NIS 2 – Biztonság. Megfelelés. Bizalom.
A NIS 2 irányelv (Network and Information Security Directive) az Európai Unió kiberbiztonsági szabályozása, amely 2024-től kötelező érvényű a tagállamokban.
Célja, hogy egységes és magas szintű kiberbiztonságot biztosítson a kritikus és fontos ágazatokban működő szervezetek számára, valamint megerősítse a cégek digitális ellenállóképességét.
Sok szervezet számára a NIS 2 nemcsak jogi megfelelés, hanem üzleti szükségszerűség is. Egy kiberincidens nemcsak a működést béníthatja meg, hanem komoly reputációs és pénzügyi károkat is okozhat.
Hazai jogszabályok a megfeleléshez:
- 2024. évi LXIX. törvény Magyarország kiberbiztonságáról
- 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
- 418/2024. (XII. 23.) Korm. rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról
- 1/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
- 2/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági felügyeleti díjról
- 3/2025. (IV. 17.) SZTFH rendelet a kiberbiztonsági felügyelet és feladatellátás és a hatósági ellenőrzés lefolytatásának részletes szabályairól, valamint az információbiztonsági felügyelőről
Mi segítünk abban, hogy szervezete megfeleljen a követelményeknek.
A NIS 2 bevezetése folyamat lépései
1. Felmérés
Első lépésként részletesen megvizsgáljuk a szervezet jelenlegi információbiztonsági helyzetét. Feltérképezzük a meglévő szabályozásokat, folyamatokat, rendszereket és a releváns kockázati tényezőket. Ebből átfogó helyzetképet (GAP-analízist) készítünk, ami megmutatja, milyen fejlesztések szükségesek a megfeleléshez.
2. Szabályozási környezet
Egyedileg, az iparági specifikációknak megfelelően és egyéb iparági követelményekkel összhangba hozva kialakítjuk a megfeleléshez szükséges eljárásokat és dokumentációs rendet úgy, hogy illeszkedjen a cég szabályozási környezetébe és napi működésébe megfeleljen a NIS 2 irányelv, és a hazai szabályozás alapján elvárt kötelezettségeknek.
3. Üzleti hatáselemzés és kockázatelemzés
Az üzleti hatáselemzés során segítünk azonosítani a szervezet kritikus folyamatait és az ezekhez kapcsolódó informatikai rendszereket. Az üzleti hatáselemzés amellett, hogy jogszabályi kötelezettség komoly üzleti értéket képvisel, és nem is készíthető el a szervezet munkatársainak aktív közreműködése nélkül, ezért mindig legyünk gyanakvóak, ha “dobozos” vagy “mini” verzióval találkozunk.
Egy szakértői szinten összeállított üzleti hatáselemzés eredményei beépíthetők a humán stratégiába, akár a pénzügyi folyamatokba optimalizálva az erőforrások leghatékonyabb felhasználását.
A kockázatelemzésen feltárt kockázatok kezelésével versenyelőnyhöz juthatunk Azok a szervezetek, amelyek tudatosan kezelik a kockázataikat, gyorsabban fejlődnek, kevesebb hibát követnek el, és jobban teljesítenek. Egy zsarolóvírus támadás sok más kellemetlenség mellett reputációs veszteséget és ügyfélvesztést okoz, melynek valószínűségét jelentősen tudja csökkenteni egy nemzetközi módszertan alapján készített kockázatmenedzsment.
4. Incidenskezelési folyamat kialakítása
Kidolgozzuk a kiberbiztonsági incidensek kezelésének és bejelentésének szabályozott folyamatát. Segítünk meghatározni az ajánlott szerep és felelősségi köröket, valamint a belső és külső kommunikációs lépéseket is.
5. BCP és DRP tervek
Elkészítjük vagy aktualizáljuk az üzletmenet-folytonossági tervet (BCP) és a katasztrófahelyreállítási tervet (DRP), valamint közreműködünk a tesztelésben is. Ezek biztosítják, hogy egy kiberincidens, adatvesztés vagy szolgáltatáskiesés esetén a szervezet gyorsan és irányítottan tudjon reagálni, minimalizálva az üzletre gyakorolt hatásokat.
A médiában gyakran hallani a hosszú leállásokról, amiket egy kibertámadás okoz, viszont csak szűk szakmai körökben ismertek azok az esetek, amikor egy pár óra alatt sikerült kivédeni a támadást. Az utóbbi Társaságok tudják, hogy nem az a kérdés, hogy lesz-e kibertámadás, hanem az, hogy mikor.
6. Oktatás
A NIS 2 megfelelés egyik kulcsa az emberi tényező.
Szerepkörre szabott vezetői és munkavállalói oktatásokat tartunk, amelyek növelik a tudatosságot, megismertetik a NIS 2 követelményeket és a biztonságtudatos viselkedés alapjait.