Szerző Moore Hungary

Útmutató a NIS2 megfeleléshez: kockázatok, teendők, határidők

Akár 10 millió euróig vagy az éves forgalom 2 százalékáig terjedő bírságokat kockáztatnak azok a cégek, amelyek nem felelnek meg a NIS2 kiberbiztonsági irányelveket beépítő jogszabályoknak. Miközben a hazai üzleti szféra egy része a megvalósítás üteme, a nehezen teljesíthető határidők miatt háborog, azt már senki sem vitatja, hogy a kibertámadásokból származó üzleti kár nagyobb veszélyt hordoz a bírságnál.

A 2024-ben hatályba lépett, minden uniós tagállamra kiterjedő kiberbiztonsági irányelv, a NIS2 (Network and Information Security) az Európai Unió önvédelmi reflexe a látványosan terjedő kiberbűnözés megfékezésére. A NIS1-et felváltó direktívával a közösség a kiberfenyegetésekkel igyekszik tartani a lépést, amelyek között olyan mértékűek is akadnak, amelyek egy-egy ország vagy akár az egész EU normális működését veszélyeztetik.
A NIS2 irányelvben meghatározott, közös kiberbiztonsági szabályozási keret a kiberbiztonság szintjének és képességeinek növelésére irányul, a kockázatkezelési intézkedések, az incidensekkel kapcsolatos bejelentések bevezetésére. „A cél nem a büntetés elkerülése, hanem az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó kiberbiztonsági protokollok kialakítása” – hangsúlyozza Boross Ákos, a Moore Hungary managing partnere.

Magyarország ráadásul jól is áll ezen a téren az uniós országokhoz képest, hiszen a közszférában már eddig is kötelező és ellenőrzött volt a kiberbiztonság. Ráadásul miután minden EU-tag lehetőséget kapott arra, hogy saját képére alakítsa a NIS2 irányelveit, Magyarország ebben is gyorsan tudott reagálni. A hazai szabályok megalkotásának a közszférára is alkalmazott amerikai szabványt, az NIST 800-53 keretrendszere lett az alapja. Boross Ákos nagyon jogosnak tartja az ennek az érettségi szintnek az elérésére vonatkozó elvárást. Azzal együtt is, hogy az üzleti szereplők jó része, köztük a kibervédelmi szakma egyik fele háborog a megvalósítás ütemén: nincs elég auditorcég, az utolsó utáni pillanatban érkező részletszabályok miatt nehezen teljesíthetők a határidők.

Azt viszont már senki sem vitatja, hogy az érintett vállalkozásoknak el kell érnie ezt a szintet, mivel egyre általánosabb a felismerés: a kibertámadásból származó üzleti kár jóval veszélyesebb, mint a bírság.


Teendők és határidők

A hazai kiberbiztonsági szabályozására vonatkozó jogszabályok (lásd KERETES) előírásai alapján a NIS2 által érintett szervezetnek már át kellett esniük a nyilvántartásba vételi procedúrán a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH), be kellett jelenteniük az IBF (Információs Biztonsági Felelős) személyét a hatóságnak, továbbá azoknak az európai uniós tagállamoknak a listáját is, amelyekben szolgáltatásokat nyújtanak.

A jogszabályok alapján minden érintett szervezet köteles a nyilvántartásba vételét követő 120 napon belül szerződést kötni a kötelező kiberbiztonsági audit elvégzésére az SZTFH nyilvántartásában szereplő auditorral. A működésüket 2025. január 1-je előtt megkezdő szervezeteknél az auditra 2025. december 31-ig sort kell keríteni.

Ellenkező esetben szankciókra számíthatnak az SZTFH részéről. Ezek első rétege a figyelmeztetés: a hatóság határidő megjelölésével szólítja fel a szervezet vezetőjét a hiányosságok megszüntetésére, kötelezve őt a jogsértés megszüntetésére és annak megismétlésétől való tartózkodásra. Szükség esetén az SZTFH hatósági intézkedéssel élhet: felügyeleti szervhez fordulhat, vagy információbiztonsági felügyelőt rendelhet ki a szervezet költségére.

Ha a szervezet nem teljesíti a biztonsági követelményeket, nem hárítja el a hiányosságokat, vagy nem teszi meg a szükséges intézkedéseket, a kiberbiztonsági hatóság – a korábban leírtak szerint – 10 millió euróig vagy az éves forgalom 2 százalékáig terjedő bírságot szabhat ki.


Díjak és befizetések

Az SZTFH kiberbiztonsági felügyeleti tevékenységéért az érintett szervezetek az előző évi nettó árbevételtől függő kiberbiztonsági felügyeleti díjat kötelesek fizetni. Ennek mértékét a jogalkotó a nettó árbevétel 0,00015 százalékában rögzítette azzal, hogy a felsőérték nem lehet 10 millió forintnál magasabb.
A kiberbiztonsági audit díját az 1/2025. (I. 31.) SZTFH rendelet határozza meg. Ezt a nettó 1 750 000 forintos maximális alapdíjból kalkulálják ki három tényezőhöz rendelt szorzószámok alapján: ezek a szervezet előző évi nettó árbevétele, a besorolt elektronikus információs rendszerek száma, valamint ezeknek a rendszereknek a biztonsági osztálya.


A kulcs a felkészülés

Annak érdekében, hogy egy cég minél hamarabb fel tudjon készülni, illetve képes legyen implementálni a NIS2-vel összefüggő szabályokat, hatékonyan fellépve a napi szinten megjelenő kiberfenyegetettség kockázatai ellen, az első fontos lépés egy gap-analízis: ennek keretében egy specializált tanácsadó cég vizsgálja meg a vállalkozás szervezetének és elektronikus információs rendszerének érettségi szintjét. „Minél hamarabb fény derül arra, hogy áll a felkészüléssel egy NIS2 által érintett szervezett, annál jobbak az esélyek, hogy a felmerülő problémákat, hibákat korrigálni lehessen” – fogalmaz Boross Ákos, aki szerint a gyakorlat elég vegyes képet mutat: akadnak cégek, amelyek készen állnak az auditra, és vannak, ahol komoly lemaradást kell behozni. Az is lényeges, hogy a tanácsadó az auditálási folyamat végéig elkísérje a céget, hiszen egy-egy erősen IT-specifikus kérdésben rengeteget számíthat, hogy a válasz egy informatikai szakembertől vagy egy, a területről csak marginális ismeretekkel rendelkezőtől érkezik. Boross Ákos tapasztalatai szerint sok esetben azonnal és olcsón meg lehet oldani egy-egy felmerülő problémát: több olyan partnerük is akadt már, ahol a szakértői támogatás abban merült ki, hogy a tanácsadó hozzáértőn és profin fogalmazta meg azokat a belső szabályzatokat, amelyek meglétét a jogszabályok megkövetelik.

Jogszabályi háttér
A korábbi jogi keret korszerűsítése, illetve az uniós kiberbiztonság általános szintjének növelése érdekében tavalytól hatályos NIS2 a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvénnyel lépett be a magyar jogrendbe. A 2024. december 31-én hatályát vesztett jogszabály helyébe ez év elejétől a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény lépett. Ennek eredményeként a szabályozás hatálya a NIS2 irányelv által érintett szervezeteken túl az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény által meghatározott érintetti körre is kiterjed.
A Kiberbiztonsági törvény végrehajtásával kapcsolatos részletszabályokat a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) kormányrendelet tartalmazza. A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről a 7/2024. (VI. 24.) MK rendelet szól. A kötelező kiberbiztonsági audit díja és módszertana az 1/2025. (I. 31.) SZTFH rendeletben, a felügyeleti díj megfizetésének módja és legmagasabb összege pedig a 2/2025. (I. 31.) SZTFH rendeletben szerepel.

A Magyarország kiberbiztonsági szabályozására vonatkozó jogszabályi hierarchiát a következő diagram szemlélteti:


Moore Hungary

A több mint 110 évvel ezelőtt egy londoni irodából induló Moore Global ma a világ egyik vezető tanácsadó és könyvvizsgáló hálózata. A világ több mint 110 országában jelenlévő hálózat több mint 550 független irodával rendelkezik, munkatársainak száma meghaladja a 37 ezer főt. A csoport árbevétele a legutóbbi pénzügyi év során meghaladta a 4,5 milliárd dollárt.
A Moore Hungary közel 200 fős szakértői csapatával a tanácsadási szolgáltatások teljes körét kínálja az üzleti, pénzügyi, M&A, jogi, adó- és számviteli tanácsadás, a hotel és turizmus, ESG, NIS2 iparági tanácsadás, illetve a könyvvizsgálat területén.
Gyorsan változó világunkban a Moore stratégiai iránymutatással és praktikus tanácsokkal támogatja ügyfeleit a bonyolult szabályozói és változó piaci környezet, valamint iparági adottságok átlátásában és megértésében, ezen keresztül pedig a legjobb megoldások megtalálásában.
A Moore Hungary és szolgáltatásai kapcsán bővebb információ a tanácsadó weboldalán érhető el: www.mooreglobal.hu.

Kövessen minket a LinkedIn-en is további friss hírekért!