• Érintett szervezett vagyok-e? 

A szervezeteknek el kell végezni az önazonosítást annak érdekében, hogy megállapíthassák, hogy a NIS2 hatálya alá tartoznak-e.

Önazonosításhoz segítség az SZTFH kisokos: https://sztfh.hu/downloads/kiberbiztonsag/eszkoztar/SZTFH_erintett_tajekoztato.pdf
A minősítés kapcsán a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény rendelkezései az irányadóak.
Emellett a Nemzeti Adó- és Vámhivatalhoz lehet fordulni, amennyiben a szervezet minősítése kapcsán kétségek merülnek fel. Az önazonosításhoz szükséges a minősítés mellett a szervezet tevékenységi körének pontos meghatározása is.
Ehhez segítséget nyújthat a gazdasági tevékenységek egységes ágazati osztályozási rendszeréről szóló TEÁOR 2008: https://net.jogtar.hu/jogszabaly?docid=997K9008.KSH&txtreferer=A1300023.BM
Valamint a NAV tevékenység adatbázisa: https://nav.gov.hu/adatbazisok/adatbleker/tevekenysegeklekerdezes

• Mi az a EIR? (IT/OT/Felhő)

Elektronikus Információs Rendszer, melyet a vállalatoknak kell alap, közepes és jelentős besorolással ellátni.

• A NIS2 miben különbözik a GDPR-tól?

A 2018-tól alkalmazandó GDPR a személyes adatok védelmét hivatott elősegíteni, a felhasználói adatok szintjén, a NIS2 ezzel szemben az adatokat kezelő egyes kritikus ágazatba tartozó vagy tevékenységet végző- vállalkozások, szervezetek általános információbiztonságát reformálja meg, a teljes digitális infrastruktúrára vonatkozó új standardokkal.
Az adatvédelmi és a kiberbiztonsági elvárások átfedik egymást, kapcsolatba hozhatók.
Alapvetően nemcsak szabályozási területen határoz meg követelményeket a NIS2, hanem olyan valós védelmet nyújtó intézkedéseket kell tenni, amelynek komoly anyagi vonzata is lehet. 
Nem elég látszatintézkedéseket tenni, az érintett szervezeteknek valós intézkedések megtételével - a kiberfenyegetések által okozható károk mértékével arányos módon - köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.
A lehetséges szankciók jóval súlyosabbak lesznek, mint a GDPR esetében.

• Mi történik akkor, ha június 30. után jelentkezek nyilvántartásba vételre?

Szabad utána is jelentkezni, de a hatóság figyelmeztetést fog küldeni. De! közigazgatási szankció nyilvántartásba kerül, és a következő késedelemnél komoly bírság várható.

• Külföldi cég magyar leányvállalataként kell-e foglalkozni ezzel?

Igen, a leányvállalatra a magyarországi törvények vonatkoznak. A tagvállalatoknak külön kell önazonosítani és megfelelni.

• Mikortól kell felügyeleti díjat fizetni? A nyilvántartásba vételtől?

Csak 2024. október 18-tól kell a felügyeleti díjat fizetni.

• Hatással vannak a partneri kapcsolatok a kötelezettségre, mi alapján derül ki a partner érintettsége?

A partneri kapcsolatok hatással lehetnek a kötelezettségekre. A szabályozás előírja, hogy az üzletmenet (ügymenet) szempontjából kritikus termékek, technológiák, illetve szolgáltatások beszállítóit a szervezetnek azonosítania, rangsorolnia és értékelnie kell. Ilyen partnervállalkozások lehetnek például az adatközponti szolgáltatók vagy internetszolgáltatók. Ezeket a típusú partneri kapcsolatokat be kell jelenteni.
Fontos azonban megemlíteni, hogy lehetnek olyan típusú partneri kapcsolatok, akiket bár a NIS2 során nem kell a hatóság, az SZTFH felé bejelenteni, de valójában az együttműködésre mégis hatással van. Érdemes ezért a teljes ellátási lánc átvizsgálása.
Annak meghatározása, hogy egy partner érintett-e a szabályozásban - vannak-e megfelelési kötelezettségei - az adott partner felelőssége. Minden partneri szervezetnek magának kell megfelelnie a NIS2 előírásainak. Ennek igazolását minden vállalatnak önállóan kell kérnie a releváns hatóságtól, a SZTFH-tól publikált eljárások mentén.
https://sztfh.hu/downloads/kiberbiztonsag/eszkoztar/SZTFH_erintett_tajekoztato.pdf

• Hogyan érinti a NIS2 a kisebb beszállító cégeket? Pl. 2 fős Bt. szállít nekik valamilyen megoldást/üzemelteti az EIR-t.

Az előző kérdés megválaszolása során kitértünk arra, hogy a NIS2 is rendelkezik az ellátási lánc kockázatkezelésével és menedzsmentjével kapcsolatban. A vizsgálandó beszállító partnerek típusát a NIS2 meghatározza. Minden olyan partneri kapcsolatot érdemes felülvizsgálni (cégmérettől függetlenül), aki vállalatunknak az alábbi szolgáltatások valamelyikét biztosítja:
•    Elektronikus hírközlési szolgáltató
•    Bizalmi szolgáltató
•    DNS-szolgáltatást nyújtó szolgáltató
•    Legfelső szintű domainnév-nyilvántartó
•    Domainnév-regisztrációt végző szolgáltató

• Ha nem tudják definiálni milyen rendszereik vannak, tudunk-e segíteni az EIR feltárásban?  

Igen, erről szól az EIR-ek azonosítása.  

• Általánosságban felmerülő kérdés a határidők kapcsán, hogy mikor lesz információ?

A végleges végrehajtási rendelet várhatóan 2024 első félévében fog megjelenni, erről a hatóság hivatalos honlapján található információk szerint. A hatóság honlapját itt érheted el: https://sztfh.hu/downloads/kiberbiztonsag/eszkoztar/SZTFH_erintett_tajekoztato.pdf
Szabályozott Tevékenységek Felügyeleti Hatósága – Szabályozott Tevékenységek Felügyeleti Hatósága (sztfh.hu)

• Amíg nem tudni pontosan mire kell készülni, mi alapján érdemes megkezdeni a felkészülést?

Az első lépések között szerepel az információs rendszerek azonosítása, az adatvagyon felmérése és a kockázatelemzés. A tervet a NIST 800-53-as szabvány alapján állították össze, ami lehetővé teszi számunkra, hogy a rendeletre való felkészülésünket erre az irányelvre alapozzuk.

• IBF-et lehet-e oursorceolni?

A hatóság is megemlítette, hogy elméletben van lehetőség erre, azonban érdemes átgondolni a felelősségi kör belső megtartását. A NIS2 szigorú követelményeket támaszt a vezetőséggel szemben, különösen akkor, ha szankciókról vagy bírságokról van szó. Mivel a végső felelősség így is a házon belül marad, a kiszervezés lehetősége ugyan létezik, de inkább tanácsadással tudunk segíteni. Ezért azt javasoljuk, hogy a felelősségi köröket célszerű belsőleg is megtartani az IBF munkakörének ellátására.

• "Mennyi kell a ketteshez?"

Versenypiacon nagy előnyt jelenthet, ha vállalatunk teljesíti a NIS2 követelményeit. Fontos, hogy ne elégedjünk meg pusztán a minimális szinttel, hanem törekedjünk a lehető legmagasabb színvonalú megfelelésre. A kiberbiztonság napjainkban egyre kritikusabb terület, mivel növekszik a kiberfenyegetések és a zsarolóvírusok száma. A legjobb módszer ezek kezelésére az előrelátó felkészülés, amelyben a NIS2 követelményei alapvető segítséget nyújthatnak.  
A törvény világosan fogja előírni a vezetőség felelősségét ezen a területen, így nem lehet kibújni a kötelezettségek alól. A NIS2-ben ez egyértelműen meghatározott lesz. Ezért érdemes komolyan venni és célként tűzni ki a teljes körű, hatékony megfelelést a NIS2 követelményeinek.

• Ki lehet IBF, mik a feltételei?

Elektronikus információs rendszer biztonságáért felelős személy az lehet, aki büntetlen előéletű, továbbá rendelkezik felsőfokú végzettséggel, és az alábbi 5 képzettség közül legalább 1-gyel vagy a lejjebb felsorolt 5 releváns szakterület közül legalább 5 év tapasztalattal. 
A Nemzeti Közszolgálati Egyetem elfogadható képesítése: 
•    elektronikus információbiztonsági vezető 
•    Az Information Systems Audit and Control Association (ISACA) elfogadható képesítései: 
•    Certified Information Systems Auditor (CISA) 
•    Certified Information Security Manager (CISM) 
•    Certified in RIsk and Information Systems Control (CRISC) 
•    Az International Information System Security Certification Consortium (ISC2) elfogadható képesítése: 
•    Certified Information Systems Security Professional (CISSP) 
•    Releváns szakterületnek minősül: 
•    információbiztonsági irányítási rendszer tervezése, kialakítása, működtetése 
•    információbiztonsági ellenőrzés vagy felügyelet 
•    információbiztonsági kockázatelemzés 
•    információbiztonsági tanúsítás 
•    információbiztonsági tesztelés (etikus hacker tevékenység) 
Forrás: https://nki.gov.hu/hatosag/tartalom/gyik/