Az EU kiberbiztonsági irányelve szerint ha Ön NIS2-köteles szervezetnek szállít be, a megfelelés nem választás kérdése. A bírság akár 10 millió euró. Mi megoldjuk: ERP rendszerrel vagy önálló NIS2 szoftverrel.
A NIS2 (teljes nevén: Network and Information Security Directive 2) az Európai Unió 2022/2555 számú irányelve. Egyszerűen fogalmazva: az EU rájött, hogy a cégek IT biztonsága nem elég erős, ezért törvényben írta elő, hogy bizonyos szervezeteknek kötelező kiberbiztonsági intézkedéseket bevezetniük.
Magyarországon a 2023. évi XXIII. törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvény) ültette át a magyar jogrendbe. A felügyeletet a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el.
Sokan gondolják, hogy a NIS2 csak a nagyvállalatokra vonatkozik. Ez nem igaz. A törvény előírja a beszállítói lánc biztonságát is. Ez azt jelenti, hogy ha Ön olyan szervezetnek dolgozik, amely NIS2-köteles (önkormányzat, kórház, energiacég, nagyvállalat), akkor az Ön cégétől is megkövetelik a megfelelő kiberbiztonsági szintet.
Gyakorlatban: ha egy 9 fős villanyszerelő cég önkormányzati megbízásokat teljesít, vagy egy 15 fős IT szolgáltató nagyvállalati ügyfelekkel dolgozik, akkor nekik is igazolniuk kell, hogy a rendszereik biztonságosak.
A szankciók komolyak:
Ez utóbbi a legfontosabb a KKV-k számára: nem a bírság a legnagyobb kockázat, hanem az, hogy elveszítik a megrendelőiket.
Nem kötelező külső tanúsítás (mint pl. az ISO 27001). A szervezetnek magának kell gondoskodnia a megfelelésről és dokumentálnia az intézkedéseket. Az SZTFH bármikor ellenőrizhet, és ilyenkor be kell tudni mutatni, hogy milyen lépéseket tett. Egy NIS2 kompatibilis szoftverrendszer használata dokumentáltan igazolja a technikai megfelelést.
Attól függően, hogy teljes vállalatirányítást szeretne vagy csak a kiberbiztonsági megfelelést kell megoldania, két megoldást kínálunk.
Teljes vállalatirányítási rendszer (ügyfélkezelés, számlázás, készlet, projektek), amelyben a NIS2 kiberbiztonsági funkciók alapból benne vannak. Egy rendszer, ami a cégét is irányítja és a törvényi megfelelést is biztosítja.
Ha már van vállalatirányítási rendszere, de az nem felel meg a NIS2 követelményeknek, vagy egyszerűen csak a kiberbiztonsági megfelelést szeretné megoldani. Könnyű, gyors, célzott megoldás.
A NIS2 irányelv 21. cikke 10 fő biztonsági intézkedést ír elő. A BR Works rendszere ezek közül 8-at technikai szinten lefed.
Minden művelet naplózva van: ki lépett be, mit módosított, mikor törölte, honnan csatlakozott. A napló nem törölhető és nem módosítható. Hatósági ellenőrzésnél azonnal exportálható.
NIS2 21. cikk (2) g) pontSMS, e-mail vagy authenticator alkalmazás alapú második faktor. Ha valaki megszerzi a jelszót, a rendszerbe akkor sem tud belépni a második faktor nélkül. Kötelezővé tehető minden felhasználónak.
NIS2 21. cikk (2) j) pontSzerepkör alapú hozzáférés-szabályozás. Az admin mindent lát, a vezető a saját csapatát, a munkatárs csak a saját feladatait. Külső partnereknek korlátozott hozzáférés adható. Minden változás naplózva.
NIS2 21. cikk (2) i) pontAES-256 titkosítás a tárolt adatokon, HTTPS (TLS 1.3) az átvitel során. Az adatbázis titkosítva van, a biztonsági mentések is. Ha valaki fizikailag hozzáfér a szerverhez, az adatokat akkor sem tudja olvasni.
NIS2 21. cikk (2) e) pontNapi automatikus backup, georedundáns tárolás (az adatok fizikailag más helyen is megvannak). Ransomware támadás vagy hardverhiba esetén a rendszer percek alatt visszaállítható a legutóbbi mentésből.
NIS2 21. cikk (2) c) pontGyanús bejelentkezési kísérlet, tömeges adatlekérés, ismeretlen IP cím: a rendszer azonnal riaszt. Incidens napló a hatósági bejelentéshez (a NIS2 szerint 72 órán belül jelenteni kell a komolyabb incidenseket az SZTFH felé).
NIS2 23. cikkBeépített kockázatfelmérő modul: azonosítsa a cége IT kockázatait, értékelje a valószínűséget és a hatást, és dokumentálja a megtett intézkedéseket. A hatóság ezt kéri először.
NIS2 21. cikk (2) a) pontBiztonságos API kapcsolatok (OAuth 2.0), titkosított adatcsere harmadik fél rendszerekkel. Ha a megrendelője kérdezi, hogy az Ön rendszere biztonságos-e, van mit felmutatnia.
NIS2 21. cikk (2) d) pontElőre elkészített NIS2 megfelelőségi dokumentumok: kockázatelemzés sablon, incidenskezelési terv, biztonsági szabályzat, oktatási napló. Nem kell nulláról megírnia, csak kitöltenie.
NIS2 21. cikk (teljes)A NIS2 közvetlenül az 50+ fős vagy 10M EUR feletti árbevételű cégeket érinti bizonyos szektorokban. De a beszállítói láncon keresztül bármilyen méretű vállalkozás érintett lehet.
Villamosenergia, földgáz, kőolaj, hidrogén, távfűtés szolgáltatók. Valamint az ő beszállítóik: karbantartók, szerelők, IT szolgáltatók.
Légi, vízi, vasúti, közúti szállítás. Postai és futárszolgálatok. Raktárlogisztika. Szállítmányozók és alvállalkozóik.
Kórházak, klinikák, rendelőintézetek. Gyógyszergyártók, orvostechnikai eszközök gyártói. Egészségügyi IT szolgáltatók.
Ivóvíz szolgáltatók, szennyvízkezelő üzemek. Víztisztító berendezések szállítói, karbantartói.
Felhőszolgáltatók, adatközpontok, DNS szolgáltatók, hírközlési cégek. Hosting szolgáltatók, ISP-k.
Önkormányzatok, állami szervek, kormányhivatalok. És mindenki, aki nekik IT szolgáltatást nyújt vagy rendszert szállít.
Vegyipar, élelmiszergyártás, gépgyártás, elektronika, autóipar. A teljes gyártási lánc érintett, beleértve a beszállítókat.
Ez a kulcs: ha a fenti szektorok bármelyikének dolgozik (villanyszerelő, karbantartó, IT-s, szállító, tanácsadó), a megrendelője megkövetelheti Öntől a NIS2 szintű biztonságot. Különben elveszítheti a szerződést.
| NIS2 követelmény | Rendszer nélkül | BR Works megoldással |
|---|---|---|
| Audit napló | ✗ Nincs, vagy kézi Excel | ✓ Automatikus, teljes, exportálható |
| Kétfaktoros hitelesítés | ✗ Csak jelszó | ✓ 2FA minden felhasználónak |
| Jogosultságkezelés | ✗ Mindenki mindent lát | ✓ Szerepkör alapú, naplózott |
| Adattitkosítás | ✗ Nyílt szöveg | ✓ AES-256, HTTPS/TLS 1.3 |
| Biztonsági mentés | ✗ Kézi, ha egyáltalán van | ✓ Napi, automatikus, georedundáns |
| Incidenskezelés | ✗ Nincs protokoll | ✓ Riasztás + napló + bejelentés sablon |
| Kockázatelemzés | ✗ Nem dokumentált | ✓ Beépített modul, sablonok |
| Beszállítói lánc biztonság | ✗ Nem igazolható | ✓ OAuth 2.0, titkosított API |
| Hatósági ellenőrzés | ✗ Nincs mit felmutatni | ✓ Exportálható riportok, naplók |
| Bevezetés ideje | Hónapok (tanácsadó + fejlesztés) | 3-6 hét, kulcsrakész |
A NIS2 irányelv nem üres fenyegetés. Az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) aktívan ellenőriz, és a szankciók komolyak:
Alapvető szervezeteknél: 10 millió EUR vagy az éves árbevétel 2%-a. Fontos szervezeteknél: 7 millió EUR vagy 1.4%. Amelyik magasabb, azt szabják ki.
Az ügyvezető, igazgató személyesen felel a megfelelésért. A hatóság akár el is tilthatja a vezetői pozíció betöltésétől. Ez nem a cég, hanem a személy felelőssége.
A KKV-k számára ez a legnagyobb kockázat: a NIS2-köteles megrendelők nem dolgozhatnak olyan beszállítóval, aki nem felel meg. Elveszítheti a legjobb ügyfeleit.
Nem kell egyedül kitalálnia. Végigvezetjük a teljes folyamaton az első felmérésétől a hatósági ellenőrzésre kész állapotig.
Felmérjük, hogy az Ön cége közvetlenül vagy közvetve érintett-e. Megvizsgáljuk a jelenlegi IT rendszereit, azonosítjuk a hiányosságokat. Ez 30 perc, online vagy telefonon, teljesen ingyenes és kötelezettségmentes.
Részletes jelentést kap arról, hogy hol áll most és pontosan mit kell pótolnia. Priorizált lista: mi a legkritikusabb (amit azonnal meg kell oldani) és mi várhat. Nem általános tanácsadás, hanem konkrét teendők.
ERP rendszer NIS2 funkciókkal vagy önálló NIS2 szoftver telepítése. Jogosultságok beállítása, 2FA aktiválás, audit napló indítás, adatmigráció. 3-6 hét alatt kész, működő állapotban.
NIS2 megfelelőségi dokumentáció elkészítése (kockázatelemzés, incidenskezelési terv, biztonsági szabályzat). Munkatársak betanítása. Hatósági ellenőrzésre kész állapot. Folyamatos támogatás utána is.
Sokan keverik össze a kettőt, pedig lényeges különbségek vannak:
Az ISO 27001 egy önkéntes nemzetközi szabvány. Tanúsító szervezet auditálja, és ha megfelel, kap egy tanúsítványt. Senki nem kötelezi rá, de jól mutat és bizalmat épít.
A NIS2 egy kötelező EU jogszabály. Nem tanúsító szervezet, hanem állami hatóság (Magyarországon az SZTFH) felügyeli. Ha nem felel meg, bírságot kap. Nem opcionális.
A gyakorlatban: ha van ISO 27001 tanúsítványa, az segít a NIS2 megfelelés igazolásában, de nem helyettesíti. A NIS2 specifikus dolgokat ír elő, amiket az ISO nem tartalmaz (pl. 72 órás incidensbejelentési kötelezettség, beszállítói lánc biztonsági követelmények).
A BR Works rendszere mindkét irányból segít: a technikai funkciók (audit napló, 2FA, titkosítás) az ISO 27001 kontrollokat is lefedik, miközben a NIS2-specifikus követelményeket (incidensbejelentés, hatósági riportok) is kezeli.
A NIS2 irányelvet Magyarországon a 2023. évi XXIII. törvény ültette át (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről). Kiegészíti a 2024. évi LXIX. törvény és több kormányrendelet (pl. 7/2024. (VI. 24.) MK rendelet).
A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felügyeli a megfelelést. Az SZTFH helyszíni és távoli ellenőrzéseket végezhet, dokumentumokat kérhet be, és szankciókat szabhat ki.
A törvény 2024. október 18-án lépett hatályba. Ez azt jelenti, hogy már most kötelező a megfelelés. Aki még nem tett lépéseket, az már késésben van. Az SZTFH fokozatosan kezdi az ellenőrzéseket, de a jogszabályi alap már megvan a szankciókhoz.
Töltse ki az űrlapot és 24 órán belül visszajelzünk: érintett-e a cége, milyen kockázatai vannak, és mit kell tennie. Ha nem érintett, azt is megmondjuk. Nincs elköteleződés.
Ingyenes felmérés: megmondjuk, érintett-e, és mit kell tennie. Ha nem érintett, azt is megmondjuk. Semmi elköteleződés.
A NIS2 megfelelőség mellett teljes ERP és CRM rendszereket is fejlesztünk, amelyekben a biztonsági funkciók alapból benne vannak.
Weboldalunk sütiket használ a legjobb felhasználói élmény érdekében. Adatvédelmi szabályzat