NIS2 - Kiberbiztonsági és kockázatmenedzsment képzés

Gyakorlati útmutató a NIS2 irányelv megfeleléséhez: ismerd meg, hogyan érinti cégedet az új uniós szabályozás, milyen határidőkkel és kötelezettségekkel kell számolni, és hogyan zajlik a felkészülési folyamat a dokumentációtól az auditig. A képzés során végigvesszük a releváns EU- és magyar jogszabályokat, a felelősségi körök kijelölését, valamint a kockázatelemzés és kezelés alapjait, hogy magabiztosan tudd irányítani a megfelelőségi folyamatot.

Ajánlott mindazoknak, akik szeretnék megérteni a NIS2 irányelv gyakorlati követelményeit: információbiztonsági vezetőknek, jogi és compliance területen dolgozóknak, IT-vezetőknek, rendszergazdáknak, kockázatkezeléssel foglalkozó szakembereknek és minden NIS2 megfelelőségi projektben dolgozó érintettnek, valamint azoknak a vállalati döntéshozóknak, akik NIS2 által érintett szervezetek működéséért felelnek.

A képzésen való részvételnek nincs előfeltétele.

Ez a képzés elengedhetetlen alap azok számára, akik biztosítják a vállalat kiberbiztonsági ellenálló képességét és jogkövetelmét a modern digitalizált világban. De mi az a NIS2 direktíva?

A NIS2 irányelv a 2016-ban bevezetett eredeti NIS szabályozás továbbfejlesztése, amely az uniós kiberbiztonsági szint emelésére jött létre. 2023. január 16-án lépett hatályba, és 2024. október 17-ig kellett átültetni a tagállami jogrendbe. Kiterjed 18 kritikus ágazatra – például energia, egészségügy, digitális infrastruktúra, közlekedés és közigazgatás –, valamint a közepes és nagy szervezetekre.

A képzés végére eligazodsz majd az EU-s és a magyar jogszabályok között, és képes leszel megérteni a NIS2 követelményrendszerét.
A kurzust egyedi ügyféligényekhez is tudjuk igazítani, akár több napban, egyes témaköröket részletesebben tárgyalva!

A képzés a következő témaköröket érinti:

>>Mi a NIS2?<<

A NIS2 a Network and Information Security Directive második verziója, amely az Európai Unióban egységesíti a kiberbiztonsági szabványokat. Célja, hogy magasabb szintre emelje az EU kritikus ágazataiban működő szervezetek védekezési képességét, szigorúbb kockázatkezelési és incidenskezelési követelményekkel.

>>Hatóságok<<

A NIS2 hatóságai között szerepelnek a nemzeti illetékes szervek – például IT- és kiberbiztonsági hatóságok –, amelyek felügyelik a szabályok betartását és vizsgálatokat folytatnak. Ezek a szervek jogosultak auditokra, helyszíni ellenőrzésekre, adatlekérési joggal és intézkedési hatáskörrel rendelkeznek. Az EU-s szinten az ENISA és a NIS Cooperation Group segíti az együttműködést és ajánlásokkal támogatja a tagállamokat.

>>Kapcsolódó EU ajánlások, jogszabályok<<

A NIS2 része az EU kiberbiztonsági stratégiájának, együttműködik a CSIRT hálózattal és az EU‑CyCLONe mechanizmussal a hatékonyabb incidenskezelés érdekében. A tagállamok kötelesek nemzeti kiberbiztonsági stratégiát kidolgozni, rendszeres jelentéseket készíteni, és átültetni a direktívát a helyi jogrendbe. A direktíva harmonizálja a kiberhigiéniai, beszállítói lánc és incidenskezelési követelményeket az EU egészében.

>>Kapcsolódó magyarországi jogszabályok<<

Magyarországon a NIS2‑t a 2024 októberéig olyan elfogadott helyi törvényekbe és rendeletekbe ültetik át, amelyek az IT-biztonsági rendszabályokban, incidenskezelésben és kockázatkezelésben határozzák meg a megfelelési kereteket. Az illetékes hazai hatóságok felügyeleti és audit jogkörrel rendelkeznek, akik ellenőrzik az érintett szervezetek kockázatkezelési dokumentációját és gyakorlatait.

>>Kiket érint a NIS2?<<

A direktíva közepes és nagy szervezetekre vonatkozik 18 kritikus ágazatban, például energia, egészségügy, digitális infrastruktúra, közlekedés, pénzügy és közigazgatás. Ezen felül, akik beszállítóként vagy harmadik félként kritikus láncszemet alkotnak, azok is a hatály alá tartoznak.

>>Határidők<<

A tagállamoknak 2024. október 17-ig kellett átültetni az NIS2-t a nemzeti jogrendbe, és ettől az időponttól az EU-n belül hatályos. A hároméves járulékteljesítmény-értékelés pedig előreláthatólag 2027. október 17-én esedékes.

>>A felkészítési folyamat és lépések<<

A felkészülés kiterjed a megfelelés vizsgálatára, kockázatelemzésre, dokumentáció összeállítására és felelősi rendszer kialakítására. Bevezetendők a technikai és szervezeti intézkedések, mint például jelszókezelés, hozzáférés-szabályozás, titkosítás és incidenskezelési protokollok. A végrehajtás után rendszeres ellenőrzések, auditok, valamint a folyamatos fejlesztés és monitoring következik.

>>Felelőségi körök<<

A NIS2 előírja, hogy a felsővezetés felelősséget vállaljon a kiberbiztonságért, és átlátható képzések és döntéshozatali folyamatok legyenek. A hiányosság esetén a vezetők személyesen is felelősségre vonhatóak, akár pénzbírság vagy ideiglenes eltiltás formájában. Emellett kijelölnek biztonsággal foglalkozó felelősöket, akik operatív szinten koordinálják a megfelelést.

>>Szükséges dokumentumok<<

Elengedhetetlenek a kockázatkezelési és incidenskezelési irányelvek, kockázatelemzési jelentések és auditnaplók. Fontosak még a rendszeres kiberbiztonsági képzések anyagai, hozzáférési szabályzatok, titkosítási és mentési tervek dokumentációi. Ezek a dokumentumok tanúsíthatják, hogy a szervezet megfelel a NIS2 által támasztott követelményeknek.

>>Auditálás folyamata<<

A hatóságok jogosultak helyszíni ellenőrzésekre, célzott auditokra és biztonsági szkennelésekre, melyeket független szakértő is végezhet. A szervezeteknek hozzáférhetővé kell tenniük az auditok eredményeit és alátámasztó bizonyítékokat. Az audit következtetései alapján a hatóság intézkedési tervet követelhet, és szükség esetén bírságot szabhat ki.

>>Kockázatelemzés és kezelés<<

Az NIS2 megköveteli az arányos kockázatkezelés bevezetését, beleértve a működési, beszállítói lánc és fizikai veszélyek feltérképezését. Rendszeresen frissített kockázatelemzési modelleket és beavatkozási terveket kell készíteni, hogy mérsékelni lehessen a fenyegetéseket.