A NIS2 irányelv célja az Európai Unióban az információbiztonság javítása, az európai digitális infrastruktúra elleni kiberfenyegetések megelőzése és kollektív védelem kialakítása. Az irányelv az előző NIS irányelvet váltja fel, és célja, hogy lépést tartson az informatikai- és kibertámadások egyre növekvő fenyegetésével.
A NIS2 irányelvnek olyan követelményei vannak, amelyek a digitális szolgáltatók és más információbiztonsági szervezetek részéről az információbiztonsági intézkedések megerősítését és a kritikus infrastruktúra védelmét biztosítja. A szolgáltatókkal szemben, akik az irányelv hatálya alá tartoznak, szigorúbb követelményeket támasztanak az incidensek jelentésére, a biztonsági intézkedések meghozatalára és a kritikus infrastruktúrák védelmére. Célja az irányelvnek, hogy az Európai Unió tagállamai egységes keretrendszeren belül lépjenek fel az információbiztonság területén, hatékonyan kezeljék a kibertámadásokat és más digitális fenyegetéseket.
Az egységes európai irányelv alapján minden tagország saját kötelező érvényű jogszabályokban, illetve hatósági ajánlásokban fogja leképezni a NIS2 elvárásrendszerét.
A NIS2 bevezetése számos iparágban több ezer hazai vállalatot fog érinteni, az eddigiekhez képest gyakran sokkal szigorúbb követelményeket támasztva az információbiztonság szabályozásával szemben.
Mely ágazatok érintettek?
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:
- Energetika (villamos energia, távfűtés- és hűtés, olaj, földgáz, hidrogén)
- Közlekedés (légi–, vasúti–, vízi–, közúti– és tömegközlekedés)
- Egészségügy
- Ivóvíz, szennyvíz
- Digitális infrastruktúra
- Kihelyezett IKT szolgáltatások
- Űralapú szolgáltatás
Kockázatos ágazatokban működő szolgáltatók és szervezetek:
- Postai és futárszolgáltatások
- Élelmiszer előállítása, feldolgozása és forgalmazása
- Hulladékgazdálkodás
- Vegyszerek gyártása, előállítása és forgalmazása
- Gyártás (orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek, villamos berendezések, gépek és gépi berendezések, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása)
- Digitális szolgáltatók (online piacterek, online keresőmotorok, közösségimédia-szolgáltatási platform szolgáltatói)
- Kutatás (kutatóhelyek)
Követelmények:
- Jelentéstételi, kiberbiztonsági kockázatkezelési és információmegosztási folyamatok kialakítása szükséges
- Kockázatelemzés és biztonsági politikák
- Incidenskezelés
- Sérülékenységvizsgálat
- Nyilvánosságra hozatali folyamat kialakítása
- Jelentési kötelezettség
Szankciók:
Pénzbeli bírság kiszabása érintheti az alapvető és a fontos szervezeteket is, emellett reputációs veszteség érheti a szervezeteket, illetve adott esetben a hatóság dönthet a szervezet eltiltásáról.
- Alapvető szervezetek: 10M EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírság
- Fontos szervezetek: 7M EUR vagy az előző évi forgalom 1,4%-ának megfelelő bírság
Az IFUA Horváth megoldásai a teljes felkészülési folyamatot lefedik:
- Szabályozás hatálya alá tartozás vizsgálata, projekttervezés és scoping
- Gap - elemzés végrehajtása, hiányosságok kockázatértékelése
- Cselekvési és akcióterv kialakítása a megfelelőség eléréséhez
- Minőségbiztosítás a felkészülési dokumentumokat illetően
- Segítségnyújtás a védelmi intézkedések kialakításában
- Implementáció és auditra való felkészítés
Kapcsolat
Tanács Zoltán