Megkezdődött a visszaszámlálás, az év végéig még sok feladat vár az érintett cégekre
Az EU legújabb NIS2 kiberbiztonsági rendelete Magyarországon közel 6000 céget érint, ám a szabályozás körül a vállalkozások részéről a mai napig nagy a bizonytalanság. A magyar KKV-k rendszerüzemeltetési szakértőjeként fontosnak tartjuk, hogy ügyfeleink és leendő partnereink számára naprakész információkkal szolgáljunk a NIS2 audit körüli kérdésekkel kapcsolatban. Az önbevallás június 30-ai teljesítése után hamarosan itt a következő határidő. 2024. október 18-áig minden érintett szervezetnek el kell végeznie az elektronikus információs rendszerek azonosítását és biztonsági osztályok szerinti kategorizálását. Ezután az auditor cégekkel való szerződéskötés következik, amire december 31-ig van idejük a szervezeteknek. A határidős feladatok mellett továbbá fontos, hogy az érintett cégek már most elkezdjék az IT rendszerek felkészítését, hiszen egy NIS2 szemléletű rendszerátalakítás akár fél évet is igénybe vehet.
Milyen cégek számára kötelező a NIS2 minősítés?
Az EU kiberbiztonsági irányelve korábban elsősorban a kritikus infrastruktúrákat üzemeltető óriás szervezetekre vonatkozott, mint például közművek, pénzügyi szolgáltatók, egészségügyi intézmények és közlekedési szolgáltatók. A NIS2 irányelv azonban kiterjeszti a kiberbiztonsági követelményeket minden olyan az EU területén működő szolgáltató, gyártó vagy termelő szervezetre, amely fontos szerepet tölt be a tagállamok gazdaságában. Így már akár az 50-100 fős KKV-k számára is kötelező lehet a megfelelés. Mivel a NIS2-vel a piaci szereplők körére bővültek ki a szigorú kiberbiztonsági követelmények, így Neked is azt javasoljuk, hogy jogász közreműködésével nézz utána a cégedre vonatkozó előírásoknak.
Mi az a NIS2 és miért fontos a cégednek? Olvasd el a korábbi cikkünket és tudd meg, hogyan érinti vállalkozásodat az új kiberbiztonsági szabvány!
Ne vágj bele szakértő nélkül az auditba! Itt vagyunk, hogy segítsünk!
A NIS2 szemléletű felzárkózás komoly kihívást jelenthet a cégeknek, és szakértői segítség nélkül hibák és hiányosságok üthetik fel a fejüket a folyamatban. Tehát nem éri meg önállóan belevágni az auditra való felkészülésbe. Az érintett vállalatoknak mindenképpen szükségük van egy tanácsadóra, aki átfogóan felméri, hogy a cég hogyan áll a NIS2 követelmények teljesítésében, és pontos javaslatokat tesz a fejlesztésekre. Az iSolutions szakértői nemcsak ezt az átfogó felmérést végzik el, hanem támogatják a javaslatok megvalósítását is. Azok a cégek, akik szakértői felkészítés nélkül vágnak bele az auditba, nagy eséllyel bukhatnak meg a minősítés során. Ha a vállalat nem tud eleget tenni a megfelelésnek, egy újabb minősítési körrel nemcsak pénzt, de értékes időt is veszít.
Jó hír jelenlegi ügyfeleink számára, hogy ők már komoly lépéselőnyben vannak, hiszen szolgáltatásainkat eleve szigorú kiberbiztonsági követelmények szerint üzemeltetjük, így számukra a felkészülés lényegesen kevesebb időt vesz igénybe és a NIS2 audit is sokkal gördülékenyebben mehet.
Az iSolutions kiberbiztonsági tanácsadó partnere a Forkova Kft. ami már 80+ cégnek segített a különböző információbiztonsági megfelelések teljesítésében, és kiemelkedő szaktudással támogatja ügyfeleinket a NIS2 felkészülésben. Ez az együttműködés lehetővé teszi számunkra, hogy ügyfeleinknek átfogó, szakértő felkészítést biztosítsunk és támogassuk a sikeres NIS2 auditot.
Ne csússz le a legfontosabb NIS2 határidőkről!
A NIS2 auditálás előtt még számos fontos feladat vár a cégekre. A kiberbiztonsági felzárkózás mellett az audit előfeltétele a megfelelő dokumentáció elkészítése és időben történő benyújtása az illetékes szervek felé. Emellett októberben kell befizetni a felügyeleti díjat és még idén le is kell szerződni az auditáló szervezettel. Íme a legfontosabb NIS2 határidők:
Önbevallás – határidő: 2024. június 30.
Az első kulcsfontosságú lépésben az érintett cégeknek nyilatkozniuk kellett arról, hogy a NIS2 hatálya alá esnek-e és ki kellett jelölniük a szervezet IT biztonsági felelősét. Ezt a regisztrációt júniusban, a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH) kellett megtenniük a cégeknek a 420-as formanyomtatvány kitöltésével. Ezt a nyilatkozatot a hatóság a cégek TEÁOR-ban meghatározott tevékenységei alapján ellenőrzi, ez után a szervezetek visszaigazolást kapnak a sikeres önbevallásról, valamint arról is, ha nem megfelelően nyilatkoztak. A határidő lejártával a hatóságok azokat a cégeket is szondázzák, akik a NIS2 hatálya alá esnek, de még nem nyújtották be az önbevallást. Arról még nincsen konkrét információ, hogy milyen szankciók fogják érinteni azokat a cégeket, akik lekésték a júniusi határidőt, de az biztos, hogy hamarosan ők is értesítve lesznek és nem kizárt a pénzbüntetés kiszabása sem. Így azoknak a cégeknek, akik még nem nyújtották be az önbevallást, érdemes gyorsan nyilatkozniuk, még a hatósági felszólítás előtt.
Informatikai rendszerek azonosítása – határidő: 2024. október 18.
Ebben a szakaszban minden érintett szervezetnek el kell végeznie az elektronikus információs rendszereik biztonsági osztályok szerinti besorolását. Ide tartozik a levelező rendszer, CRM, ERP, ticketing, valamint minden egyéb olyan IT rendszer osztályozása, amely kritikus szerepet játszik a működésben. A felmért rendszereket a jogszabályban meghatározott biztonsági osztályok szerint kell kategorizálni. Erre azért van szükség, hogy a kibervédelmi kockázatok alapján hozzájuk lehessen rendelni a megfelelő védelmi intézkedéseket. Az auditor többek között ebből a besorolásból fogja látni, hogy a cég a törvényi előírás szerint milyen szinten tudja teljesíteni a megfelelőséget. A cégek rendszereinek biztonsági besorolását a megfelelőségértékelő szervezetek ellenőrzik. A rendszerek osztályozásánál kívül október 18-ig az érintett cégeknek össze kell állítaniuk a saját rendszerükre vonatkozó információbiztonsági és incidenskezelési szabályzatukat, valamint a védelmi intézkedésekre vonatkozó tervezeteket is.
Hatósági felügyeleti díj megfizetése – határidő: 2024. október 18.
A hatósági felügyeleti díj összege a cégek előző évi árbevételének 0,015%-a, de maximum 10M Ft. Fontos tisztázni, hogy ez nem az audit díja, csupán a felügyeleti szervek fenntartását biztosító befizetés.
Szerződéskötés az auditorral – 2024. december 31.
Az érintett szervezeteknek év végéig kell szerződniük az auditot végző céggel. A szerződéskötéshez számos előkészület és dokumentáció elkészítése tartozik, így ezt sem érdemes az utolsó pillanatra hagyni. Az auditot kizárólag minősített cégek végezhetik, amelyek folyamatosan bővülő listája az FTSZH weboldalán érhető el. Fontos leszögeznünk, hogy az iSolutions nem végez NIS2 auditot. Mint profi rendszerüzemeltető, segítünk a felkészülésben és azért felelünk, hogy vállalatod informatikája biztonságosan, a NIS2 szabványok szerint működjön.
Az első kiberbiztonsági audit lefolytatása – 2025. december 31.
Az auditorral történő szerződéskötés után az érintett cégeknek egy évük van arra, hogy lefolytassák a NIS2 auditot. A minősítés megszerzése több szakaszból áll, amelyek célja a szervezet információbiztonsági rendszerének felmérése, a jogszabályoknak való megfelelés ellenőrzése, és az esetleges hiányosságok feltárása. Az audit egy rendkívül összetett, több napos folyamat, amely részletesen foglalkozik a kiberbiztonsággal kapcsolatos kritikus területekkel:
✅ Biztonsági mentések kérdésköre
✅ Védelmi intézkedések, katalógusok kialakítása
✅ Programmentések
✅ Hozzáférések felügyelete
✅ Konfigurációkezelés
✅ Adathordozók védelme
✅ Ellátási lánc kockázatkezelése
✅ Információbiztonsági képzések a helyi rendszereknek megfelelően
Szeretnél fejleszteni, de nem tudod, hogyan kezdj hozzá? Teszteld céged informatikai érettségét! Egyperces kérdőívünk kitöltésével megtudhatod, hol tart vállalkozásod a digitalizációban.
Ránk számíthatsz a NIS2 auditra való felkészülésben!
Egy jó IT szolgáltató segít abban, hogy a vállalkozásod teljesítse a legmagasabb adatbiztonsági követelményeket, így az iSolutions természetesen a NIS2 auditra való felkészülésben is segít a cégednek! A közös munkát, mint mindig, ez esetben is egy komplex felmérés előzi meg, mely során részletesen kiértékeljük a vállalatod rendszerét. Ezután felállítunk egy fejlesztési ütemtervet, és elvégezzük a NIS2 megfeleléshez szükséges rendszer átalakítást. Az IT rendszereid korszerűsítése mellett a megfelelő dokumentációról is gondoskodunk és szakértő tanácsadással támogatjuk cégedet a sikeres audithoz vezető úton. Átlagosan a NIS2 auditra való komplex felkészítés hat hónapot vesz igénybe, de a meglévő ügyfeleink számára már jóval rövidebb idő lehet. Mi mindenképpen azt tanácsoljuk, hogy amennyiben a Te cégedet is érinti a NIS2 minősítés, érdemes minél hamarabb elkezdened a felkészülési folyamatot, hisz minél hamarabb szerzed meg a tanúsítványt, annál nagyobb versenyelőnyre tehetsz szert.