hourglass_empty Ez a cikk több mint 30 napja íródott, ezért előfordulhat, hogy a benne lévő információk már nem aktuálisak! Témába vágó friss cikkekért használja a keresőt

NIS2 vagy GDPR? Vagy mindkettő?

  • adozona.hu

A NIS2 (Network and Information Systems Directive, version 2) irányelvet valószínűleg ma még igen kevesen említik meg a cégvezetők közül, amikor információvédelemről esik szó, pedig 2024. október 18-tól már ezt az új információbiztonsági keretrendszert is működtetniük kell az érintett cégeknek – írja blogjában a Grant Thornton.

Ha mondani kellene egy jogszabályt, amelyet kifejezetten az információk védelmére alkottak meg az Európai Unióban, szinte kivétel nélkül mindenkinek a GDPR jutna először eszébe. Nem csoda, hiszen az Általános Adatvédelmi Rendelettel (a GDPR-ral) 2018. május 25. óta minden olyan cégnek meg kellett ismerkednie, ahol személyes adatokat kezelnek, például alkalmazottakról vagy magánszemély ügyfelekről vezetnek nyilvántartást. A NIS2 irányelvet valószínűleg ma még igen kevesen említik meg – olvasható a Grant Thornton írásában.

A NIS2 az új GDPR?

A két jogszabály nagyon hasonló célokat fogalmaz meg, ezért lehet alapja az összehasonlításuknak. Ugyanakkor a NIS2 még úgy sem fogja a GDPR-t felváltani, hogy az új jogszabály jóval komplexebb elvárásokat fogalmaz meg az információs rendszerek és a bennük tárolt adatok védelmével kapcsolatban. Tehát a NIS2 nem az új GDPR. A két keretrendszer összehasonlítása viszont segítséget adhat az új kötelezettségek megértéséhez és támpontot adhat az arra való felkészüléshez is.

Fókuszban a biztonság

A GDPR elsősorban a személyes adatok és a magánélet védelmére összpontosít. Azért hozták létre, hogy szabályozza a személyes adatok feldolgozásának módját, és ezzel kötelezettségeket rójon minden, személyes adatokat kezelő társaságra.

A NIS2 ezzel szemben a hálózati és információs rendszerek biztonságára és azok kiberbűnözéssel szembeni ellenállóképességének növelésére összpontosít. Egyszerre védi az azokban tárolt adatokat és az azokkal megvalósított funkciókat is. A NIS2 a kiberbiztonsági minimumkövetelmények rögzítésén túl összehangolja a tagállamok kiberfenyegetések elleni küzdelemét is azáltal, hogy szabályozza a kiberbiztonsági incidensek jelentésének kötelezettségét és módját is. Tehát minden szempontból több és komplexebb.

Nem annyira várt péntek

Érdekes párhuzam (és semmivel sem több annál), hogy mind a GDPR, mind a NIS2 hatályba lépését is egyformán pénteki napra időzítették. Első ránézésre mindkét rendeletben jelentős időt igyekeztek addig beépíteni a felkészülés biztosítására, de a NIS2-irányelv átültetését szolgáló „Kiberbiztonsági és kibertanúsítási törvény” eddig megjelent elemeinek komplexitását nézve ez egyáltalán nem tűnik olyan bőkezűnek.

A NIS2 követelmények megismerése és adaptálása az érintett cégek számára várhatóan lényegesen több személyi és anyagi ráfordítást fog igényelni, mint azt a GDPR esetében tapasztalhatták. A visszaszámlálás 2024. január 1-jén már elindult, és egy kicsivel több mint 10 hónap áll az érintettek rendelkezésére, hogy felismerjék, vonatkozik-e rájuk az új jogszabály, ha vonatkozik, akkor pedig elvégezzék a szükséges regisztrációt a szabályozó hatóságnál (SZTFH), és felkészüljenek a 2025-ben esedékes első NIS2 hatósági auditukra.

Átfogó ellenőrzés és kötelező auditok a kiberbiztonságért

A NIS2-irányelvet átültető, a kiberbiztonsági tanúsításról szóló 2023. évi XXIII. törvény kötelező auditot ír elő minden érintett társaság számára, amit ráadásul kétévente meg kell ismételni. Ez egy lényeges különbség a GDPR-megfelelés ellenőrzésének gyakorlatához képest. Abban mindkét keretrendszer azonos, hogy egyformán tartalmazza az elszámoltathatóság alapelvét és azt hogy az érintetteknek a megfelelés mellett képesnek kell lenniük annak igazolására is, de amíg arra viszonylag kicsi az esély, hogy kétévente célzott GDPR-ellenőrzésekre kerüljön sor valakinél, addig a NIS2-megfelelést biztosan vizsgálni fogják kétévente az érintett társaságoknál.

A GDPR esetében lehetőség van kisebb erőfeszítéssel is megúszni a dolgot: ha papíron igazolható a megfelelés, az sokszor elegendő lehet a végső sikerhez is. A kötelező és rendszeres hatósági auditok, valamint az azok részét képező gyakorlati tesztek miatt ez a lehetőség nem áll nyitva a NIS2 esetében.

NIS2 vs. GDPR: szűkített célcsoport

A GDPR egy átfogó hatályú, minden olyan szervezetre vonatkozó rendelet, amely EU-lakosok személyes adatait kezeli, függetlenül annak méretétől, árbevételétől és más jellemzőjétől.

A NIS2-irányelv ezzel szemben a kockázatosnak ítélt ágazatokban (energetika, gyártás, közlekedés, egészségügy stb.) működő társaságokra vonatkozik, és néhány kivételtől eltekintve teljesen kizárja a kkv-szektor szereplőit. Ez az előzetes számítások szerint közvetlenül 3-4000 gyártó, szolgáltató és kutatási tevékenységet végző céget érint Magyarországon. A beszállítói láncolatokat is figyelembe véve viszont ennél jóval magasabb, 10 ezer körül lehet azon társaságok száma, amelyek üzleti működésére akár közvetve is, de hatással lesz a NIS2.

Az érintettség feltárására szolgáló önvizsgálat néhány lépésben elvégezhető.

IBF: az elkerülhetetlen szerepkör

A GDPR és a NIS2 is új szerepköröket hívott életre a szervezetekben az adat- és információvédelemi elvárásoknak való megfelelés koordinálására. A legtöbb cég számára opcionális a GDPR adatvédelmi tisztviselőjének kijelölése, mert ilyen személyt csak jelentős mennyiségű vagy jelentős hatású személyes adatkezelés esetén kötelező kiállítaniuk.

Ezzel szemben a NIS2 információbiztonsági felelősét (IBF) minden esetben ki kell nevezni és kötelezően regisztrálni is kell a NIS2 felügyeleti hatóságnál (SZTFH). Tekintettel a rendszeres hatósági auditokra, illetve a jövőben kötelezően jelentendő kiberbiztonsági incidensekre, a feladatkör valódi és komoly felelősséggel, illetve tartalommal is kerül feltöltésre, nem csak papíron jön létre.

A jogszabály lehetővé teszi az információbiztonsági felelős szerepkör kiszervezését, ami sokat segíthet azoknak, akik jelenleg nem rendelkeznek házon belül a szükséges kompetenciákkal vagy erőforrásokkal. Erre ugyanis sok esetben vagy nem alkalmas az információs rendszerek működtetéséért felelős IT-menedzser vagy IT-rendszergazda, vagy időben nem tudja azt a meglévő feladatai mellett ellátni.

Jelentős szankciók árnyékában

A GDPR rendelkezéseinek megsértése jelentős büntetést vonhat maga után, amely akár 20 millió eurót vagy az éves globális forgalom 4%-át is elérheti, attól függően, hogy melyik a magasabb.  A NIS2 esetében a bírság planfonja az éves forgalom 2%-át de legfeljebb 10 millió euro, ugyanakkor a szankciókat nem csak a társaságra, hanem annak vezető tisztségviselőjére is kiterjesztették azzal, hogy végső esetben kezdeményezhető annak ideiglenes eltiltása is.

Míg a GDPR-megfelelés hatósági ellenőrzése esetleges, arra egy cég életében nem is feltétlenül kerül sor, addig a NIS2-előírások teljesítését kétévente fogja a vizsgálni a szabályozó hatóság. Így az ehhez kapcsolódó bírság kockázata folyamatosan kíséri majd az érintett társaságokat.

Konklúzió

A GDPR és a NIS2 is segítenek a mai digitális környezetben felmerülő sokrétű kihívások kezelésében, elveik és rendelkezéseik pedig a szabályozási kötelezettségeken túlmutatóan elősegítik a felelősségvállalást, a biztonság, az átláthatóság és fenntarthatóság kultúráját a digitális területeken. A szellemiségük, céljaik és a szervezetekben betöltött szerepük miatt ugyan hasonlóságokat is mutatnak egymással, de a NIS2-megfelelés nem váltja ki a GDPR-megfelelést, illetve nem lehet GDPR-ra való felkészülés tapasztalataira építve megtervezni egy társaság a NIS2 felkészülését – olvasható a grantthornton.hu-n.

Hozzon ki többet az Adózónából!
Előfizetőink és 14 napos próba-előfizetőink teljes terjedelmükben olvashatják cikkeinket, emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.




További hasznos adózási információk

NE HAGYJA KI!
Ezért érdemes előfizetni!
PODCAST

Kérdések és válaszok

Kapcsolt cégek minősítése

Erdős Gabriella

adószakértő

TaxMind Kft.

Kölcsönkövetelés leírása, ha az adós elhunyt

Erdős Gabriella

adószakértő

TaxMind Kft.

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2024 november
H K Sze Cs P Sz V
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1

Együttműködő partnereink