Megjelent a NIS 2 Whitepaper – Tapasztalatok és javaslatok az elmúlt másfél év gyakorlata alapján
A megjelent whitepaper célja, hogy közérthető és szakmailag megalapozott segítséget nyújtson a szervezetek részére a felkészülésben. Megmutatja, hogy mely szervezetekre terjed ki az új irányelv, és milyen kötelezettségekkel kell számolniuk. A dokumentum emellett gyakorlati útmutatóként is szolgál a belső szabályozási és technikai rendszer felépítéséhez, a kockázatok folyamatos nyomon követéséhez és a beszállítói lánc biztonsági kockázatainak kezeléséhez. Szerepalapú megközelítést is kínál, vagyis részletesen ismerteti, hogy milyen feladatok hárulnak a vezetésre, a CISO-ra, a compliance-szakemberekre vagy éppen az IT- és OT-üzemeltetőkre.
Függetlenül attól, hogy egy szervezet most vagy már korábban kezdte meg a felkészülését, az anyagban található tapasztalatok, esettanulmányok és ellenőrző listák komoly támogatást jelenthetnek. A cél, hogy a magyar szervezetek ne csak jogilag feleljenek meg az előírásoknak, hanem valóban ellenállóbbá váljanak a kibertámadásokkal szemben.
A whitepaper leírja, hogy a jogszabályi követelményeknek való megfelelés felkészüléséhez jó alapot jelenthet egy MSZ ISO/IEC 27001:2023 (ISO/IEC 27001:2022) szabvány szerint kiépített és működtetett információbiztonság-irányítási rendszer (IBIR). Az IBIR elsődleges célja a szervezet által kezelt adatok bizalmasságának (a védendő adatokhoz kizárólag az arra illetékes személyek férhessenek hozzá), sértetlenségének (védendő információk sérülésének – törlés, módosítás – felismerése, megelőzése és korrekciója), rendelkezésre állásának (a védendő információk legyenek rendeltetésszerűen elérhetők és felhasználhatók az arra illetékes személyek számára) biztosítása. Az IBIR kiépítése és működtetése a szervezet saját, önkéntes vállalása. A szervezet dönthet amellett, hogy a szabvány követelményeinek való megfelelést egy hivatalos tanúsítási eljárás során egy független, akkreditált tanúsító szervezet által (mint például az MSZT) ellenőrizteti.
Az MSZ ISO/IEC 27001:2023 szabvány és a hatályos magyar jogszabályi előírások szerinti NIS 2 védelmi intézkedések között van átfedés mind a szervezeti, a személyi, a fizikai védelmi és a technológiai kontrollok tekintetében is.
Ugyanakkor a dokumentum kiemeli, hogy az átfedés nem teljes körű és nem feltétlen azonos megközelítésű. A szabványnak való megfelelés információbiztonsági, míg a NIS 2-nek való megfelelés kiberbiztonsági vonatkozású. Az információbiztonság-irányítási rendszer érvényességi körét a szervezet saját maga határozza meg és az egyezést befolyásolhatja, hogy a szervezet az IBIR érvényességi körét milyen terjedelemben határozta meg és hogy a szervezet milyen biztonsági szintnek köteles megfelelni a NIS 2 vonatkozásában. Ki kell emelni, hogy az IBIR megvalósításának alapjául szolgáló ISO/IEC 27002:2022 szabvány gyakorlati útmutatás, míg a NIS 2 védelmi intézkedések jogszabályon alapuló kötelező előírások, amelyek alapját a NIST SP 800-53r5 szabvány előírásai adják.
Amennyiben egy már kiépített információbiztonság-irányítási rendszer mellett kezd bele a szervezet a NIS 2 követelményeinek teljesítésébe, nagy valószínűséggel a megfelelés egy jelentős része már a rendelkezésére fog állni.
Források:
- A Magyar Kiberbiztonsági Klaszter honlapja: https://kiberklaszter.hu/2025/09/23/megjelent-a-nis2-whitepaper-szakmai-utmutato-a-kotelezettsegekhez-es-legjobb-gyakorlatokhoz/
- A NIS 2 Whitepaper honlapja, ahonnan a dokumentum is letölthető magyar, illetve angol nyelven: https://www.nis2whitepaper.eu/hu
Irányítási rendszerek tanúsításával kapcsolatban, kérem, vegye fel a kapcsolatot
Kéki Zsuzsannával, az MSZT Tanúsítási Titkárság főosztályvezetőjével vagy
Szamosiné Dávid Izabellával, az MSZT Tanúsítási Titkárság főosztályvezető-helyettesével az alábbi elérhetőségen:
Tel.: 06-1-4566-928; cert@mszt.hu
2025. október