Milyen vállalatokra vonatkozik a NIS2?

Főszabály: a KKV törvény szerinti értelmezésben, ha a vállalat túllépte a kisvállalkozás határát (azaz több mint 50 fő alkalmazottat foglalkoztat, vagy éves nettó árbevétele vagy mérlegfőösszege meghaladta a 10 M €-t), és a tevékenysége a kibertan.tv. 1. és 2. mellékleteiben meghatározott kiemelten kockázatos vagy kockázatos ágazatba tartozik, akkor válik érintetté a NIS2 előírásaiban.

Kivételszabály: a következő tevékenységek végzése esetén méretkorlát nélkül minden vállalat érintett a NIS2-ben:

  • elektronikus hírközlési szolgáltatás;
  • bizalmi szolgáltatás;
  • DNS-szolgáltatás nyújtása;
  • legfelső szintű domain név szolgáltatás;
  • domain név-regisztrációt végző szolgáltatás;

A kiemelten kockázatos ágazatok a következők:

  • Energetika (ide tartoznak a következő alszektorokba tartozó vállalatok: energetika, távfűtés és hűtés, kőolaj, földgáz, hidrogén);
  • Közlekedés (ide tartoznak a következő alszektorokba tartozó vállalatok: légi közlekedés, vasúti közlekedés, közúti közlekedés, vízi közlekedés, tömegközlekedés);
  • Egészségügy (ide tartoznak az egészségügyi szolgáltatók, a teljes gyógyszeripar, illetve a kritikus fontosságú orvostechnikai eszközök és szerek gyártói is);
  • Ivóvíz és szennyvíz (beleértve a vízközmű szolgáltatást is);
  • Hírközlési szolgáltatások;
  • Digitális infrastruktúra szolgáltatások (beleértve a felhőszolgáltatásokat, adatközponti szolgáltatásokat, legfelső szintű domain név szolgáltatókat, DNS-szolgáltatókat, tartalomszolgáltató hálózati szolgáltatásokat is);
  • Kihelyezett Infokommunikációs technológiai (IKT) szolgáltatásokat (mind a kihelyezett informatikai és biztonsági szolgáltatást nyújtó IKT szolgáltatókat);
  • Űrkutatás;

A kockázatos ágazatok a következők:

  • Postai és futárszolgálatok;
  • Élelmiszerek előállítása, feldolgozása és forgalmazása;
  • Hulladékgazdálkodás;
  • Vegyszerek előállítása és forgalmazása;
  • Gyártás, ami alá beletartoznak:
    • orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása;
    • számítógép, elektronikai és optikai eszközök gyártása (NACE / TEÁOR kód: 26-os csoport);
    • villamos berendezések gyártása (NACE / TEÁOR kód: 27-es csoport);
    • máshová nem sorolt gépek és berendezések gyártása (NACE / TEÁOR kód: 28-as csoport);
    • gépjárművek, pótkocsik és félpótkocsik gyártása (NACE / TEÁOR kód: 29-es csoport);
    • egyéb szállító eszközök gyártása (NACE / TEÁOR kód: 30-as csoport);
    • cement-, mész- és gipszgyártás (NACE / TEÁOR kód: 23.5-ös csoport);
  • Digitális szolgáltatók (beleértve az online piactér szolgáltatókat, közösségi média plattform szolgáltatókat és a domain név regisztrációt végző szolgáltatókat);
  • Kutatás.
Mit kell az érintett vállalatoknak tenniük?

Először az érintett szervezet regisztrálása a kibervédelmi felügyeleti hatóságnál (az SZTFH-nál). Ennek lépései:

  1. az érintettség meghatározása, beazonosítása;
  2. az elektronikus információbiztonságért felelős személy (IBF) kijelölése;
    (nincsenek előírt formai szakmai feltételek, de nem árt, ha az IBK minimum alapszinten ért az informatikához és az IT biztonsághoz)
  3. technikai adatok összegyűjtése;
    (a vállalat nevére bejegyzett és használt domain nevek, használt fix IP-címek (egyedi IP címek, valamint IP tartományok is), valamint az IT hátterű nyilvános szolgáltatások)
  4. partner adatok összegyűjtése;
    (pl. elektronikus hírközlési szolgáltatók, tárhely szolgáltatók, alkalmazásszolgáltatók, keresőszolgáltatók, videó megosztó platform-szolgáltatók, illetve az információs rendszer üzemeltetésében és karbantartásában érintett kiszervezett szolgáltatók is mind)
  5. regisztráció, azaz a nyilvántartásba vételi kérelem benyújtása – az érintett vállalat cégkapuján keresztül;

Ezt követően az érintett szervezetnek be kell vezetni a kibervédelmi rendszerét, megfelelve a 7/2024 MK. rendelet pontos követelményeinek. Ebbe beletartoznak:

  • az elektronikus információs rendszereik azonosítása és biztonsági osztályba sorolása;
  • elektronikus információs rendszereikre – rendszerenként az osztályba sorolási követelményeknek megfelelő – adminisztratív, fizikai és logikai kontrollok (biztonsági intézkedések) bevezetése;
  • a bevezetendő kontrollok rendszerben való menedzselése érdekében:
    • az elektronikus információbiztonsági rendszerekkel kapcsolatos kibervédelmi kockázatok felmérését és kezelését meghatározó kockázatkezelési keretrendszer kidolgozása, bevezetése és alkalmazása;
    • a kibervédelmi kontrollok használatára az információbiztonsági irányítási rendszer bevezetése;
    • elektronikus informatikai rendszerek, szoftverek és hardverek beszerzésére, fejlesztésére, üzemeltetésére a biztonsági szabályok kialakítása és alkalmazása;
    • a beszállítók és alvállalkozók információbiztonsági kockázatértékelési és kezelési rendszerének bevezetése;
    • információvédelmi és kibervédelmi események és incidensek kezelésére vonatkozó incidenskezelés (és jelentő) rendszer kidolgozása, életbe léptetése;
    • üzletmenet folytonossági intézkedések (kiemelt hangsúllyal az IT BCP és IT DRP kialakítására) készítése, bevezetése;
    • vezetők és munkavállalók biztonságtudatossági képzése;

A vállalatnak az SZTFH által felhatalmazott auditor cégek egyikével előre megkötött szerződést követően a kialakított kibervédelmi rendszerét 2025 év folyamán auditáltatni kell.