Egyetemek, főiskolák és nagyobb magániskolák számára készült NIS2 útmutató. Megtudhatja, mely konkrét adatvédelmi és incidensbeszámolási kötelezettségek vonatkoznak szervezetére, valamint hogyan biztosítható a tanulásirányítási rendszerek és kutatási adatok biztonságának megfelelősége.
Magyarországon minden olyan egyetem, főiskola és legalább 250 hallgatóval vagy diákkal rendelkező magániskola tartozik az NIS2 hatálya alá, amely az alábbiak közül legalább egyet üzemeltet: tanulásirányítási rendszer (LMS), hallózati infrastruktúra, kutatási adatbázisok vagy felhő alapú edtech platformok. A szabályozás akkor is alkalmazandó, ha az intézmény nem közvetlenül működteti ezeket a rendszereket, hanem harmadik féltől bérli őket.
Intéményi szinten meg kell valósítani megfelelő technikai és szervezeti intézkedéseket a hallózati adatok, vizsgaeredmények, kutatási adatok és személyes azonosító adatok védelmére az LMS, szerzerzési rendszerek és kutatási adatbázisok szintjén. Kötelező titkosítás alkalmazása az adatok tárolása és átvitele során, valamint a hozzáférési jogok szigorú kezelése szerepköralapú szabályozással.
A hallózati adatok biztonságát befolyásoló vagy kutatási adatokra hatást gyakorló incidenseket az SZTFH-nak 72 óra alatt be kell jelenteni. Az incidensbejelentésnek tartalmaznia kell az adatok terjedelmét, az érintett hallgatók és kutatók számát, valamint az intézmény által meghozott azonnali intézkedéseket. A vizsgálat és elhárítás közben követendő az intézmény incidenskezelési eljárása.
Az intézmények köteles biztonsági értékeléseket végezni az LMS, hallgatói információs rendszerek és kutatási adatbázis szolgáltatóinak kiválasztása előtt. A szállítói szerződésekbe be kell építeni NIS2-kompatibilis kiberbiztonsági szempontokat, ideértve a felülvizsgálat jogát, az incidensbeszámolás kötelezettségét és az adatkezelési szabályokat. Folyamatos monitorozás szükséges a szállítók biztonsági teljesítménye tekintetében.
Az összes alkalmazottnak (oktatók, adminisztráció, kutatók), valamint az aktív hallgatóknak évente legalább egy kiberbiztonsági tudatosság képzésben kell részt venniük. A képzésnek konkrétan ki kell térnie a hallózati incidens felismerésére, az e-mail phishing támadásokra, a jelszókezelési szabályokra és az NIS2-specifikus adatkezelési kötelezettségekre. Az intézmény dokumentálnia kell a képzéseken való részvételt.
Az intézmény hálózati infrastruktúráján végig alkalmazni kell erős hozzáférési ellenőrzéseket, tűzfal-szabályokat és behatolás-detektálási rendszereket. A BYOD (saját eszköz hozzon) politikákban kötelezővé kell tenni a végpont-biztonsági megoldásokat, a jelszó-kezelést és a két faktoros azonosítást. Az örökölt hallózati információs rendszereket frissíteni vagy ki kell cserélni, amelyeket a szállítók már nem támogatnak.
Minden olyan egyetem, főiskola és legalább 250 hallgatóval rendelkező magániskola, amely digitális tanulásirányítási rendszert, kutatási adatbázist vagy felhő alapú edtech platformot üzemeltet. Az 50-ből kevesebb hallgatóval rendelkező intézmények vagy azok, amelyek kizárólag a papír alapú oktatást követik, nem tartoznak a NIS2 hatálya alá.
Hallózati adatok megsértése vagy kutatási adatok jogosulatlan hozzáférése esetén az intézmény 72 órán belül be kell hogy jelentse az incidenst az SZTFH-nak, részletezve az adatok terjedelmét, az érintett hallgatók és kutatók számát, valamint az elhárítás lépéseit. Az intézmény köteles saját incidenskezelési tervet követni, amely tartalmazza az azonosítást, a logolást és az azonnali reagálást.
Az SZTFH 2026-ig 10 millió forintig terjedő bírságot szabhat meg, amely a szervezet éves forgalmának 3 százalékáig terjedhet. A szándékos vagy súlyos mulasztások esetén az intézmény vezetője személyes felelősségre vonható. A nem teljesítés nyilvánosságra is kerülhet, amely az intézmény hírnevét és hallgatófelvételét veszélyeztetheti.