Ugrás a fő tartalomra

      Az Európai Unió a tagállamok kiberbiztonságának erősítése érdekében 2022 végén közzétette a NIS 2 irányelvet (Az európai parlament és a tanács (EU) 2022/2555 irányelve). A kiberbiztonság egységesen magas szintű biztosítása érdekében a rendelet követelményeket határoz meg az érintett szervezetek és kulcsfontosságú infrastruktúrák hálózati és információs rendszereinek védelméhez kapcsolódóan, bevezetve az alapvető és fontos szervezetek fogalmát. A korábbi, 2016. évi kiberbiztonsági irányelvhez (NIS) képest kibővített és egyértelműen meghatározott ágazatokat tartalmazó új rendeletet a tagállamoknak 2024. október 17-ig kellett átültetni  nemzeti jogrendjükbe. Ezt Magyarországon a 2025. január 1-től hatályos 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (Kiberbiztonsági tv.) valósította meg, leváltva a korábbi 2023. évi XXIII. törvényt a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (Kibertan. tv.) és hatályon kívül helyezve a 2013. évi L. törvényt - az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.). Ezzel a hazai jogalkotás közös törvényben fogta össze az állami és a gazdasági szereplőkre vonatkozó előírásokat. Ami az ágazati hatókört illeti, a jogszabály a banki szolgáltatások és a pénzügyi piaci infrastruktúra esetében a DORA rendelet követelményeit hivatkozza meg, illetve a gyártásra vonatkozó szektort kiterjesztette a cement, mész- és gipszgyártásra is, valamint a közlekedés ágazatba bekerült a tömegközlekedés, továbbá a digitális szolgáltatók körébe bevonta a doménnév-regisztrációt végző szolgáltatókat.

      A magyar Kiberbiztonsági törvény a NIS 2 irányelven túlmutat azzal, hogy biztosítja az alábbi irányelveknek és rendeleteknek való megfelelést is és a végrehajtásukhoz szükséges rendelkezéseket állapít meg:

      • a kritikus szervezetek rezilienciájáról szóló (EU) 2022/2557 európai parlamenti és tanácsi irányelv,
      • a belső piaci szolgáltatásokról szóló 2006/123/EK európai parlamenti és tanácsi irányelv,
      • az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló (EU) 2019/881 európai parlamenti és tanácsi rendelet,
      • az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpontnak és a nemzeti koordinációs központok hálózatának a létrehozásáról szóló (EU) 2021/887 európai parlamenti és tanácsi rendelet,
      • a pénzügyi ágazat digitális működési rezilienciájáról szóló (EU) 2022/2554 európai parlamenti és tanácsi rendelet.

      A Kiberbiztonsági törvény mellett az alábbi rendeletek jelentek meg, melyek meghatározzák a végrehajtást, az alkalmazandó eljárásokat, kontrollokat, illetve az auditálás módszertanát és elemi követelményeit:

      • 15/2023. (VII. 31.) SZTFH rendelet a Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól,
      • 23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról,
      • 7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről,
      • 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről,
      • 418/2024. (XII. 23.) Korm. rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról,
      • 1/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról,
      • 2/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági felügyeleti díjról.

      A fenti követelményhalmaz egyik kulcseleme, hogy Magyarországon a szervezeteknek olyan információbiztonsági kockázatmenedzsment keretrendszerrel és védelmi intézkedésekkel kell rendelkeznie, amelynek alapja a NIST 800-53 rev5 nemzetközi információbiztonsági sztenderd.

      A Kiberbiztonsági tv. alapján az érintett szervezetek vezetője köteles törekedni arra, hogy a jogszabályban meghatározott feladatokat a lehető legrövidebb időn belül végrehajtsa. Azoknak a kockázatos vagy kiemelten kockázatos ágazatokban működő kkv-knak, illetve azon többségi állami befolyás alatt álló kkv-knak, amelyek ezekben az ágazatokban működnek, továbbá méretüktől függetlenül azoknak a digitális szolgáltatóknak, amelyek 2025. január 1-je előtt kezdték meg működésüket, az első kiberbiztonsági auditot 2026. június 30-ig el kell végeztetni. Az újonnan hatály alá vont szervezetek többsége ebbe a körbe tartozik.

      A kiszabható bírságok legmagasabb összege:

      • ha a szervezet alapvető szervezetnek minősül, 10 millió eurónak megfelelő forintösszeg vagy, ha az magasabb, akkor a szervezet előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő összeg,
      • ha a szervezet fontos szervezetnek minősül, 7 millió eurónak megfelelő forintösszeg vagy, ha az magasabb, akkor a szervezet előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő összeg. 

      A KPMG megközelítése

      Az érintett szervezeteknek megfelelő és kockázatarányos intézkedéseket kell hozniuk az elvárásoknak megfelelően kialakított kockázatmenedzsment rendszerük alapján. Az intézkedéseknek holisztikus és fenyegetés orientált megközelítésen kell alapulniuk, amelynek célja a biztonsági események megelőzése vagy hatásuk minimalizálása. 

      Megközelítésünk egy elemzési fázissal kezdődik, amelyben megvizsgáljuk az elvárások hatását a szervezetre. Ezután megfelelőségi felmérést végzünk az érintett területeken. Ennek alapján meghatározzuk a követelmények sikeres teljesítéséhez szükséges intézkedéseket. 

      Szolgáltatásaink olyan fontos területeket fednek le, mint a folyamatirányítás és szabályozás, a hatóságokkal való együttműködés, beleértve az értesítési és jelentéstételi kötelezettségeket, valamint az ellenőrzést. Ennek köszönhetően biztosítjuk, hogy a szervezeti megvalósítás megfeleljen a követelményeknek.

      Lehetősége van arra, hogy szolgáltatásaink közül azokat válassza, amelyek a legjobban megfelelnek vállalata egyedi igényeinek. 

      Miben tudunk segíteni?

      • A nemzeti szabályozási követelmények és hatósági gyakorlatok integrálása. 
      • Az EIR-ek (Elektronikus Információs Rendszerek) meghatározása, biztonsági osztályba sorolása és az SZTFH rendelet mellékletében található adatlapok kitöltése. 
      • A jelenlegi állapot felmérése, illetve a NIS 2-höz kapcsolódó követelmények implementálásához, ezáltal a kiberbiztonság szintjének emeléséhez szükséges lépések kidolgozása. 
      • Egyenszilárdságú kiberbiztonsági keretrendszer és a lehető legjobban alkalmazható intézkedések kialakítása. 
      • A szabályozási kötelezettségek teljesítése, valamint az incidensekre és krízishelyzetekre való hatékony reagálás kialakítása a hálózat- és információbiztonság biztosítása érdekében.

      A KPMG hálózata segít felkészülni a különböző országokban érvényes szabályozási követelményekre. Ehhez azonosítjuk a szervezet számára releváns országokat, elemezzük a nemzeti szabályozásokat, a szabályozási gyakorlatot, és ezek alapján szabályozási leltárt készítünk.

      Az érintettségi elemzés és a szervezeti és termékjellemzők, illetve szolgáltatások kiértékelése által lehetővé tesszük a szervezetek számára, hogy meghatározzák a NIS 2 érintettség szintjét. Az érintett rendszerek elemzése pedig a biztonsági osztályok meghatározásához szükséges. Az elemzés eredménye a NIS 2 hatókör meghatározása.

      A NIS 2 készenléti felmérésünkben (GAP) értékeljük a biztonsági intézkedések jelenlegi állapotát, és akciótervet dolgozunk ki a megfelelés eléréséhez, melyben ajánlásokat fogalmazunk meg. Ennek során figyelembe vesszük a megbízó szervezet egyéni kiberkockázati szintjét, a végrehajtás jelenlegi jó gyakorlatait és a bevezetett intézkedések fenntarthatóságát, továbbá a szervezet stratégiai céljait.

      A kiberbiztonság irányítása terén a KPMG arra összpontosít, hogy támogassa a szervezeteket a kockázatok aktív csökkentésében és a megfelelő biztonsági intézkedések, szükség esetén pedig a beszállítók kiválasztásában. Ez magában foglalja a strukturális és eljárási szabályok (többek között az üzletmenet-folytonosság tervezés) összességét, a világosan meghatározott felelősségi köröket és így egy olyan keretrendszer kialakítását, amelyben a döntéshozatali felelősség érthetően rögzítve van a szervezetben. A megfelelő vezetői szintek bevonása, valamint a biztonsági folyamatok működésében való felelősség meghatározása kiemelt fontosságú a megfelelő irányítás kialakításához.

      Szolgáltatásunk magában foglalja a meglévő biztonsági incidenskezelési folyamatok azonosítását és értékelését, valamint az érintett felek bevonását a biztonsági incidensek kezelésébe. Elemezzük és értékeljük a meglévő folyamatokat, és személyre szabott jelentési folyamatot dolgozunk ki. Ennek során meghatározzuk az incidensek értékelésének kritériumait, és koncepciót dolgozunk ki az információbiztonsági incidensek hatósági bejelentésére.

      In an AI-dominated business environment, the foundational principles of cybersecurity are even more critical.
      Read more

      Beyond the Hype: Balancing speed, security and value
      Read more

      Kapcsolódó szolgáltatások

      Ismerje meg technológiai tanácsadási szolgáltatásainkat!
      További részletek

      Szakértőink segítenek Önnek megvédeni és fejleszteni vállalkozását.
      További részletek

      Az összetett kibervédelmi feladatokhoz a KPMG globális ügyféltapasztalatán alapuló új módszertanok és szolgáltatások kezelhető keretet nyújtanak.
      További részletek

      Kapcsolat

      Lukács Kornél
      Lukács Kornél

      Partner

      KPMG in Hungary

      Pozsár Attila
      Pozsár Attila

      Igazgató

      KPMG in Hungary

      Lépjen velünk kapcsolatba!

      Világos és praktikus megoldásokkal támogatjuk ügyfeleinket.

      Ajánlatkérés
      Team of diversity business people are discussing over the new strategic strategy project on investment real estate while walking around the office building for new project and planning