NIS2 felkészítés, audit és incidenskezelés
Ismerje meg, hogyan segítünk Önnek teljeskörűen megfelelni a NIS2 követelményeknek a regisztrációtól az auditon át az incidenskezelésig!
Mi az a NIS2 irányelv?
A NIS2 irányelv az Európai Unió új kiberbiztonsági szabályozása, amely a szervezetek számára kötelezővé teszi a kiberbiztonsági követelmények teljesítését. Célja, hogy növelje az ellenálló képességet és egységes biztonsági szintet teremtsen az EU tagállamaiban.
A szabályozás hazai alkalmazását a 2023. évi XXIII. törvény írja elő, amely középpontba helyezi a kockázatmenedzsmentet és a kockázatarányos védelem kialakítását minden érintett szervezetnél.
A legfontosabb NIS2 követelmények:
kockázatelemzés és kockázatkezelés bevezetése,
kiberbiztonsági incidensek észlelése, gyors bejelentése és kezelése,
hozzáférés-kezelési és titkosítási megoldások alkalmazása,
fizikai, logikai és adminisztratív védelmi intézkedések kialakítása,
az üzleti/ügymeneti folytonosság biztosítása incidensek alatt és után.
A NIS2 követelményeinek teljesítése minden érintett szervezet számára kötelező!
Kire vonatkozik?
A NIS2 irányelv pontosan meghatározza, hogy mely szervezetek tartoznak a hatálya alá. Alapvetően két nagy kategóriát különböztet meg: kiemelten kritikus ágazatok és kritikus ágazatok. Nézze meg, hogy az Ön vállalkozása melyik csoportba tartozik!
Kiemelten kritikus ágazatok
- Energetika (villamos energia, távfűtés és -hűtés, olaj, gáz, hidrogén)
- Közlekedés (légi-, vízi-, vasúti-, közúti szállítás)
- Banki szolgáltatások, pénzügyi piaci infrastruktúrák
- Közigazgatás
- Egészségügy
- Ivóvíz, szennyvíz
- Hírközlési szolgáltatás
- Digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
- Kihelyezett IKT szolgáltatások
- Űralapú szolgáltatás
Fontos: Ezekben az ágazatokban minden szervezet kötelezett, függetlenül a létszámtól vagy árbevételtől!
Kritikus ágazatok
- Postai és futárszolgáltatások
- Élelmiszer előállítás, feldolgozás, forgalmazás
- Hulladékgazdálkodás
- Vegyszerek gyártása, előállítása és forgalmazása
- Digitális szolgáltatók
- Kutatás
- Orvostechnikai eszközök, számítógépek, elektronikai termékek
- Gépjárművek, pótkocsik, egyéb szállítóeszközök gyártása
A NIS2 irányelv ezekben az ágazatokban csak a közép- és nagyvállalatokra vonatkozik, azaz legalább 50 fős létszám vagy legalább 10 millió eurós éves árbevétel esetén.
NIS2 határidők – Ne hagyja az utolsó pillanatra!
2024.01.01.
biztonsági osztályba sorolás
A szervezetnek meg kell határoznia, hogy a NIS2 mely biztonsági kategóriájába tartozik, ki kell jelölnie a kiberbiztonságért felelős személyt (IBF), és adatot kell szolgáltatnia az SZTFH részére.
2024.06.01.
Az SZTFH hivatalos rendszerében történő regisztráció határideje.
2024.10.18
A felügyeleti díjat meg kell fizetni, és a szervezetnek alkalmaznia kell a NIS2 által előírt minimális biztonsági intézkedéseket.
2024.12.31.
A szervezetnek szerződést kell kötnie egy hivatalosan elismert NIS2 auditorral.
2025.06.01.
A 2023. évi CIII. törvény szerint a tanúsítvány megszerzése kötelező a kritikus ágazatokban működő szervezetek számára.
2026.06.30.
NIS2 Audit Díj Kalkulátor
Számítsa ki cége NIS2 audit díját másodpercek alatt
Cég adatai
Számítás eredménye
Töltse ki a bal oldali mezőket és nyomja meg a "Kalkulálok" gombot
Könnyítse meg a NIS2 megfelelést az Eramba GRC szoftverrel!
A NIS2 irányelv bevezetése jelentős adminisztrációs és dokumentációs terhet ró a szervezetekre. A kockázatkezelés, incidenskezelés és megfelelőségi folyamatok kézi kezelése sok esetben bonyolult és időigényes.
Az Eramba GRC szoftver egyszerűsíti a teljes megfelelőségi folyamatot.
Ez egy könnyen kezelhető, mégis robusztus megoldás, amely a következőket nyújtja:
kockázatkezelés automatizálása,
incidenskezelési eljárások kezelése,
feladat- és határidő-követés,
központi dokumentumkezelés,
testreszabható kontrollok és jelentések.
A Lambda Shield Kft. kiemelt partnere az Eramba szoftver gyártójának, így ügyfeleink elsőként értesülnek a szoftver újdonságairól, frissítéseiről.
A NIS2 megfelelés bevezetésének lépései
A NIS2 megfelelés nem csupán egy dokumentációs feladat, hanem egy átgondolt, lépésről lépésre felépített folyamat. Így segítünk Önnek végigmenni a teljes úton:
I. Adatgyűjtési fázis
Elsőként részletesen feltérképezzük a szervezet felépítését, az informatikai rendszerek működését, a kezelt adatok típusait, valamint a meglévő szabályozó dokumentumokat.
Cél: a jelenlegi állapot teljeskörű megismerése.
II. Hiányosságok azonosítása
Feltérképezzük a biztonsági rések, szabályozási hiányosságok és szervezeti kockázatok területeit, amelyek akadályozhatják a megfelelőséget.
Cél: a kritikus fejlesztési pontok kijelölése.
III. Kockázatok elemzése
A kritikus rendszerelemekhez (BIA – Business Impact Analysis alapján) részletes kockázatelemzést végzünk.
A kockázatokhoz fenyegetettségi listát és kezelési tervet készítünk.
Cél: a szervezet kockázati profiljának pontos meghatározása.
IV. Szabályzatok kialakítása
Kidolgozzuk vagy aktualizáljuk a szükséges szabályzó dokumentumokat, amelyek:
megfelelnek a NIS2 előírásainak,
illeszkednek a szervezet működéséhez és arculatához.
Cél: a szabályozási környezet biztosítása a megfelelőséghez.
V. Eramba konfiguráció
Az Eramba GRC szoftver telepítése után testreszabjuk a kockázatkezelési és megfelelőségi folyamatokat:
beállítjuk a jogosultságokat,
konfiguráljuk a kontrollokat és értesítéseket,
felkészítjük a felhasználókat.
Cél: a szoftver teljes körű integrációja a szervezet folyamataiba.
Milyen szankciók vonatkoznak a NIS2 megfelelés elmulasztására?
A 186/2024. (VII. 8.) Korm. rendelet alapján a következő büntetési tételekre lehet számítani:
- A nyilvántartásba vétel elmulasztása esetén az előző évi árbevétel 0,5%-a (minimum 1 millió Ft), legfeljebb 2%-a (maximum 150 millió Ft)
- A nyilvántartásba vételhez szükséges adatszolgáltatás határidőn túli teljesítése esetén minimum 50.000 Ft, vagy az előző éves árbevétel 0,1%-a, de legfeljebb 15 millió Ft.
Fontos azt is figyelembe venni, hogy a bírság után a szervezetnek ugyanúgy meg kell felelni az előírásoknak, a bevezetés után pedig az ismételt audit díját is újra meg kell fizetni.
A bevezetés elmulasztása, vagy nem megfelelő implementálása esetén a vezetők személyes felelősséget viselnek a kiberbiztonsági követelmények betartásáért. Kiemelten kritikus szervezetek esetében a bírság maximuma 10 millió euró vagy a globális forgalom 2%-a, míg kritikus szervezeteknél ez legfeljebb 7 millió euró vagy a forgalom 1,4%-a lehet. Az elvárások be nem tartása esetén a bírság ismételhető. A hazai büntetési tételeket várhatóan miniszteri rendelet határozza meg.
Oktatás és szakértői támogatás – végig Ön mellett
Úgy látjuk, hogy a bevezetés során tartott oktatások szervezése számos cégnek jelent kihívást, sokszor pedig nem elég hatékonyak ahhoz, hogy a szoftvert megfelelően használják a felhasználók, ezért létrehoztuk a Lambda Shield Academy oktatói felületet.
GRC felhasználói oktatás
Az Eramba szoftver bevezetése után a Lambda Shield Academy felületén kerül bemutatásra a szoftver használata. A körülbelül 120 perces anyagban bemutatjuk azokat a teendőket, melyeket az egyes szereplőknek végre kell hajtaniuk munkájuk során.
Díja: 180 000 Ft + ÁFA / szervezet
Tartalma: részletes tematikus oktatás és ehhez hozzáférés fél évig
Lambda Shield Tudástár + Support
A havi előfizetéses rendszer keretében az 1 órányi konfigurációs szolgáltatás mellett hozzáférést biztosítunk folyamatosan bővülő, videóalapú tananyagunkhoz. Ezen rövid videók egyfajta kapaszkodót jelentenek a kinevezett információbiztonsági felelősnek, folyamatosan képezve őt, így a jogalkotók szándékával összhangban a szervezeten belül lesz az a tudás, ami szükséges egy sikeres audithoz.
Díja: 90 000 Ft + ÁFA / hó
Tartalma: havi 1 óra konfiguráció, support, online oktatói platform hozzáférése