Ez az oldal a Magyarország Nemzeti Bankja (MNB) felügyelete alá tartozó legalább 250 millió eurós eszközzel rendelkező hitelintézeteknek szól. Megtudhatja az ICT kockázatkezelési keretre, harmadik felek biztonsági értékelésére és az Annex I alapján szükséges incidensjelentésre vonatkozó konkrét követelményeket.
A NIS2 Irányelvbe való besorolás Magyarországon a MNB felügyelete alá tartozó összes licencelt bankt, takarékpénztárat és hitelintézetet érinti, amely az Annex I alapján lényeges entitásnak számít. Ez kiterjed az olyan szervezetekre is, amelyek az említett szervezeteknek ICT szolgáltatások nyújtják, és ezek a szolgáltatások kritikusak az üzemeltetésükhöz.
Szükséges egy átfogó ICT kockázatkezelési keretrendszer létrehozása és dokumentálása, amely magában foglalja az azonosítást, elemzést, értékelést és a kockázatok kezelésének folyamatait. Ez a keretrendszer integrálódik a DORA keretbe, és a bankok számára egyetlen, összevont dokumentációt jelent a pénzügyi felügyelő előtt.
Minden jelentős harmadik fél ICT-szolgáltatót (beleértve a fintech-integrációkat) formai biztonsági értékelésnek kell alávetni, és a szerződéseknek tartalmazniuk kell a szükséges biztonsági és auditálási záradékokat. A bankok a szerződésekben rögzített kötelezettségekért felelősek, és rendszeresen auditálniuk kell ezeket a szolgáltatókat.
Minden érintett szervezet köteles éves behatolásvizsgálatot és átfogó sebezhetőségi felmérést végezni vagy végeztetni harmadik féllel. A felméréseknek kiterjeszteniük kell a teljes ICT-infrastruktúrára, ideértve a régi banki rendszereket és a modern technológiákat is.
A biztonsági incidenseket egyidejűleg kell bejelenteni a MNB-nek és a SZTFH-nak (Nemzeti Közszolgáltatások Biztonsági Intézete), ha azok a kritikus funkciókat vagy az ügyfélkezelést lényegesen zavarják. Az incidensbejelentésre vonatkozó kritériumokat a szervezeti politikában egyértelműen fel kell tüntetni.
A szervezeteknek köteles a pénzügyi szolgáltatások biztosítása érdekében üzletmenet-folytonosság és katasztrófa-helyreállítási terveket kialakítani, tesztelni és karbantartani. Ezeket legalább évi egyszer vagy az jelentős rendszermódosítást követően tesztelni kell.
Minden licencelt bank, takarékpénztár és hitelintézet, amely az MNB felügyelete alá tartozik, valamint azok a szervezetek, amelyek ezeknek kritikus ICT-szolgáltatásokat nyújtanak. Az Annex I-ben szereplő szervezeteket 'lényeges entitásoknak' nevezik, és szigorúbb követelmények vonatkoznak rájuk.
A NIS2 ICT kockázatkezelési követelményei teljes egészében beépülnek a DORA (Digitális Operatív Reziliencia és Operatív Kockázat Irányelv) keretébe. Ez azt jelenti, hogy a bankok egyetlen, összevont ICT kockázatkezelési keretrendszert kell hogy dokumentáljanak, amely mindkét irányelvnek megfelel, így elkerülhetik az ismétlődő dokumentálást.
A NIS2 keretrendszeren kívüli mulasztások jelentős pénzügyi szankciókkal járnak, amely a szervezet éves bevételének akár 5&2%-áig terjedhet. A MNB és más felügyeleti szervek 2026-ig fokozatosan szigorítják az ellenőrzéseket, ezért azonnali lépések szükségesek a compliance biztosítására.