Vészesen közelít a június vége, ameddig minden érintettnek el kell indítania a NIS2 alkalmazásba vételét. Az idén és jövőre is számos teendőt kell elvégezni, mutatjuk a pontos menetrendet.

Áprilisi, Invitechhel közösen tartott rendezvényünkön, több mint 170 regisztrált szakember részvételével zajlott a NIS2 Szakmai Nap, ahol kiderült, hogy a megfelelés komoly terhet ró az egész piacra. Az érintett cégekre, tanácsadókra, kiberbiztonsági megoldásszállítókra, de még a szabályzói oldalra is várnak feladatok. Az eseményen tisztáztuk a már ismert, 2025 végéig szóló határidőket; cikkünk ezúttal ezt a témát járja körül.

Az érintettek köre
A szabályozás a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező minden olyan vállalatra és szervezetre vonatkozik, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót lát el.

Ezek közé a kritikus ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett IKT-szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, -feldolgozás és -forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és -forgalmazás, valamint a digitális szolgáltatás.

Még nincs (túl) késő

Jelenleg is zajlik a folyamat első lépése, mely a felügyeleti szervnek, a Szabályozott Tevékenységek Felügyeleti Hatóságának ugyanúgy feladatokat jelent, mint az érintetteknek. Az SZTFH-nál 2024 első felében a szabályozás alá vont szervezetek és az auditorok nyilvántartásba vételén dolgoznak. Előbbiek – mintegy 2600 vállalat – saját maguk felelősek azért, hogy megállapítsák: a rendelet hatálya alá tartoznak-e.

Az önazosítást követően június 30-ig kell bejelentkezni a nyilvántartásba vételre. Ez a dátum kizárólag azon szervezetekre vonatkozik, melyek 2024. január 1. előtt kezdték tevékenységüket. A dátumot követően érintetté váltak körének a Kibertan.tv. 26. § (2) bekezdés szerinti 30 napos határidő áll rendelkezésére.

A nyilvántartásba vétel egyik feltétele szerint az érintett szervezetnek rendelkeznie kell elektronikus információs rendszerek biztonságáért felelős szakemberrel. Az IBF személye csak bizonyos előfeltételek megléte (például megfelelő minősítés birtoklása) esetén jelölhető ki. Az ő feladata a szervezet elektronikus információs rendszerei biztonsági osztályba sorolásának és a szervezet biztonsági szintbe történő besorolásának előkészítése.

Október 18-a a következő mérföldkő. Ettől a pénteki naptól kezdve az SZTFH gyakorolja felügyeleti és ellenőrzési feladatkörét, a vállalatoknak pedig már nemcsak szabályzati szinten kell foglalkozniuk a védelmi intézkedésekkel, hanem azok bevezetéséről is gondoskodniuk kell (a felügyeleti díj megfizetésével egyetemben, melynek összege az SZTFH oldala szerint jelenleg szabályozás alatt áll).

Messze még az év vége

A fentiek sikeres elvégzésével, adaptálásával azonban nem lehet még hátradőlni. 2024. december 31-ig auditort kell választania az érintett szervezeteknek, illetve szerződést kell kötniük a feleknek. Az első audit elvégzésére a szabályozás időben nagy teret biztosít: arra 2025. december 31-e előtt kell sort keríteni.

Az audit maga két részből áll. Az első lépés egy adminisztrációs ellenőrzés, melynek során az auditor meggyőződik arról, hogy minden előírt szabályzat és dokumentáció elkészült-e, illetve felméri a tartalmukat. Ennek során azt vizsgálja, hogy rendelkeznek-e a szükséges információkkal, deklaráltak-e a felelősségi körök, a szabályozásnak megfelelnek-e az alkalmazott folyamatok, hogy csak néhány példát említsünk.

Az elméleti részt teljesítő szervezet ezt követően behatolási teszten esik át. A penetrációs vizsgálat tulajdonképpen egy szimulált támadás a vállalat legnagyobb kitettségű és/vagy kritikus rendszereivel szemben. Ahogyan azt a valódi életben a rosszindulatú támadók teszik, az auditor megkísérel jogosulatlan hozzáférést szerezni a védett informatikai környezethez. Ennek eredményéről tájékoztatja a megbízóját; az abból levonható következtetésekkel felvértezve pedig szükség esetén tovább erősíthető a vállalat kiberbiztonsági védelme.

A teljes folyamat nem megy végbe egyik napról a másikra, a penetrációs teszt eredményéig pedig sok teendő vár a NIS2 hatálya alá tartozó cégekre. Éppen ezért érdemes nem halogatni a feladat elkezdését, hanem a lehető leghamarabb megtenni az első lépést.

Ez a cikk független szerkesztőségi tartalom, mely a Balasys IT Zrt. támogatásával készült. Részletek »

 

Biztonság

Már csak a legidősebb magyarokat nem hozza lázba a net

Az NMHH kutatása szerint az elmúlt években az idősebb generációk körében jelentősen nőtt az internethasználat.
 
Bejelentési kötelezettségük elmulasztása, és a szabályoknak való sorozatos meg nem felelés komoly pénzbírságot vonhat maga után.

a melléklet támogatója a Balasys IT Zrt.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.