A hálózati és információs rendszerekről szóló 2. irányelv (NIS2) a legújabb jogszabály, amely útmutatást és jogi intézkedéseket ad az Európai Unió szervezeteinek kiberbiztonságának és ellenálló képességének fokozására.
Az új irányelv kiterjeszti elődjének (NISD) hatályát EU-s székhelyű szervezetekre, valamint más, az EU-ban üzleti tevékenységet folytató szervezetekre amelyek a z irányelvben meghatározott kritikus termékek előállítását és szolgáltatásokat végzik. A megfelelési követelményeket szigorították, és a meg nem felelésért kiszabott büntetéseket sokkal szigorúbbá tették.
Milyen cégekre vonatkozik a NIS2?
A NIS2 hazai bevezetését szabályozó a kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.) meghatározza az érintettek körét és a kockázatos és kiemelten kockázatos ágazatokat. Minden piaci szereplő érintett lehet, ahol a foglalkoztatottak száma eléri az 50 főt, illetve előző éves árbevétele meghaladja a 10 millió eurót. Kivételt képeznek az elektronikus hírközlési szolgáltatók, a bizalmi szolgáltatók, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű doménnév-nyilvántartók és a doménnév-regisztrációt végző szolgáltatók – számukra akkor is hatályos a jogszabály, ha a mikro- vagy kisvállalati körbe tartoznak.
Az irányelv nevesíti azokat a szektorokat, mint például az energia-, víz-, közlekedés- egészségügyi-, járműgyártás, élelmiszer szektort, amelyek kritikus fontosságúak és kockázatos vagy kiemelten kockázatos ágazatok.
Milyen hatással lesz az érintett cégekre NIS2?
Minden érintett vállalatnak jól szervezett incidenskezeléssel, strukturált kockázatkezelési információbiztonsági irányítási keretrendszert kell létrehozni és működtetni. A törvénynek való megfelelést független féllel kell kétévente auditáltatni. Az audit abban az esetben is kötelező, ha az érintett szervezet már rendelkezik iparági tanúsítványokkal (pl. TISAX, ISO27001).
Akkor most mit tegyek?
Töltse le ismertetőnket, hogy még többet megtudjon a teendőkről.