Ugrás a tartalomhoz

A NIS2 EU-s irányelv 2023-ban hatályba lépett, a magyar átültetés (Kibertan-törvény) 2024 közepétől él. A gyakorlatban azóta folyamatosan értelmezik · ebben a posztban tisztázzuk, kire vonatkozik, mit kell tenni, és milyen határidőkkel.

Hatókör · essential vs important

Essential entitás: energia, közlekedés, bank, pénzügyi infrastruktúra, egészségügy, digitális infrastruktúra (DNS, cloud, CDN), közigazgatás. Important: élelmiszer-ipari nagy, kémia, digitális szolgáltató, kutatás-fejlesztés. SMB kivétel: < 50 fő és < 10M€ árbevétel alatt általában nem esik a hatályba · de az entitás-típus számít, nem csak a méret.

10 kötelezettség-kategória

  • Kockázatelemzés és -kezelés · dokumentálva
  • Incidenskezelés · 24 órán belül jelzés, 72 órán belül részletes jelentés
  • Üzletmenet-folytonosság · BCP + DR terv
  • Ellátási lánc biztonsága · vendor DPA + security review
  • Hálózati + rendszer-biztonság · titkosítás, MFA, szegmentáció
  • Hatékonyság-értékelés · rendszeres audit + pen-test
  • Alapvető higiénia + képzés · évente minimum
  • Titkosítási politikák · hol, mit, milyen kulccsal
  • HR-biztonság · hozzáférés-kezelés + elbocsátási folyamat
  • Menedzseri felelősség · felső vezetés személyes felelőssége (ez a NIS2 újdonsága)

Határidők és bírság-szintek

A regisztrációs határidő 2024 októbere volt; éves self-assessment és audit követelmény 2025-től. Bírság essential: 10M€ vagy 2% globális árbevétel, important: 7M€ vagy 1.4% · közül a magasabb. Magyar hatóság: NBSZ + KIFÜ az ágazatfüggő.

A legnagyobb 2025-ös NIS2-gap, amit magyar cégnél látunk: a vendor DPA + security review hiánya. 3-5 third-party-val dolgozol, egyiknek sincs DPA-d, ez már essential findinget ér.

MegosztásXLinkedIn#
Mező Dezső

Szerző

Mező Dezső

Alapító, DField Solutions

Pénzügyi cégeknél és kreátor-eszközöknél is építettem már olyan rendszereket, amik nap mint nap élesben futnak. Budapesttől San Franciscóig · startupoknak és nagyobb vállalatoknak egyaránt.

Folytatás

HASONLÓ TÉMÁJÚ PROJEKTEK

Inkább építenénk együtt?

Beszéljünk a projektedről. 30 perc, nincs kötelezettség.

Beszéljünk