Az EU Network and Information Security 2. irányelve (NIS2, 2022/2555) 2024. október 17-én lépett
hatályba tagállami jogba átültetési kötelezettséggel. A hatálya alá tartozó szervezeteknek konkrét
kiberbiztonsági intézkedések bevezetésére és dokumentálására van szükségük – ennek egyik kulcseszköze
a központi jogosultságkezelő platform.
Kire vonatkozik a NIS2?
Alapvető (Essential) szektorok:
- • Energia (villamosenergia, gáz, olaj, fűtés)
- • Közlekedés
- • Banki / pénzügyi infrastruktúra
- • Egészségügy
- • Ivóvíz és szennyvíz
- • Digitális infrastruktúra (DNS, CDN, cloud)
- • Közigazgatás
Fontos (Important) szektorok:
- • Postai és futárszolgálatok
- • Hulladékgazdálkodás
- • Vegyipar
- • Élelmiszer
- • Gyártás (orvostechnikai, elektronikai)
- • Digitális szolgáltatók (keresők, marketplace)
- • Kutatás
A 21. cikk értelmében a szervezeteknek legalább az alábbi intézkedéseket kell bevezetniük.
Mindegyik mellé jelöljük, hogyan segít az Lecnote.
1. Kockázatelemzés és információbiztonsági politikák
Lecnote: ✓ Teljes
A Lecnote automatikusan kockázatot rendel minden hozzáférési igényhez a szervezeti szabályok alapján.
A dokumentált politikák a rendszerben tárolhatók és kötelezővé tehetők.
2. Incidenskezelés
Lecnote: ✓ Teljes
Az anomália-detekció és a real-time auditnapló lehetővé teszi az incidensek gyors azonosítását.
A 24 órás bejelentési kötelezettséget a rendszer által generált riportokkal lehet alátámasztani.
3. Üzletmenet-folytonosság (BCP/DR)
Lecnote: ✓ Részleges
A Lecnote dokumentálja a kritikus rendszerhozzáféréseket és biztosítja, hogy helyettesítési
eljárásban is dokumentált folyamaton menjen át a hozzáférés-átadás.
4. Ellátási lánc biztonság
Lecnote: ✓ Teljes
A külső felhasználók (alvállalkozók, szállítók) hozzáféréseit ugyanolyan dokumentált
workflow-on keresztül kell jóváhagyni, mint a belső alkalmazottakét. Minden külső hozzáférés naplózva van.
5. Hálózati és információs rendszerek biztonságos fejlesztése
Lecnote: ✓ Részleges
A fejlesztési és tesztelési környezetekhez való hozzáférés szabályozása és dokumentálása
biztosítja, hogy a szoftver életciklusa végig auditált marad.
6. Sérülékenységkezelés és kiberbiztonsági politikák értékelése
Lecnote: ✓ Teljes
A rendszer automatikusan jelzi, ha egy hozzáférési szabály elveszítette érvényességét,
lejárt tanúsítványt vagy módosult szabályozói előírást észlel.
7. Kiberbiztonsági kockázatkezelési eljárások hatékonysága
Lecnote: ✓ Teljes
Az előre definiált kockázati szintek és a hozzájuk tartozó jóváhagyási láncok biztosítják,
hogy a szervezet mindig az arányos védelmi szintet alkalmazza.
8. Alapvető kiberbiztonsági higiénia és képzés
Lecnote: ✓ Teljes
A Lecnote képzési moduljával nyomon követhető, hogy minden munkavállaló elvégezte-e
a kötelező kiberbiztonsági tudatossági képzéseket. A bizonyítványok és lejáratok automatikusan kezeltek.
9. Kriptográfia és titkosítás
Lecnote: ✓ Beépített
A Lecnote az összes adatot nyugalmi és tranzit állapotban AES-256, illetve TLS 1.3
titkosítással védi. A titkosítási konfigurációk auditálhatók és dokumentálhatók.
10. Többfaktoros hitelesítés és biztonságos kommunikáció
Lecnote: ✓ Teljes
MFA kötelező beállítható minden érzékeny hozzáféréshez. Az SSO és SAML 2.0 integráció
lehetővé teszi, hogy a szervezet egységes, biztonságos hitelesítési rendszert vezessen be.
A NIS2 a GDPR-hoz hasonló szankciós rendszert vezet be. Az Essential szektorokban a bírság
elérheti a 10 millió eurót vagy a globális éves forgalom 2%-át. Az Important szektorokban
7 millió eurót vagy 1,4%-os forgalmarányos bírságot alkalmazhatnak.
Új elem a személyes felelősség: a vezető tisztségviselők (CEO, CISO) saját személyükben
is felelőssé tehetők, ha a szükséges intézkedések bevezetése elmaradt. Ez alapjaiban változtatja meg
azt, ahogyan a vállalati vezetők a kiberbiztonságra tekintenek.
Fontos határidők
- • 2024. október 17.: NIS2 tagállami átültetésének határideje
- • Bejelentési kötelezettség: komoly incidensek esetén 24 órán belül hatóságnak, 72 órán belül részletes értesítés
- • Regisztrációs kötelezettség: az érintett szervezetek kötelesek magukat az illetékes hatóságnál regisztrálni
A NIS2 nem papíralapú megfelelőségi checklist – valódi technikai intézkedéseket vár el, amelyek
bizonyíthatóak is. A Lecnote pont ezt biztosítja: bevezetésével a szervezet nemcsak megfelel a
követelményeknek, hanem egész biztonsági kultúrája átalakul.