Az Extreme Networksre bízta New Jersey tömegközlekedése az üzletbiztonságát
2024. január 26.
A Netwrix felvásárolta a CoSoSyst – egyesül két gyártó, melyeknek a RelNet a disztribútora
2024. február 02.Az Extreme Networksre bízta New Jersey tömegközlekedése az üzletbiztonságát
2024. január 26.A Netwrix felvásárolta a CoSoSyst – egyesül két gyártó, melyeknek a RelNet a disztribútora
2024. február 02.
NIS2 megfelelőség a gyakorlatban
A NIS2 uniós irányelv 2022. végi bevezetése nyomán Magyarországon 2024. január 1-én hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.), másik nevén Kibertan törvény. Ennek értelmében a kihirdetett hazai rendelkezések kötelező érvényűek az érintett ágazatokban működő hazai vállalkozások és szervezetek számára.
A RelNet portfóliója a NIS2 irányelv tükrében (PDF dokumentum letöltése)
Annak érdekében, hogy minél hatékonyabban tudjuk támogatni meglévő és leendő partnereinket, ügyfeleinket a NIS2 irányelv követelményrendszerének való megfelelésben, ezen az oldalon összefoglalunk mindent, amit a kibervédelmi direktíváról és annak 2024-es bevezetéséről tudni kell. Látogasson vissza hozzánk gyakran, mert cikkünket a változások és újdonságok fényében folyamatosan frissítjük!
2026. február 24-i frissítés: Letölthető szakmai kiadványunkból megtudhatja, miként válaszol a SecuPi adatbiztonsági platformja a NIS2 irányelv előírásaira. A SecuPi adat fókuszú biztonsági platformja (DSP) közvetlen választ ad a NIS2 legfontosabb technikai kihívásaira. A „single-pane-of-glass” megközelítésnek köszönhetően a szervezetek központosított felületen felügyelhetik teljes adat-ökoszisztémájukat, legyen szó helyi adatbázisokról vagy komplex hibrid felhőkörnyezetekről.
2026. január 5-i frissítés: Megjelent a Magyarország kiberbiztonságáról szóló törvény módosítása, amely 2026. január 6-i hatállyal jelentősen szűkíti a NIS2 kötelezett szervezetek körét. A módosítás 4. paragrafusa értelmében a jövőben csak azok a kockázatos / kiemelten kockázatos ágazatokban működő szervezetek kötelezettek, amelyek középvállalkozásoknak minősülnek vagy amelyek saját jogon (önálló létszám és pénzügyi adatok alapján) is elérik az 50 főt vagy a 10 millió eurós küszöböt. Akik ezt nem érik el (tehát akik eddig csak a konszolidáció miatt tartoztak az érintett szervezetek körébe), azok kiesnek a hatály alól.
2025. november 6-i frissítés: Elindult a tíz alkalmas országos „Kiberbiztonsági védőháló a kkv-szektor számára” című rendezvénysorozat, amely a Magyar Kereskedelmi és Iparkamara (MKIK), a Vállalkozásfejlesztési Program és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) együttműködésében valósul meg.
A program célja, hogy a kis- és középvállalkozásokat felkészítse a kötelező NIS2 auditra, és gyakorlati támogatást nyújtson a kiberbiztonsági megfeleléshez. A workshop-sorozat során a résztvevők szakértői tanácsadáson, jogértelmezési konzultáción és személyre szabott felkészítési útmutatáson vehetnek részt.
2025. július 10-i frissítés: A digitális gazdaság stabil működése szempontjából kulcsfontosságú szereplőket – például energetikai, pénzügyi vagy egészségügyi szolgáltatókat – új szabályozások kötelezik kiberbiztonságuk erősítésére: a NIS2 irányelv és a DORA rendelet. Az ISACA legújabb tanulmánya bemutatja, hogyan erősíthető meg a szervezetek ellenállóképessége és biztonsági felkészültsége az új jogszabályi környezetben.
2025. június 30-i frissítés: NIS2 módosított határidő: A Magyarország Kiberbiztonságáról szóló 2024. évi LXIX. törvény értelmében a kiberbiztonsági audit lefolytatására kötelezett szervezetekaz auditáltatási kötelezettségüket legkésőbb 2026. június 30-ig kötelesek teljesíteni.
2025. május 6-i frissítés: A Magyar Kereskedelmi és Iparkamara (MKIK), valamint az Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) közösen kezdeményezi, hogy a NIS2 irányelv kiberbiztonsági követelményeinek teljesítése érdekében további fél év felkészülési időt kapjanak az érintett vállalkozások. Az SZTFH és az MKIK közös javaslata szerint a kiberbiztonsági audit teljesítésének határideje így 2026. június 30-ra kitolódna. A cégeknek mindamellett számolniuk kell azzal, hogy idén augusztus 31-ig szerződést kell kötniük egy a hatósági nyilvántartásban szereplő auditorral. Az MKIK emellett audit tanácsadási programot is indít, hogy segítsen a felkészülésben.
2025. március 7-i frissítés: A NIS2-megfelelésre való felkészülés első jelentős mérföldköve a GAP analízis elkészítése. Ez az elemzés feltárja azokat az oktatási, tudatosítási, dokumentációs és implementációs hiányosságokat, amelyeket a szervezeteknek a NIS2-besorolásuktól függően pótolniuk kell a megfelelés elérése érdekében. A GAP-elemzés implementációs része olyan IT-felügyeleti, menedzsment- és biztonsági megoldások bevezetését írhatja elő, amelyek jelentős terhet róhatnak az IT-üzemeltetésért és biztonságért felelős csapatokra, nem beszélve a bizonyos esetekben jelentkező magas költségekről. Emiatt különösen fontos, hogy a GAP-analízis alapján készülő cselekvési terv minél pontosabb legyen, mivel a következő felkészülési fázis ennek végrehajtására épül.
A RelNet kínálatában számos olyan megoldás található, amely támogatja a monitoring-, menedzsment- és biztonsági területeket. Forduljon hozzánk bizalommal: segítünk az elkészült GAP-elemzés értelmezésében, és közösen megtaláljuk a megfelelő megoldásokat a felmerült hiányosságok kezelésére.
2025. január 2-i frissítés: Fontos közlemény a Szabályozott Tevékenységek Felügyeleti hatóságától!
A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény értelmében az érintett vállalkozásoknak 2024. december 31-ig kellett volna megállapodást kötniük a kiberbiztonsági audit elvégzésére az SZTFH nyilvántartásában szereplő valamely auditorral. Azonban a kiberbiztonsági audit lefolytatásának rendjéről és díjáról jelenleg még szakmai egyeztetések zajlanak.
Az SZTFH rendelet kihirdetése hiányában az érintett vállalkozásokat nem éri hátrány a fenti határidő – önhibájukon kívüli – elmulasztása miatt, a hatóság esetükben szankciót nem alkalmaz. A vonatkozó rendelet 2025-ben kerül majd kihiretésre.
2024. december 19-i frissítés: A NIS2 implementáció legfontosabb hazai elemeként a Magyarország kiberbiztonságáról szóló törvénytervezet számos kötelezettséget határoz meg az érintett szervezetek számára. Ezek közül a legfontosabbak és legaktuálisabbak:
- Az új törvény értelmében, az az érintett szervezet, amely 2025. január 1-je előtt kezdte meg működését, 2025. december 31-ig köteles elvégeztetni az első kiberbiztonsági auditot. Minden más szervezetnek a nyilvántartásba vételét követő két éven belül kell elvégeztetnie az első auditot.
- Az érintett szervezetnek, a nyilvántartásba vételét követő 120 napon belül, szerződést kell kötnie egy a kiberbiztonsági audit elvégzésére jogosult auditor szervezettel. A kiberbiztonsági auditot kétévente meg kell ismételni.
- Az Országgyűlés által 2024 decemberében elfogadott, kiberbiztonságáról szóló törvény 2025. január 1-jén lép hatályba, és hatályon kívül helyezi a 2013. évi L. törvényt és a 2023. XXIII. törvényt.
A 2024. évi LXIX. törvény Magyarország kiberbiztonságáról a Magyar Közlöny 130. számában lett közzétéve. A törvény itt olvasható.
2024. december 11-i frissítés: Az Európai Unió Kiberbiztonsági Ügynöksége, az ENISA, kiadta első beszámolóját az Unióban tapasztalható kiberbiztonsági helyzetről, amelynek egyik ajánlása értelmében erősítendő az uniós intézmények, testületek és ügynökségek (ún. EUIBA-k), az illetékes nemzeti hatóságok, valamint a NIS2 irányelv hatálya alá tartozó szervezetek számára nyújtott technikai és pénzügyi támogatás. Töltse le a 20 oldalas, angol nyelvű PDF dokumentumot: A kiberbiztonság aktuális helyzete az Európai Unióban.
2024. november 28-i frissítés: A RelNet eLearning programjának kínálatát folyamatosan bővítjük olyan képzésekkel, amelyek szorosan kapcsolódnak a NIS2 nyomán létrejött jogszabályi megfeleléshez. Jelenleg 3 darab NIS2-es témájú képzés érhető el, de látogasson vissza gyakran a megadott linkre, mert újabbak várhatóak!
2024. október 18-tól hivatalosan is hatályba lépett a NIS2 irányelv. A mai naptól kezdődően a NIS2 érintett szervezetek elsősorban a Nemzeti Kibervédelmi Intézet (NKI) keretén belül működő számítógépes biztonsági eseményelhárítási csoport (CSIRT) részére kötelesek bejelenteni az incidenseket.
Az Európai Bizottság tegnap elfogadta a kritikus fontosságú szervezetek és hálózatok kiberbiztonságára vonatkozó első végrehajtási szabályokat. A végrehajtási rendelet elfogadása egybeesik a tagállamok számára a NIS2-irányelv nemzeti jogba való átültetésére megállapított határidővel. 2024. október 18-től ugyanis minden tagállamnak alkalmaznia kell a NIS2 kiberbiztonsági szabályozást.
2024. október 14-i frissítés: NIS2: „best practice”-ről nehéz, tapasztalatokról már lehet beszélni. Az Infotér weboldalán olvasható cikkben Dávid András, a RelNet alapító-ügyvezetője nyilatkozik a NIS2 irányelv törvényi végrehajtásának aktuális helyzetéről:
"A NIS2 esetében nem az számít, hogy milyen módon éred el a kitűzött célt, hanem az, hogy képes vagy-e felmutatni az elvárt eredményt. Például nem elég vásárolni egy szoftvert az eredmény eléréséhez, hanem meg kell győződni arról, hogy az adataid megfelelően vannak tárolva, és a visszaállítást is tesztelni kell."
2024. október 11-i frissítés: Megjelent A RelNet portfóliója a NIS2 irányelv tükrében című letölthető PDF dokumentum legújabb verziója, terméknevekkel kiegészítve. A legújabb kiadás a biztonsági osztályba sorolás követelményeiről szóló MK rendelet intézkedéskatalógusának kivonata mellett tartalmazza a RelNet portfóliójába tartozó gyártók azon konkrét termékeit is, amelyek egy-egy követelmény teljesítésében segíthetnek.
2024. szeptember 17-i frissítés: A RelNet portfóliójában számos gyártó megoldásai kiválóan alkalmasak a NIS2 által előírt követelmények teljesítésére.
Éppen ezért – és azért is, mert hamarosan, október 18-ával megkezdődik a felügyeleti és ellenőrzési tevékenység – az eLearning kínálatunkat is gazdagítottuk NIS2-es témákkal. A RelNet rendszermérnöke a NIS2 irányelv követelményrendszerének tükrében mutatja be egyik gyártónk, a ManageEngine SIEM megoldását. Korábban pedig az SSH Communications Security Zero Trust Suite termékének NIS2 és DORA vonatkozásait mutattuk be az eLearning platformunkon.
2024. június 20-i frissítés: Emlékeztető! A Kibertan.tv értelmében 2024. június 30-ig kell teljesíteniük nyilvántartásba vételi kötelezettségüket azon vállalatoknak és szervezeteknek, amelyek a társadalom és a gazdaság működése szempontjából alapvető szolgáltatásokat, illetve a digitalizáció fejlődése miatt nélkülözhetetlen infrastrukturális szolgáltatásokat nyújtanak.
2024. április 26-i frissítés: NIS2 vagy DORA? Melyik vonatkozik rám?. Szemelvények az Európai Bizottság 2023. szeptember 18-i iránymutatásából, amely a NIS2 irányelv és a DORA közötti összefüggésekre világít rá.
2024. április 16-i frissítés: A RelNet portfóliója a NIS2 irányelv tükrében - letölthető PDF dokumentum, amely közli a biztonsági osztályba sorolás követelményeiről szóló MK rendelet intézkedéskatalógusának kivonatát, kiegészítve azt a RelNet portfóliójába tartozó azon gyártókkal, amelyek egy-egy követelmény teljesítésében segíthetnek.
2024. február 23-i frissítés: Olvassa el legújabb cikkünket a témában: DORA - A pénzügyi szektor NIS2-je
2024. február 1-i frissítés: Megjelent társadalmi egyeztetésre a Biztonsági osztályba sorolás és alkalmazandó védelmi intézkedések MK rendelet. A véleményeket 2024. február 8-ig lehetett elküldeni a tarsadalmiegyeztetes [kukac] kormanyiroda.gov.hu email címre.
A NIS2 lényege
Az egyre kifinomultabb és egyre gyakoribb kibertámadások miatt elkerülhetetlenné vált a meglévőknél szigorúbb szabályok bevezetése. A cél: megerősíteni a biztonsági követelményeket, kezelni az ellátási láncok biztonságát, valamint szigorítani a jelentési kötelezettségeket. Az Európai Uniónak, és ennek következtében a magyar jogalkotásnak is megfelelő és arányos technikai és szervezési intézkedéseket kellett hoznia a kockázatok kezelésére.A NIS2 kiberbiztonsági direktívát az EU tagállamainak 2024. október 17-ig kell átültetniük a saját jogrendszerükbe.
Előzmények – NIS1
A NIS (Network and Information Systems) az EU belső piaci működésének javítása érdekében létrehozott egységes kiberbiztonsági irányelv. Célja elsődlegesen a hálózati és információs rendszerek biztonságának magas szintű biztosítása volt az unió egész területén. A NIS1-et 2016 nyarán fogadta el az EU, a magyar jogrend pedig 2018 tavaszán léptette hatályba. A szabályozott szervezeteket ez a korábbi törvény „újonnan szabályozott szolgáltató”-ként említi, és kötelezettségeik alapján két csoportra osztja:(1) Alapvető szolgáltatásokat nyújtó szolgáltatók: digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor szereplői
(2) Digitális szolgáltatásokat nyújtó szolgáltatók: pl. online piacterek, keresőmotorok, felhőszolgáltatók
A NIS2 irányelv azonban ennél jóval nagyobb mértékben terjeszti ki az érintett szervezetek körét.
Forrás: Szabályozott Tevékenységek Felügyeleti Hatósága, Kiberbiztonsági Tanúsítási Igazgatóság
A NIS2 irányelv lényege
A megfelelőségre történő felkészülés fontos kezdeti részét képezi a vagyonleltár készítése és az adatvagyon meghatározása. A NIS2 által generált környezet segít:Érintett szervezetek – A NIS2 hatálya
A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő szolgáltatók mellett a kockázatos ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is. Ennek megfelelően a NIS2 direktíva részletesen definiált állami, közigazgatási szervezetekre és magánkézben lévő közép- és nagyvállalatokra vonatkozik. A NIS1-hez képest a NIS2 jelentős mértékben kibővíti az érintett ágazatok körét, többek között a közigazgatás, a digitális szolgáltatók, az űrkutatás, a kutatás, a postai szolgáltatások, a hulladékgazdálkodás, az élelmiszeripari, a feldolgozóipari és a vegyipari termékek gyártóival. Rendkívül fontos újdonság azonban, hogy ezen szervezetek és vállalatok beszállítói is az irányelv hatálya alá kerültek függetlenül attól, hogy ezek a beszállítók melyik iparághoz tartoznak. Az SZTFH számításai szerint a törvény több mint 2000 magyarországi szervezetet érint.
Forrás: Szabályozott Tevékenységek Felügyeleti Hatósága, Kiberbiztonsági Tanúsítási Igazgatóság
Kötelezettségek
A rendelkezések kötelező érvényűek a hazai vállalkozások és szervezetek számára. A kötelezettségek közül a legfontosabbakat említjük meg.Incidensbejelentés
A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak és a felügyeleti hatóságnak. Egy esemény akkor tekintendő jelentősnek, ha:Kiberbiztonsági intézkedések
A NIS2-vel kapcsolatos hazai rendeletek hatálya alá tartozó szervezeteknek további kiberbiztonsági intézkedéseket kell bevezetniük, amely kiterjed:Vezetői felelősségek
A fent említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie. Személyesen tehető felelőssé a vezető, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek. A cégvezetőknek rendszeres kiberbiztonsági oktatáson kell részt venniük, illetve munkavállalóik számára is hasonló és rendszeres képzéseket kell biztosítaniuk.Szigorú pénzügyi szankciók
A NIS2 irányelv alapján az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak: (1) Az alapvető szervezetekre 10.000.000 euró vagy a teljes éves világszintű forgalom 2 százalékának megfelelő bírság róható ki. (2) A fontos szervezetek 7.000.000 euró vagy a vállalkozás előző évi forgalmának 1,4 százalékáig terjedő közigazgatási bírsággal sújthatók.Ütemezés
Az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) társadalmi egyeztetésre bocsájtja a tervezetet, melynek eredménye hatással lehet a végleges előírásokra. A NIS2 irányelvet az EU tagállamainak 2024. október 17-ig kell átültetniük a saját jogrendszerükbe. Ahogy az az alábbi képen is jól látszik, a szervezetek 2024. június 30-ig kötelesek kérni a nyilvántartásba vételüket az SZTFH-nál. Az űrlap kitöltésére jogosult az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy.
Forrás: Szabályozott Tevékenységek Felügyeleti Hatósága, Kiberbiztonsági Tanúsítási Igazgatóság
