Magyarországon több ezer közepes és nagyvállalat esik a NIS2 irányelv hatálya alá, az érintett szervezeteknél különös hangsúlyt kap majd a folyamatos hatósági ellenőrzés, és emellett független auditorok által végzett kockázat értékelés is kötelező. Az uniós tagállamoknak intézkedéseket kell tenniük hálózataik és információs rendszereik kiberbiztonságának fokozása érdekében, nemzeti riasztórendszereket kell létrehozniuk , és a kiberbiztonság terén a NIS2 értelmében együtt kell működniük más uniós tagállamokkal és uniós intézményekkel.
Határidők
- 2024. január 1-től hatályos.
- 2024. október 18-tól alkalmazni kell a bevezetett védekezési mechanizmusokat
- 2024. december 31-ig szerződést kell kötni egy auditor szervezettel a hatóság által közzétett listáról.
- 2025 során el kell végezni az első auditot.
Megfelelés kritériumai
Jelenlegi ismeretek szerint a NIST 800/53R5-t kell majd alkalmazni, de a felkészülést akár most el lehet kezdeni egy ISO/IEC 27001:2022-re való felkészüléssel és később ezt kiegészíteni a végleges elvárásokkal.
Direkt kötelezettek
Azon szervezetek és intézmények, melyekre a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről közvetlenül vonatkozik.
Alvállalkozói lánc számára
Jelen ismereteink szerint Magyarországon a Hatóság a direkt kötelezetteket fogja ellenőrizni és rájuk hárítja azt a feladatot, hogy ellenőrizzék az alvállalkozóikat. Ma a nagyvállalatok többféle módon végzik alvállalkozóik ellenőrzését, (pld. szerződéses jogi felelősségvállalással, vagy bekérik az ISO 27001 tanúsítványt.)
Azt javasoljuk az alvállalkozóknak, hogy készüljenek fel az ISO/IEC 27001 szabvány elvárásainak megfelelően és tanúsítsák le irányítási rendszerüket.