A társadalom digitális átalakulása kibővítette a kiberfenyegetettségi környezetet. Új kihívások jelentek meg, amelyek alkalmazkodó és innovatív válaszokat igényelnek. Erre reagálva az Európai Parlament és az Európai Unió Tanácsa 2022. december 27-én közzétette a NIS2 irányelvet, ami 2023. január 16-án lépett hatályba.
A NIS2 direktíva számos követelményt fogalmaz meg az EU-tagállamok kiber- és információbiztonságára vonatkozóan. Magyarországon a „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről” tisztázza a nemzeti kiberbiztonsági tanúsítás és felügyelet alapvető kérdéseit, illetve implementálja az EU-s NIS2 direktíva rendelkezéseit.
Az ellenőrzésért a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felel.
A NIS2 irányelv kibővíti a kiberbiztonsági követelményeket és szankciókat a tagállamok biztonsági szintjének harmonizálása és javítása érdekében, illetve szigorúbb követelményeket fogalmaz meg a különböző ágazatokra vonatkozóan. A vállalatoknak és szervezeteknek számos fontos aspektussal kell foglalkozni, ideértve a kiberkockázatok kezelését, ellenőrzését és nyomon követését, az incidensek hatékony kezelését, valamint az üzleti folytonosság biztosítását. Ezen felül az irányelv kiterjeszti a hatálya alá tartozó szervezetek körét, és szigorúbb felelősségi szabályokat ír elő az érintett cégek vezetősége számára.
Nyilvántartásba vétel határideje
Felügyeleti és ellenőrzési tevékenységek indulása
Auditra vonatkozó szerződéskötés határideje
Első audit lefolytatásának a határideje
Megkeresésre teljes körű jogi értelmezést biztosítunk és felmérjük, hogy érinti-e Önt a NIS2 irányelv, ezt követően lefektetjük a NIS2-re való felkészülés alapjait.
Fontos! Nem a hatóságok fogják meghatározni és értesítést küldeni, hogy az irányelv vonatkozik-e Önre. Vállalatának vagy intézményének olyan kritériumok alapján kell önértékelést készítenie, amelyek ágazati elemeket és méretbeli megfontolásokat egyaránt tartalmaznak és érintettségét időben jeleznie kell a hatóságok felé. Például: attól, hogy az Ön vállalkozása a mikro- vagy kisvállalkozás kategóriába esik, még végezhet olyan „kiemelten kockázatos” ágazati tevékenységet, aminek értelmében a rendelet hatálya alá tartozik.
Amennyiben a Társaság nem rendelkezik megfelelő üzleti hatáselemzéssel és kockázatmenedzsment-keretrendszerrel, segítünk.
Felmérjük a jelenlegi érettségi szintet és azonosítjuk a megfeleléshez szükséges szervezeti és technológiai hiányosságokat.
Széles körű iparági tapasztalattal rendelkező csapatunkkal javaslatot teszünk a hiányosságok kezelésére, és segítséget nyújtunk egy komplex akcióterv megvalósításában.
A törvényi elvárásoknak megfelelően az érintett Társaságoknak kockázatmenedzsment-keretrendszert kell létrehozniuk és működtetniük, amelynek keretében azonosítják, értékelik, kezelik és felügyelik a biztonsági kockázatokat.
Igény szerint támogatjuk ügyfeleinket az egyes javításokra vonatkozó implementációs projektek során vagy személyre szabott szakmai tanácsot adunk a NIS2 audit alatt, így segítve az ellenőrzés könnyebb és sikeres teljesítését.
A PwC információ- és kibervédelmi csapata az egész európai régióban, országokon átívelően segíti ügyfeleit a NIS2 irányelv elvárásainak való megfelelés teljesítésében.
A NIS2 irányelv az egész EU-ra kiterjedő hálózat- és információbiztonsági jogszabály, amely 2023. január 16-án lépett hatályba. Az új irányelv az érintett vállalatok számának jelentős növekedését okozza, emellett magasabb követelményeket támaszt a társaságokkal szemben. A jogszabály betartására irányuló nyomás is növekszik, ezt jelzik a szigorúbb szankciók és a vezetői szint felelősségre vonása.
Rövid hatáselemzésünk segítségével megtudhatja, hogy az Ön cége a NIS2 irányelv hatálya alá tartozik-e. (Vegye fel velünk a kapcsolatot most!)
A NIS2 irányelv különbséget tesz a „kiemelten kockázatos szektorok” és a „kockázatos szektorok” között. A „kockázatos szektorokra” alacsonyabb bírság vonatkozik, és azok a hatóságok reaktív felügyelete alatt állnak, szemben a „kiemelten kockázatos szektorok” számára fenntartott proaktív felügyelettel.
Az egységes szabályrendszer célja az is, hogy az EU-ban ne legyenek eltérő minimális küszöbértékek, hanem az érintettséget „egységes kritériumok” alapján határozzák meg. A közép- és nagyvállalatoknak a szabályozás hatálya alá kell tartozniuk.
Közepes vállalat: 50-249 alkalmazott, vagy éves árbevétele kevesebb, mint 50 millió euró, vagy éves mérlegfőösszege kevesebb, mint 43 millió euró.
Nagyvállalat: legalább 250 alkalmazott, vagy legalább 50 millió euró éves árbevétel, vagy legalább 43 millió euró éves mérlegfőösszeg.
Ez a kategorizálás jelentősen kibővíti az alkalmazási kört Magyarországon.
Akár tízmillió euróig vagy az éves forgalom két százalékáig terjedő szankciókkal sújthatók a kiemelten kockázatos szektorba eső vállalatok. A kockázatos szektorba sorolható cégeknél a bírság elérheti a hétmillió eurót, vagy az éves forgalom 1,4%-át. Mindkét esetben a magasabb összeg a meghatározó.
Az érintett vállalatoknak és szervezeteknek megfelelő intézkedéseket kell hozni olyan területeken, mint a kiberkockázat-kezelés, az ellátási lánc biztonsága, az üzletmenet-folytonosság kezelése, a titkosítás, a hozzáférési korlátozások, valamint a hatósági jelentéstétel és a korrekciós intézkedések.
Gondatlanság és szándékos hanyagság.
A kockázatos intézményekre kiszabható bírság legfeljebb 7 millió euróig, vagy legfeljebb a vállalat előző pénzügyi évben elért teljes világméretű forgalmának legalább 1,4%-áig terjedhet.
A kiemelten kockázatos intézmények esetében legfeljebb 10 millió euró, vagy a vállalat előző pénzügyi évben elért teljes világméretű forgalmának legalább 2%-a a maximális büntetési összeg.
Példa: Kibertámadás, melynek üzemelést korlátozó hatásai vannak az elégtelenül monitorozott kockázatkezelési folyamatok miatt egy kiemelten kockázatos szektorban.
Következmények:
Követelések kifizetése
Külső szolgáltatók fizetése
Bírságok megfizetése
A NIS2 elterjedése messze túlmutat a jól ismert kritikus infrastruktúrákon. Például az energiaszektorban a NIS korábbi hatálya csak azokra a vállalatokra vonatkozott, melyek a villamosenergia- és a gázágazatban termeltek, szállítottak vagy szabályoztak energiát. A NIS2 ugyanakkor elvárja, hogy a teljes ellátási láncra, például a szélturbinák gyártóira és az elektromos járművek töltőállomásainak üzemeltetőire is kiterjedjenek a követelmények.
Villamos energia
a villamos energiáról szóló törvény szerinti villamosenergia-ipari vállalkozások
*(a közvilágítási üzemeltetési engedélyesek kivételével)
Távfűtés és hűtés
a távhőszolgáltatásról szóló törvény szerinti engedélyesek
Kőolaj
a bányászatról szóló törvény szerinti szénhidrogén szállítóvezetéket létesítő és üzemben tartó engedélyesek
a bányászatról szóló törvény szerinti kőolajfeldolgozásban és -tárolásban használt létesítmények üzemeltetői
a behozott kőolaj és kőolajtermékek biztonsági készletezéséről szóló törvény szerinti központi készletező szervezetek
Földgáz
a földgázellátásról szóló törvény szerinti engedélyes tevékenységet folytató földgázipari vállalkozások
*(Az egyablakos kapacitásértékesítők, a szervezett földgázpiaci engedélyesek és a vezetékes PB-gáz szolgáltatók kivételével.)
Hidrogén
a hidrogéntermelés, -tárolás és -szállítás üzemeltetői
Légi közlekedés
a polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről szóló kormányrendelet szerinti légiközlekedés védelmében közreműködő szervezetek
Vasúti közlekedés
a vasúti közlekedésről szóló törvény szerinti vasúti pályahálózat működtetője
*(A saját célú vasúti pályahálózatok és iparvágányok kivételével.)
a vállalkozó vasúti társaságok
a vasúti pályakapacitás-elosztó szervezetek
Közúti közlekedés
a közúti közlekedésről szóló törvény felhatalmazása alapján kiadott rendelet szerinti intelligens közúti közlekedési rendszerek üzemeltetését végző szolgáltatók
a közúti közlekedésről szóló törvény felhatalmazása alapján kiadott rendelet szerinti forgalomirányítást végző szervezetek
Vízi közlekedés
a víziközlekedésről szóló törvény szerinti hajózási tevékenység folytatásában részt vevő jogi személy, valamint jogi személyiséggel nem rendelkező gazdálkodó szervezetek
Tömegközlekedés
2007. október 23-i 1370/2007/EK európai parlamenti és tanácsi rendelet 2. cikk d) pontja szerinti közszolgáltató szervezetek
az egészségügyről szóló törvény szerinti egészségügyi szolgáltatók
magas biztonsági szintű biológiai laboratóriumok üzemeltetői
egészségügyi tartalékokat és vérkészleteket kezelő szervezetek
gyógyszerek kutatásával és fejlesztésével foglalkozó szervezetek
gyógyszeripari alaptermékeket és gyógyszerkészítményeket gyártó szervezetek
gyógyszer-nagykereskedők
népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközt gyártó szervezetek
az emberi felhasználásra szánt gyógyszerek közösségi kódexéről szóló 2001. november 6-i 2001/83/EK európai parlamenti és tanácsi irányelv 79. cikke szerinti nagykereskedelmi forgalmazási engedélyek birtokában lévő szervezetek
Víziközmű szolgáltatók
a víziközmű-szolgáltatásról szóló törvény szerinti víziközmű-szolgáltatók
az elektronikus hírközlésről szóló törvény szerinti adatkicserélő szolgáltatást nyújtó szolgáltatók
az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvény szerinti bizalmi szolgáltatók
felhőszolgáltatók
adatközponti szolgáltatást nyújtó szolgáltatók
legfelső szintű domainnév-nyilvántartók
DNS-szolgáltatók
tartalomszolgáltató hálózat szolgáltatói
kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltatók
kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltatók
űralapú szolgáltatások nyújtását támogató földi infrastruktúra üzemeltetők
a postai szolgáltatásokról szóló törvény szerinti postai szolgáltatók
az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerint élelmiszer-vállalkozások,
hulladékképződés megelőzését szolgáló szolgáltatók
hulladékgazdálkodási létesítmények
2006. december 18-i 1907/2006/EK európai parlamenti és tanácsi rendelet 3. cikke szerinti gyártók, forgalmazók
Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása*
2017. április 5-i (EU) 2017/745 európai parlamenti és tanácsi rendelet 2. cikkének 1. pontjában meghatározott orvostechnikai eszközöket gyártó szervezetek
2017 április 5-i (EU) 2017/746 európai parlamenti és tanácsi rendelet 2. cikkének 2. pontjában meghatározott in vitro diagnosztikai orvostechnikai eszközöket gyártó szervezetek
*(A népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközöket gyártó szervezetek kivételével)
Számítógép, elektronikai, optikai termék gyártása
2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 26. ágazata szerinti „Számítógép, elektronikai, optikai termék gyártása” tevékenységet végző gazdálkodó szervezetek
Villamos berendezések gyártása
2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 27. ágazata szerinti „Villamos berendezés gyártása” tevékenységet végző gazdálkodó szervezetek
Máshova nem sorolt gépek és berendezések gyártása
2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 28. ágazata szerinti „Gép, gépi berendezés gyártása” tevékenységet végző gazdálkodó szervezetek
Gépjárművek, pótkocsik és félpótkocsik gyártása
2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 29. ágazata szerinti „Közúti jármű gyártása” tevékenységet végző gazdálkodó szervezetek
Egyéb szállítóeszközök gyártása
2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 30. ágazata szerinti „Egyéb jármű gyártása” tevékenységet végző gazdálkodó szervezetek
Cement-, mész-, gipszgyártás
2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 23.5 alágazata szerinti „Cement-, mész-, gipszgyártás” tevékenységet végző gazdálkodó szervezetek
online-piactér szolgáltatók
a 2001. évi CVIII. törvény szerinti keresőszolgáltatók
közösségi média szolgáltatási platform szolgáltatói
domainnév regisztrációt végző szolgáltatók
kutatóhelyek
A lista tájékoztató jellegű, pontos információt a 2023. évi XXIII. törvény 1. és 2. számú mellékletében talál.
