Az EU szigorú biztonsági szabályozása 2025. január 7. óta élő. Ha Ön MSP, felhőszolgáltató vagy DNS-szolgáltató, ez az útmutató elengedhetetlen: megismeri a 150+ kontrollt, az eszközöket és a compliance-útvonalat.
Reglyze platform kipróbálása →Az EU Commission Implementing Regulation (EU) 2024/2690 a NIS2-direktíva gyakorlati megvalósítási szabálya, amely szigorú kiberbiztonsági követelményeket ír elő egy specifikus szervezetcsoport számára – nem az összes vállalkozásra vonatkozik.
Az alábbi entitások közvetlenül érintettek:
A rendelet 2025. január 7. óta kötelezően alkalmazandó. Ha nem ezekben a kategóriákban működik, de az alábbiak közül valamelyik szolgáltatótól függ, akkor közvetett módon érintett: az ő compliance-kötelezettségük a Vön szolgáltatás-minőségét és az adatbiztonságot érinti.
Az MSP-k (Managed Service Providers) kettős szerepben érdekeltek:
1. Közvetlen felelős: MSP-ként Ön közvetlenül az EU 2024/2690 alá tartozik – nem választása, hanem kötelezettség. Ez azt jelenti, hogy 150+ biztonsági kontrollt kell implementálnia és demonstrálnia.
2. Közvetett függőség: Az Ön ügyfelei – különösen a kritikus infrastruktúra szervezetei – függenek az Ön compliance-szintjétől. Ha az Ön biztonsági intézkedése gyenge, az ügyfelek NIS2-compliance-ja kockázatba kerülhet. Az ellátási lánc klózula miatt az ügyfelek auditálásra jogosultak az Ön rendszereiben.
3. Versenyhelyzet: A compliance-certifikációval rendelkező MSP-k jelentős versenyelőnyre tehetnek szert, mivel az ügyfelek bizalommal bízhatnak rájuk.
Ha Ön még nem kezdte el a compliance-folyamatot, hátrányban van. Azok az MSP-k, akik már 2025 közepéig nem mutatnak compliant kontrollokat, ügyfeleket veszíthetnek.
Az EU 2024/2690 rendelet 13 fő biztonsági domenbe osztja a 150+ kontrollt:
Ezek a domének mind a 10 NIS2 általános intézkedés felett húzódnak – szigorúbbak és specifikusabbak.
Miközben a NIS2-direktíva általános keretet ad, az EU 2024/2690 implementációs rendelet konkrét, mérhető követelményeket ír elő az MSP-k, felhőszolgáltatók és más kritikus szervezetek számára.
Fő különbségek:
A Reglyze platform ezeket az követelményeket automatizálja és centralizálja az MSP-k számára.
Reglyze egy ISMS (Information Security Management System) platform, amely kifejezetten az MSP-k, felhőszolgáltatók és MSSP-k 2024/2690 compliance-szükségletére lett tervezve.
Reglyze fő előnyei az EU 2024/2690 kontrollokhoz:
Az ISMS.online és a Secfix szintén jó alternatívák, de a Reglyze az MSP-specifikus funkciók terén kiemelkedik.
1. Gap Assessment (Szét-audit): Értékelje fel, hogy az Ön jelenlegi biztonsági rendszerei mely 150+ kontrollnak felelnek meg, és hol vannak hiányosságok. Ez 2-4 hét.
2. Kontroll-leképezés: Rendelje hozzá az Ön meglévő politikáit, folyamatait és technológiáit a 13 kontroll-családhoz. Eszközként használja a Reglyze-t vagy egy ISMS-platformot.
3. Hiányzó kontrollok implementációja: Prioritásként kezdje az alábbiakkal: hozzáférés-kezelés, naplózás/monitorozás, incidensvezérlés, kriptografia. Ez 2-3 hónap lehet.
4. Szállítói auditálás: Intézményes kérdőíveket (questionnaire) küldjön beszállítóinak és a kritikus alvállalkozóknak.
5. Dokumentáció és bizonyítékok gyűjtése: Az Ön ISMS-platformja (pl. Reglyze) automatikusan gyűjtse a logokat, auditjegyzékeket, tesztelési bizonyítékokat.
6. Belső audit: 6 havonta ismételje meg az assessment-et, hogy a kontrollok működésben maradjanak.
7. Külső auditor/compliance-sertifikáció: Opcionális, de ajánlott – ISO 27001-es auditorssal vagy NIS2-speciális consulting-cégekkel dolgozzon.
Csak akkor, ha az alábbi kategóriák közül valamelyikbe tartozik: DNS-szolgáltató, TLD-regisztrációs, felhőszolgáltató, adatközpont-szolgáltató, CDN, MSP, MSSP, online piactér, keresőmotor, közösségi hálózat vagy bizalmi szolgáltató. Ha Ön egy kis szoftver-fejlesztő cég, amely nem ezekben a szolgáltatásokban működik, és nincs az Ön szervezete NIS2-lista alatt, akkor közvetlenül nem érinti – de ha MSP-ként dolgozik bármilyen formában, akkor igen.
Az EU 2024/2690 a NIS2-direktíva implementációs szabálya, amely 150+ konkrét biztonsági kontrollt ír elő a kulcsfontosságú szektorok (MSP, felhőszolgáltatók, stb.) számára. A NIS2 általános, míg az EU 2024/2690 specifikus és mérhető – szigorúbb naplózás, valós idejű monitorozás, kötelező penetrációs tesztelés, szállító-auditálás.
Egy átlagos MSP-nél 3-6 hónapot vesz igénybe, ha már működik valamilyen szintű biztonsági infrastruktúra. Ha nulláról indul, 6-12 hónapra lehet szükség. A gyorsabb implementációhoz javasolt egy ISMS-platform, mint a Reglyze, amely automatizálja a dokumentációt és a kontroll-nyomkövetést.
Igen. Az ellátási lánc klózula (supply chain obligation) lehetővé teszi, hogy az Ön ügyfelei – különösen a kritikus infrastruktúra alá tartozók – auditálásra jogosultak legyenek az Ön compliance-állapotát illetően. Ez a tényleges kontrollot jelenti, nem csak papírmunkát: hozzáférésre igényelhetnek naplókat, biztonsági tesztelési eredményeket, konfigurációs alapokat. Ezért ajánlott egy audit-ready dokumentációs rendszer, mint a Reglyze.
Az NMHH (Nemzeti Média- és Infokommunikációs Hatóság) Magyarország mellett felelős a NIS2-compliance felügyeletéért. A nem-compliance-ért bírságok és operatív korlátozások lehetségesek, valamint az ügyfelek szerződéseit felmondhatják. Az eddig legjobb védelem: szervezeti compliance-program bevezetése, dokumentáció, és egy ISMS-platform (mint a Reglyze) alkalmazása, amely bizonyítékokat gyűjt a compliance-ról.
Ne maradjon hátrányban – az EU 2024/2690 rendelet 2025. január óta kötelezően alkalmazandó. A Reglyze ISMS-platform automatizálja a 150+ kontroll nyomkövetését, a naplózást, a szállító-auditálást és az audit-bizonyítékok gyűjtését. Próbálja ki ingyenesen és valósítson meg compliance-stratégiát napok alatt.
Reglyze platform megtekintése