" " " "

NIS2

Felkészítés a sikeres auditra

GAP analízis és elő audit 

Kiberbiztonsági tanácsadás 

Tudj meg mindent a NIS2-ről kiberbiztonsági törvényről kiberbiztonsági tanúsításról

NIS2 magyarázata

MI A NIS2?

Egyszerűen fogalmazva egy új EU irányelv a kiberbiztonság növelésére.

Manapság egyértelműen kijelenthető, hogy az informatika nem áll meg az országhatároknál, így egyre nagyobb a kibertér folyamatos fenyegetettsége és a kibertámadások veszélye. Ennek érdekében minden vállalatnak fel kell készülni és megfelelő védelmet kell biztosítania információs vagyonára vonatkoztatva. Az új EU-s irányelv rögzíti a kulcsfontosságú tényezőket, mint például a folyamatos és stabil működés, a megbízható és biztonságos hálózati és információs rendszerek.

Ezt felismerve az EU egységes irányelvet adott ki (2022.november 28.-án) a kiberbiztonság területén a megfelelő szint eléréséhez. Az irányelv célja, hogy az irányelv alapján meghatározott ágazatok szolgáltatásaikat érintő fenyegetések csökkenjenek és a szolgáltatások folyamatossága biztosítható legyen egy esemény bekövetkezésekor. A tagállamoknak az irányelv hatálybalépésétől számított 21 hónapon belül be kell építeniük a nemzeti jogrendszerbe a NIS 2 irányelv rendelkezéseit. A NIS 2 irányelv felváltja és hatályon kívül helyezi a NIS-irányelvet (2016/1148/EK).

A NIS 2 javítani fogja a kiberbiztonsági kockázatkezelést, és jelentési kötelezettségeket vezet be a következő kritikus szektorokban:

  • Kiemelten kritikus ágazatok
  • Egyéb kritikus ágazatok

KIBERTAN TV. ÉS VÉGREHAJTÁSI RENDELET

A NIS2-t a magyarországi jogrendbe a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről vezette be. A jogszabályt fogja kiegészíteni és a részletszabályokat meghatározni a végrehajtási rendelet, melyet 2024. februárjára ígértek, de még csak a tervezet jelent meg. A társadalmi egyeztetésre bocsátott dokumentum itt található.

ÉRINTETTEK... ÁGAZATOK / LÉTSZÁM / ÁRBEVÉTEL

A 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (a továbbiakban: Kibertantv .) 17. § (1) bekezdése határozza meg azokat az ágazatokat melyekre a törvény vonatkozik. Alapvetően 2 ágazat került meghatározásra a törvény szerint a kiemelten kritikus ágazatok és az egyéb kritikus ágazatok

Kik tartoznak ebbe bele? Lássuk.

A kiemelten kritikus ágazatok az alábbiak (részletesen lásd a tv. 1. sz. mellékletében):

  • Energetika (villamos energia, távfűtés és -hűtés, kőolaj, földgáz, hidrogén),
  • Közlekedés (légi közlekedés, vasúti közlekedés, vízi közlekedés, közúti közlekedés, tömegközlekedés),
  • Egészségügy
  • Ivóvíz, szennyvíz
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra,
  • Kihelyezett IKT-szolgáltatások,
  • Űralapú szolgáltatás

Az egyéb kritikus ágazatok az alábbiak (részletesen lásd a tv. 2. sz. mellékletében):

  • Postai és futárszolgálatások,
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás,
  • Vegyszerek előállítása és forgalmazása,
  • Gyártás (orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógépek, elektronikai és optikai termékek gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és gépi berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása, cement-, mész-, gipszgyártás),
  • Digitális szolgáltatók
  • Kutatás

A 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (a továbbiakban: Kibertantv .) 17. § (2) bekezdése határozza meg, hogy kizárólag azon vállalatokra vonatkozik akik nem mikro- és kisvállalkozás, azaz:

  • a vállalat létszáma több mint 50 fő
  • a vállalat árbevétele eléri a 10 Millió Eurót.

A besorolást minden esetben a Kkvtv. (2004. évi XXXIV. törvény) alapján kell elvégezni.

A fenti szabályok nem vonatkoznak az alábbi szervezetekre:

  • elektronikus hírközlési szolgáltató,
  • bizalmi szolgáltató,
  • DNS-szolgáltatást nyújtó szolgáltató,
  • legfelső szintű domainnév-nyilvántartó vagy
  • domainnév-regisztrációt végző szolgáltató.
Speciális esetek vizsgálata

Speciális vizsgálat alá kell vonni véleményünk szerint az alábbi kategóriákat:

  • felhőalapú számítástechnikai szolgáltatás: olyan digitális szolgáltatás, amely önkiszolgáló módon történő hálózati hozzáférést tesz lehetővé igény szerint méretezhető, megosztott fizikai vagy virtuális erőforrások rugalmas készletéhez,
  • felhőszolgáltató: felhőalapú számítástechnikai szolgáltatást nyújtó szervezet,
  • kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató: olyan kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató, amely a kiberbiztonsági kockázatok kezelését végzi vagy azzal összefüggő szolgáltatást nyújt,
  • kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató: olyan szervezet, amely az IKT-termék, hálózat, infrastruktúra, alkalmazás vagy bármely más elektronikus információs rendszer telepítésével, kezelésével, üzemeltetésével vagy karbantartásával kapcsolatos szolgáltatásokat nyújt a szolgáltatást igénybe vevő telephelyén vagy távolról.

MIT KELL TENNEM, HOGY MEGFELELJEK?

A kritikus ágazatokba tartozó vállaltoknak megfelelő és arányos technikai és szervezeti intézkedéseket kell tenniük a hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelésére. Az intézkedéseknek legalább a következőket kell tartalmazniuk:

  • kockázatelemzés és információs rendszerbiztonsági politikák;
  • incidenskezelés (események megelőzése, észlelése és reagálása);
  • üzletmenet-folytonosság és válságkezelés;
  • az ellátási lánc biztonsága, beleértve a szervezet és szállítói közötti kapcsolatok biztonsággal kapcsolatos szempontjait;
  • biztonság a hálózati és információs rendszerek beszerzése, fejlesztése és karbantartása során;
  • politikák és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére (tesztelés és auditálás);
  • alapvető számítógép-biztonsági és kiberbiztonsági képzés;
  • kriptográfia és titkosítás alkalmazása;
  • humán erőforrás biztonság, hozzáférés-ellenőrzési politikák és vagyonkezelés;
  • multifaktoros, illetve folyamatos hitelesítési megoldások (ahol helyénvaló), biztonságos hang-, video- és szövegkommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek alkalmazása.

JOGSZABÁLYOK

Vonatkozó jogszabályok:

VAN BÍRSÁG? MEKKORA?

A tagállamok biztosítják, hogy az irányelv 18. vagy 20. cikkében megállapított kötelezettségek megsértése esetén a magas kritikusságú ágazatok szervezetei legfeljebb 10 000 000 EUR (vagy a teljes világméretű éves forgalmuk 2%-át kitevő, attól függően, hogy melyik a magasabb) összegű közigazgatási bírsággal sújthatók. (Ez érvényes az egyéb kritikus ágazatok szervezeteire is, de a maximális bírság ebben az esetben 7 000 000 EUR vagy 1,4%.)

A KÖVETKEZŐ HATÁRIDŐIG

Nap

:

Óra

:

Perc

:

Mp

HATÁRIDŐK ÁTTEKINTÉSE – NE KÉSD LE ŐKET, MI SEGÍTÜNK!

2023. 01. 16.
2023. 01. 16.

NIS2 hatályba lépése

2023. 05. 23.
2023. 05. 23.

Hatályba lép a kibertan tv.

2024. 01. 01.
2024. 01. 01.

Felkészülési időszak kezdete

Az 1. számú melléklet a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint a 2. számú melléklet a kockázatos ágazatokban működő szolgáltatók és szervezetek számára

2024. 06. 30.
2024. 06. 30.

Érintett szervezetek jelentkezése a nyilvántartási rendszerbe

2024. január 1. előtt már működő cégeknek 2024. június 30. napjáig meg kell küldeniük az SZTFH részre a nyilvántartásba vételhez szükséges adataikat.

2024. 10. 17.
2024. 10. 17.

Felkészülés határideje, felügyeleti díj megfizetésének utolsó napja

Eddig a napig kell megfelelni a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter végrehajtási rendeletében meghatározott konkrét védelmi intézkedéseknek.

2024. 12. 31.
2024. 12. 31.

Szerződéskötés auditor céggel

A 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló jogszabály által kijelölt szervezetek valamelyikével: Megfelelősségértékelő szervezetek.

2025. 12. 31.
2025. 12. 31.

Első kiberbiztonsági audit határideje

NIS2 + ISO 27001KÉT LEGYET EGY CSAPÁSRA!

NIS2 + ISO 27001 EGYÜTT? IGEN MERT CSAK ELŐNYE VAN!

Egy ISO 27001 szerinti tanúsítvány hatalmas versenyelőny!

Az ISO 27001 szerinti tanúsítások jelenleg még ritkábbak és kevésbé elterjedtek a teljes globális piacon a többi irányítási rendszer (ISO 9001, ISO 14001 stb.) tanúsításhoz képest, ezért az a vállalat aki úgy dönt, hogy megszerzi a tanúsítványt hatalmas verseny előnyre tesz szert a konkurenciájával szemben.

Az informatikai térnyerésével egyre nagyobb igényként jelentkezik az egyes vállaltoknál a vevők részéről, hogy rendelkezzenek ilyen tanúsítással, hiszen a vevőnek ugyanolyan érdeke, hogy ne csak ő maga gondoskodjon az információk védelméről hanem a beszállítói / alvállalkozói is.

MILYEN ELŐNYEI VANNAK?

Milyen előnyökkel jár, ha felkészülünk?

Biztonság növelése a vállalati folyamatok során

A legjelentősebb tény, hogy a rendszer kialakításával az információbiztonság hatalmas fejlődésen megy keresztül érintve a teljes informatikai rendszert és a vállalat által üzemeltetett üzleti folyamatokat.

Magasabb vevői bizalom és biztonság érzet

Az információk védelme első sorban a vállalatok felelőssége!

A vállalat biztonsági szintjének növeléséhez minden érintett szakmai területnek proaktív módon hozzá kell járulnia és fejleszteni kell azt, ehhez nyújt segítséget egy ISO 27001 vagy egy TISAX szabvány alapján kialakított és megfelelően bevezetett információbiztonság irányítási rendszer.

Biztonság tudatosság növelése a munkatársakban és akár a beszállítókban is

A rendszer bevezetésével hozzájárulunk mind a vezetői mind pedig a munkatársi elkötelezettség és biztonság tudatosság növeléséhez a teljes szervezeten belül.

Az üzleti folyamatokon keresztül pedig a bizalmasság, sértetlenség, hitelesség és rendelkezésre állás biztosításához. Másod sorban pedig a folyamatos ellenőrzés és felügyelet által a megfelelés kultúráját építjük be a szervezetbe, így magasabb szintű szervezeti kultúrába helyezheti az antikorrupciós irányítási rendszer.

Compliance – Jogi megfelelőség

A legtöbb jogrend bünteti a kiber bűnözésben való részvételt, a természetes személyek mellett pedig egyre gyakoribb a szervezetek felelősségre vonása is. Az információbiztonsági politika és az azt támogató irányítási rendszerek (ISO 27001 vagy TISAX) segítik a szervezetet abban, hogy elkerülje, vagy legalább a lehető legkisebbre csökkentse a biztonsági hiányossága miatt okozott költségeket, kockázatokat és károkat. Más szóval segítse megerősíteni az üzleti tevékenység iránti bizalmat és növelje a szervezet jó hírnevét.

A szabvány egyaránt alkalmazható kis, közepes és nagy méretű szervezetekre, akár a közszférában, akár a magánszférában vagy a nonprofit ágazatban végzik tevékenységüket.

MEGÉRI AZ ISO 27001 TANÚSÍTÁS?

IGEN! Növelje vállalata bizalmát vevőiben ISO 27001 tanúsítvánnyal! Bizonyítsa elkötelezettségét!

Egyre több vevő ma már elvárja a saját beszállítóitól is azt, hogy tegyen meg minden lehetséges lépést annak érdekében, hogy megelőzze az információk illetéktelenekhez kerülését, ezzel csökkentve a vevő kockázatát is.

Azáltal, hogy egy vállalat bevezeti és tanúsíttatja az ISO 27001 vagy a TISAX szerint kiépített információbiztonsági irányítási rendszerét, egyben jelentősen fokozza is a bizalmat a vállalata irányába.

GONDOLKODJON RENDSZERBEN

A kiberbiztonsági rendszerek bemutatása és szükségszerűsége

Manapság szinte naponta halljuk a mondást, hogy „az adat az új olaj„, legyen az egy szakmai konferencia vagy egy baráti beszélgetés, de vajon elgondolkozunk-e ilyenkor, hogy a mi vállalatunk számára mi számít értékes adatnak vagy egyáltalán mi az az információs vagyon amit meg kell védenünk? Napjainkban már nincs olyan vállalat, akinek ne lenne olyan adata és információja, amit ne szeretne megvédeni az illetéktelen személyektől, vállalatoktól vagy akár a konkurenciájától.

A teljes mértékben IT rendszerekre támaszkodó üzleti folyamatok, a globális hálózatok és az együttműködési rendszerek elterjedése kapcsán azonban jelentősen emelkedik a helytelenül vagy hibásan bevezetett IT rendszerek száma, ezáltal pedig exponenciálisan növekednek a veszélyeztetett informatika-alkalmazások és az üzletmenetfolytonosság. Azt a vállalatot aki nem vesz ezekről tudomást, azonban ugyanúgy fenyegeti a kiberbűnözés, a vírusprogramok, a trójai falovak vagy spam levelekről szóló hírek, melyek élesen rávilágítanak a növekvő kockázatokra.

Egy megfelelően előkészített, bevezetett és működtetett információbiztonság irányítási rendszer abban nyújt hatalmas segítséget, hogy a teljes vállalati működést és annak minden üzleti folyamatának a védelmi szintjét tudja emelni a kialakított biztonsági kontrollok által.

Ahhoz azonban, hogy a kor elvárásainak megfelelő védelmet tudjunk biztosítani információink számára elengedhetetlen egy tervezett és működtetett irányítási rendszer, mely számba veszi a kockázatokat, a kritikus üzleti folyamatokat, a bevezetendő kontroll intézkedéseket, a rendszeres belső ellenőrzéseket, stb. mely intézkedések által a biztonság tudatosság is jelentősen növelhető nem csak a szervezeten belül hanem a vállalat vevői felé is.

Az információ védelem és az informatikai biztonság növelése komplex feladat, hiszen több informatikai terület (hálózati szakemberek, fejlesztők, rendszerüzemeltetők stb.) és egyéb más terület (jog, adatvédelem, üzleti szereplők stb.) együttműködésére van szükség a megfelelő szintű biztonsági rendszer bevezetése érdekében.

Annak érdekében, hogy az egyes területeket összehangoljuk továbbá a világ bármelyik helyén megjelenő vevő – szállító párosok egységes követelmény rendszert tudjanak használni, ezért létrehozták az ISO 27001 / TISAX / NIST szabványokat, melyeket a megfelelő bevezetésük után tanúsítani is lehet.

ALUDJON NYUGODTAN!

Információbiztonság fogalma és elvei

Mielőtt a kérdésre válaszolunk nézzük meg mi is az az információbiztonság. Annyira nem elvont fogalom mint elsőre gondolnánk…

Védelem vs biztonság:

A legfontosabb definíciók, amelyet manapság használnia kell minden felhasználó vagy vállalat számára egyértelműen a védelem és a biztonság fogalma.

A védelem olyan kontroll tevékenység, illetve kontroll tevékenységek sorozata, amely arra irányul, hogy megteremtse, szinten tartsa, fejlessze azt az állapotot, amit biztonságnak nevezünk. Tehát a védelem tevékenység, amíg a biztonság állapot!

A biztonság nem teremthető meg pusztán termékek és/vagy szolgáltatások megvásárlásával, hanem minden esetben a szervezet életébe beépülő folyamatnak kell lennie. Ne felejtsük el ma már a kiber bűnözés nagyobb üzlet, mint az egyéb hagyományos illegális tevékenységek és a bűnözők és az általuk működtetett IT robotok nem válogatnak, MINDEN vállalat VESZÉLYBEN VAN!

Fontos alapvetés:

Ha az összes, fenyegetésnek kitett rendszerelemet a kockázattal arányosan kiépített védelemmel látjuk el, akkor az informatikai biztonságot olyan szintre emeltük, amelynél az adott valószínűségű támadások mellett a káresemények bekövetkezésének valószínűsége lényegesen alacsonyabb, azaz a kockázat elviselhető mértékű, de soha nem nulla.

FONTOSABB IRÁNYELVEK / SZABVÁNYOK

Napjainkban egyre több és egyre szerteágazóbb szabványok és ajánlások jelennek meg, melyeknek meg kell felelniük az egyes vállalatoknak. Igen, de melyek ezek?

Tekintsük át a fontosabbakat (Figyelem ez nem egy teljeskörűségre törekvő lista!)

  • MSZ ISO/IEC 27001:2014 – Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények – Information technology. Security techniques. Information security management systems. Requirements
  • MSZ EN ISO/IEC 27002:2017 – Informatika. Biztonságtechnika. Gyakorlati útmutató az információbiztonsági kontrollokhoz/intézkedésekhez (ISO/IEC 27002:2013, tartalmazza a 2014. évi 1. és a 2015. évi 2. helyesbítést) – Information technology. Security techniques. Code of practice for information security controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015)
  • ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection — Information security controls
  • MSZ EN ISO/IEC 27007:2022 – Információbiztonság, kiberbiztonság és a magánélet védelme. Irányelvek az információbiztonság-irányítási rendszerek auditálásához (ISO/IEC 27007:2020) – Information security, cybersecurity and privacy protection. Guidelines for information security management systems auditing (ISO/IEC 27007:2020)
  • ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
  • ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  • ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management
  • 8/2020. MNB ajánlás az informatikai rendszer védelméről
  • 4/2019. MNB ajánlás a közösségi és publikus felhőszolgáltatások igénybevételéről
  • 11/2020. MNB ajánlás a pénzügyi szervezetek működésének fizikai biztonsági és humánkockázatkezelési feltételeiről
  • 12/2020. MNB ajánlás a távmunka és távoli hozzáférés informatikai biztonsági követelményeiről
  • 7/2020. MNB ajánlás a külső szolgáltatók igénybevételéről
  • 12/2022. MNB ajánlás a belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról
  • NIST SP 800-53 Rev. 4 – Security and Privacy Controls for Federal Information Systems and Organizations
  • ISO 15408-1:2009 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model.
NIS2 és ISO 27001 együtt

FELKÉSZÜLÉS MÓDJA – LÉPÉSRŐL LÉPÉSRE TÁMOGATUNK

START
START

Felkészülés elindítása, résztvevők tájékoztatása

1. LÉPÉS
1. LÉPÉS

Önazonosítás, IBF kijelölése, bejelentés támogatása

2. LÉPÉS
2. LÉPÉS

Helyzetfelmérés, GAP analízis, EIR-ek osztályba sorolása

3. LÉPÉS
3. LÉPÉS

Kontrtoll folyamatok kialakítása és szabályozása

4. LÉPÉS
4. LÉPÉS

Oktatás, rendszer bevezetése és finomhangolása

END
END

Tanúsítás támogatása, folyamatos működés biztosítása

Rólunk mondták:

Kiváló az együttműködésünk évek óta, bármilyen problémával is kerestük meg őket mindig tudtak javasolni valamilyen megoldást!

P. István

IT biztonsági vezető

A tanácsadók felkészültségében és szerte ágazó iparági ismeretükben még sosem csalódtunk, mindig szívesen dolgozunk együtt velük. 

H. Ilona

Gazdasági operatív vezető

Nem csak a szerződéses teljesítésre figyeltek, hanem felhívták a figyelmünket olyan területekre is ami a projekten kívül esett. 

J. Vilmos

Ügyvezető igazgató

MIÉRT VÁLASSZ MINKET?

Vevő központúság

Vevő igényeinek pontos és mélyreható megismerése, több szemszögből vizsgálva az üzleti problémákat.

Projektmenedzsment

Folyamatosan kézben tartott projekt menedzsment, rendszeres időközönkénti prezentálás a menedzsment felé az előrehaladásról.

Szakértelem

Professzionálisan képzett, felkészült és nagy tapasztalattal rendelkező tanácsadók. Multidiszciplináris tanácsadói csapat és feladat végre hajtás.

w

Kommunikáció

Rendszeres és döntést támogató kommunikációk csatornák a vállalat vezetősége, a projektben érintett munkatársak és a tanácsadók között.

Kockázat menedzsment

Megbízó munkatársaival közösen végrehajtott kockázatelemzés és értékelés a projekt méretétől és irányúltságától függően.

Tervezés

Határidők folyamatos nyomonkövetése és pontos tartásának figyelése. A hatékonyság  növelése érdekében a célok folyamatos kiértékelése.

Éve már a vevőkért

Sikeresen lezárt projekt

%

Vevői elégedettség

Tanácsadói év tapasztalattal

AKIK MÁR ELÉGEDETT ÜGYFELEINK

TUDOM MIT AKAROK!

VEGYÉTEK FEL VELEM A KAPCSOLATOT!

MUNKATÁRSAINK