Őszi feladatok a NIS2 felkészülés tükrében

Alig pár hét és itt a következő fontos határidő, ami további feladatokat is jelent minden Kibertantv által érintett szervezet életében.

 

A következő nagy nap – október 18

Október 18-től a minden érintett cégnek 2 új előírásnak kell megfelelnie:

  • a felügyeleti díj befizetése a Hatóságnak
  • védelmi intézkedések alkalmazása a szervezetnél

De mit is jelentenek ezek?

Felügyeleti díj

Október 18-tól kell megfizetni az SZTFH felé a felügyeleti díjat minden nyilvántartásba vett cégnek. Ez egy belátható összeg lesz az árbevétel 0,015%, vagy maximum 10 millió forint. A hatóság sávozásos fizetésben gondolkodik, de ennek részleteiről még nincs hír.

Az is fontos tudnivaló, hogy nem október 18-ig kell ezt a díjat befizetni, hanem ettől az időpontól kezdik számolni. Tehát a 2024-es év egy tört év lesz! Az SZTFH munkatársa egyik konferencián megemlítette lehet, hogy csak jövőre fogja ezt a díjat beszedni, de mint oly sok mindenben még nincs végleges szabályozás. Egy szó, mint száz, október 18 nem fizetési határidő, de számolni kell vele.

 

Védelmi intézkedések

A Kibertantv és a nyáron megjelent a 7/2024. (VI. 24.) MK rendeletben foglaltak szerint október 18-tól a jogszabályoknak megfelelően kell az érintett cégeknek működniük. Ez egy nagyon ideális állapot lenne, de természetesen senki sem várja el, hogy október 18-től minden érintett cég már így működjön. Nem véletlen, hogy az első kiberbiztonsági auditok végrehajtását 2025-re tűzték ki. Azonban ez nem jelenti azt, hogy nincs teendő. Innentől kezdve elindul a számonkérés és ha incidens történik, akkor azt már a kihirdetett törvények, rendeletek alapján kell kezelni. A kijelölt Információ Biztonsági Felelősnek (IBF) rengeteg feladata lesz.

 

 

A legfontosabb az incidensmenedzsment

Ha incidens történik az érintett szervezetnél, akkor azt a törvényben meghatározottak szerint kell kezelnie az IBF-nek pl. be kell jelentenie. Ez azért is fontos, mert majd a kiberbiztonsági audit során visszamenőleg is nézni fogják az auditorok, hogy a törvénynek, rendeleteknek megfelelően járt-e el a szervezet! Szóval figyelni kell és már október 18-tól megfelelően cselekedni!

A fekete leves – DÁP

Azonban van egy másik jogszabály, ami alapvetően bolygatja át a felkészülési tervét minden érintett cégnek. A 2023. évi CIII. törvény a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól megnevezésű törvény. A jogszabály 2025. június 1-én hatályba lépő verziójában nevesítve vannak ún. Digitális szolgáltatás biztosítására kötelezett szervezetek. Sok szervezet fel van sorolva pl. hulladékgazdálkodási területen tevékenykedő cégek, távközlési vállalkozások. Mindenki ellenőrizze, hogy érintett-e a jogszabály által! Mert aki érintett, annak a kiberbiztonsági auditot 2025. december 31-i határidő helyett 2025. május 31-ig kell végrehajtania….

 

 

Nagy Imre Gábor

A szerző a ZETRON Kft munkatársa, ISO 27001-es vezető auditor, és a Nemzeti Közszolgálati Egyetem Elektronikus Információbiztonsági Vezető szakán végzett

 

1. kép forrás: pexels.com

2. kép forrás: pixabay.com