amelyeket a megfelelő IEC 62443 tanúsítványok is alátámasztanak.