MIT ÍR ELŐ A NIS2, A KIBERTANTV.?

MIT ÍR ELŐ A NIS2, A KIBERTANTV.?

A NIS2 10 kulcsfontosságú elemet tartalmaz, amelyeket minden vállalatnak kezelnie vagy végrehajtania kell az általuk hozott intézkedések részeként, beleértve az incidensek kezelését, az ellátási lánc biztonságát, a sebezhetőség kezelését és nyilvánosságra hozatalát, a kriptográfia használatát és adott esetben a titkosítást. Az alábbiakban összefoglaljuk, hogy milyen szempontrendszeren kell egy érintett szervezetnek végigmennie.

  • IBIR – A szervezeteknek Információbiztonsági irányítási rendszert kell kialakítani.
  • Kockázatelemzésen alapuló védelmi intézkedéskedéseket kell meghozni.
  • Követelmény az EIR biztonsági oszályba sorolás.
  • Rendszeres auditot kell eszközölni a NIS2, Kibertantv. hatálya alá tartozó szereplőknél.
  • Incidens esetén jelenléti, bejelentési kötelezettséget ír elő.
  • A NIS2 meghatározza, hogy a felsővezetést elszámoltathatóvá kell tenni: meghatározza a vezetői felelősségrevonást IT biztonsági mulasztás esetén.

Ki értintett a NIS2 kapcsán?

A NIS2 alapvetően 2 szempont szerint rendezi az érintett szervezeteket: tevékenységi körük/ágazati besorolásuk és nagyságuk/szervezeti méretük szerint.

A Kibetantv. III. Fejezet 7. rész 17. paragrafusa kitér az összes olyan szervezetre, akik a törvény hatálya alá tartoznak. Az itt található mellékletek tartalmazzák azokat a táblázatokat, amelyek alapján mindenki könnyen beazonosíthatja vonatkoznak e rá a NIS2 irányelv tartalmai, vagy sem. A törvény mellékletét képező táblázat ágazat, alágazat, szervezet lebontásban jelöli meg a hatályába tartozókat, amely alapján a szervezetek eldönthetik, hogy érintettek-e a törvény személyi hatálya szempontjából.

A vezető legfontosabb feladatai:

  • ki kell nevezni egy olyan IBF-et (Információbiztonságért Felelős szakember), akinek feladatai között szerepel az IBIR működtetése
  • meg kell határoznia/jóvá kell hagynia azokat a belső szabályokat, amelyek az elektronikus információs rendszerek felhasználóira vonatkoznak
  • gondoskodnia kell a saját szervezet dolgozóinak információbiztonsági edukációjáról és ismereteik szintentartásáról
  • auditorral kell szerződnie
  • felügyelnie kell a harmadik feleket.