כיצד שינתה הונגריה את מגרש המשחקים של 2 שילינג אנגלי - והיכן הארגון שלך נמצא כעת בסיכון?
גישתה של הונגריה ל-NIS 2 היא יותר מעדכון חקיקה - היא מייצגת מיפוי מחדש יסודי של מי חייב לציית וכיצד מתועד חוסן דיגיטלי ברחבי המדינה. חוק LXIX/2024, הונגריה מפעילה מפל של התחייבויות חדשות המשפיעות ישירות על קבוצה עצומה של חברות שלא היו תחת תחום פעילותן בעבר, החל משירותי בריאות ולוגיסטיקה ועד תשתיות ענן וספקי שירותים דיגיטליים. התוצאה: כל מנהל או ראש מחלקה שלא בדק מחדש את סטטוס התחום שלו או את דרישות הרישום שלו, עומד בפני חלון תאימות מצומצם ונטל רגולטורי חדש.
הסיכון הגדול ביותר אינו פרצה - אלא שתיקה כשהרגולטור דופק על דלתו.
2 שקלים בפועל: היקף מורחב, מועדים נוקשים ואכיפה אמיתית
החוק של הונגריה אינו מהדהד בשקט את החוק של בריסל; הוא מביא שינויים חדים לשנת 2024:
- סקירה רחבה יותר של המגזר: חברות שירות, לוגיסטיקה, ספקי ענן, שחקני שוק דיגיטלי ומפעילי שרשרת אספקה - כולם נכללו לאחרונה בנספחים I ו-II. אפילו גופים "חשובים" שחשבו את עצמם כקטנים מדי נכללים כעת במסגרת המדיניות.
- רישום חובה: כל פגישה עסקית בסקטור × קריטריוני גודל חייבת להירשם עד יוני 30, 2024אין הארכות, אין מקום מפלט לסטארט-אפים או מקרים "גבוליים".
- דיווח קפדני על אירועים: ימי הדיווח הבלתי פורמלי או הניקיון לאחר אירוע חלפו. תוך 24 שעות מאירוע מתאים, ההודעה הראשונית חייבת להגיע הן לרשויות הלאומיות (NKI) והן לרשויות הסקטוריאליות - מגובה ביומנים מפורטים תוך 72 שעות.
- עקיצה רגולטורית: קנסות מקסימליים חדשים מגיעים ל-10 מיליון אירו או 2% מהמחזור העולמי, עם מכפילים מפורשים עבור כשלים חוזרים או הזנחה שיטתית.
השפה של "חכו ותראו" או "הכחשה סבירה" כבר אינה רלוונטית. עבור כל ארגון הונגרי, בדיקת זכאות מהירה - ולאחריה רישום ותיעוד מהירים - היא כעת ניהול סיכונים חובה, ולא היגיינה אופציונלית.
אל תסמכו על המוניטין שלכם על הנחות יסוד
רואי חשבון הונגרים והמרכז הלאומי לאבטחת סייבר (NKI) העבירו מסר ברור: עמימות לעולם לא תתקבל כהגנה. אם המגזר, הגודל או הפעילות העיקרית של הארגון שלכם נכללים ברשימות הייחוס שפורסמו על ידי SZTFH וממשלת הונגריה, כעת קיימת חובה חיובית וניתנת לפיקוח להירשם ולציית לתקנות.
אי פעולה, וסיכונים עסקיים מרכזיים מופיעים:
- חוזים חסומים: כאשר מכרזים או שותפים דורשים הוכחת רישום.
- הפרעה לביקורת: וסקירות תפעוליות כפויות - לעיתים עם התראה קצרה.
- אובדן מוניטין: כתוצאה מפניות של רגולטורים שפורסמו ברשימות ענפיות.
אם הארגון שלכם לא ברור, נצלו את כלי ההערכה העצמית של הממשלה ותעדו כל בקשה לרשויות המגזר, תוך שמירה על ראיות לכל ביקורת או סקירת רכש (nki.gov.hu, enisa.europa.eu).
הזמן הדגמהלאיזה רגולטור הונגרי עליך לדווח? מפת הסמכויות נחשפה
במשטר החדש של 2 מערכות מידע, אי זיהוי הרשות הרגולטורית הייעודית אינו רק עניין טכני - הוא עלול לגרום לדיווח כפול, ביקורות כפולות ובלבול בתחומי האחריות. המערכת של הונגריה ממפה "רגולטורים מובילים" לפי מגזר:
| מגזר/תחום | מווסת עופרת | קישור CSIRT/אירוע |
|---|---|---|
| תשתיות דיגיטליות, שירותים | SZTFH (הרשות הלאומית לאבטחת סייבר) | NKI (המרכז הלאומי לביטחון הקיברנטי) |
| בנקאות, פיננסים | הבנק המרכזי של הונגריה (NBH) | NKI |
| ישויות המתמקדות בפרטיות | רשות הגנת המידע (NAIH) | NKI |
| מנהל ציבורי, הגנה | משרד ההגנה | NKI |
| היברידי/רב-מגזר | אשר עם SZTFH, NBH | NKI |
דוח שגוי אחד או רישום שלא הוגש עלולים להחמיר את הסיכון. חברות היברידיות זקוקות לאישור רשמי מכל רשות רלוונטית.
ניווט במבוך הרב-מגזרי
עבור חברות המשתרעות על פני מספר תחומים - נניח, מרכז נתונים עם לקוחות בתחום הבריאות והלוגיסטיקה כאחד -סטטוס היברידי נפוץ. במקרה זה:
- הצהירו רשמית על "הפעילות העיקרית" שלכם: (היכן שרוב ההכנסות/צוות יושבים) בעת ההרשמה.
- תיעוד חוצה מגזרים: ולבקש במפורש אישור של סמכות המובילה.
- שמור את כל ההתכתבויות עם רגולטורים מגזריים: - רואי חשבון יאמתו תקשורת ברורה אם יתעוררו מחלוקות.
מערכת הרגולציה של הונגריה דורשת פרואקטיביות: שבו על הגדר, וייתכן שתראו גם הזנחה במועדים, וגרוע מכך, חקירה חוצת גבולות אם מתעוררת תקרית שבה התפקידים אינם ברורים.
שיטות עבודה מומלצות למנהיגי תאימות
- מינוי אלוף תאימות-נקרא רשמית, באופן פנימי ולרגולטור הראשי שלך.
- הסלמת מסמכים ושרשראות תקשורתהתפקידים חייבים להיות חד משמעיים במחלקות ה-IT, המשפטיות והנהלת המנהלים.
- פעולות חוצות גבולות? שמרו על מטריצת מיפוי תחומי שיפוט כדי למנוע פערים אם אתם משרתים לקוחות במספר מדינות באיחוד האירופי.
עמימות רגולטורית היא סיכון שאתם יוצרים לעצמכם - כזה שלעולם לא עובר ביקורת.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
מהם הקשרים בין CSIRT למציאות דיווח אירועים במסגרת חוק NIS 2 של הונגריה?
מתעלמים או לא מובנים תגובה לאירוע מסלול הביקורת הוא המקור הנפוץ ביותר לכישלון ביקורת והתערבות רגולטורית. מרכזה של הונגריה: ה- המרכז הלאומי לאבטחת סייבר (NKI/NCSC הונגריה) הוא הצינור העיקרי שלך לכולם הודעות על אירוע- כיסוי אירועים מקומיים וחוצי גבולות כאחד.
דרישות מפתח לתגובה לאירועים
- רשום את מגיב האירוע שלך.: זהה ותעד, עם NKI מראש, את הצוות האחראי ואת אישורי ההודעה שלו.
- תרגל את זרימת הדיווח שלך.: תרגול עם אירועי ריצה יבשה ותיוק תוצאות סימולציה כ ראיות ביקורת.
- לעמוד בלוחות הזמנים ללא רחם:
- *התראה ראשונית*: 24 שעות ממועד הזיהוי
- *עדכון מפורט*: תוך 72 שעות
- *סגירה סופית*: תוך 30 יום
| שלב | מועד אחרון | היכן לתייק |
|---|---|---|
| 1. התראה ראשונית | שעות 24 | incident@nki.gov.hu |
| 2. עדכון | שעות 72 | פורטל NKI + רגולטור מגזרי |
| 3. דוח סופי | 30 ימים | NKI, מאוחסן בפלטפורמה |
- שמירת יומני רישום: הונגריה מחייבת תיעוד מלא של אירועים "מדווחים ושאינם מדווחים" - יש לבדוק את העיתוי, הפעולות והתקשורת.
- אירועים חוצי גבולות: במקרים בהם התחייבויות חוצות גבולות לאומיים, יש להגיש הן ל-NKI והן לערוץ CSIRT המתאים ברחבי האיחוד האירופי.
אתם בונים אמון עם הרגולטור לא על ידי הסתרת פגמים, אלא על ידי הצפת בעיות ותיקוןן מהר יותר ממה שמישהו מצפה.
תרבות אכיפה וביקורת
מבקרים הונגרים מצפים לא רק לראיות לאירועים שדווחו, אלא גם להוכחה לכך שצוותים ביצעו סימולציה של אירועים ותיעדו לקחים במערכת ה-ISMS. תהליכי אירועים "בלתי נראים" - לא מתועדים, לא נבדקים - מסומנים כחולשות בקרה.
כיצד משפיעים עליך מועדי הגשת הבקשה ל-NIS 2 בהונגריה, דרישות הביקורת והיומנים?
בניגוד למסגרות תאימות מדור קודם, הגישה של הונגריה ל-NIS 2 היא ממוקד בדדליין ודוקומנטרי ללא רחמים. הרשויות דורשות שרשראות ראיות הכיסוי הזה:
- הַרשָׁמָה: להגיש לפני 30 ביוני 2024.
- הערכה עצמית פנימית: צפוי לסוף 2024; הסטנדרטים מופנים ישירות לחוק ההונגרי ו ISO 27001.
- מינוי מבקר חיצוני: יש לספק את שם רואה החשבון החיצוני שלכם לפני סוף שנת 2024.
- מחזורי ביקורת וביקורת חוזרת: השלמת ביקורות עד דצמבר 2025 (עם הארכות לעסקים קטנים ובינוניים אפשריות רק באישור רשמי).
זה לא נחשב תאימות עד שזה מתועד, נבדק ונרשם. נתיבי ביקורת הם קו ההגנה הראשון והאחרון שלך.
מסמכים חיוניים לביקורת:
- קבלות רישום, הוכחת מיפוי היקף
- יומני ביקורת פנימיים וחיצוניים, תקשורת ואישורים
- תודות לחבילות מדיניות ויומני הדרכה
- חזרות על אירועים ויומני תגובה
- יומני מעורבות ספקים ויומני מתיחה
- פרוטוקולי סקירת הנהלה ומעקב אחר פערי מגורים
טבלת גשר ביקורת ISO 27001
| תוֹחֶלֶת | איך אתם מבצעים את הפעולה | סעיף/בקרה |
|---|---|---|
| זיהוי אירועים | ניטור 24/7, התראות מיידיות | א.8.15, א.8.16 |
| אבטחת צד שלישי | בדיקת נאותות של ספקים & מסמכים | א.5.19, א.5.20, א.5.21 |
| מעקב אחר מודעות הצוות | מעקב אחר חבילת מדיניות | א.6.3, א.7.7 |
| תגובה ל-CSIRT | זרימת עבודה, יומן חי | א.5.24, א.5.26 |
| סגירת פערים | יומנים רציפים, סקירת ניהול | A.5.36, סעיף 9.3 |
מיני-טבלה למעקב
| הדק | עדכון סיכונים | קישור בקרה / SoA | ראיות שנרשמו |
|---|---|---|---|
| דוא"ל התחזות | צור סיכון, עדכון רישום | A.8.15, סעיף 8 לתקנות תנאי השימוש | יומן אירועים, רישום עובדים |
| הפרת ספק | עדכון ציון של צד שלישי | A.5.19, סעיף 5 לתקנות תנאי השימוש | תקשורת ספקים, שביל ביקורת |
| אירוע הפסקת חשמל | סקירת BCP, יומן עדכונים | A.8.13, SoA, BCP | תוכנית התאוששות, יומן |
בנו את הטבלאות הללו במערכת ה-ISMS שלכם - המבקרים החיצוניים של הונגריה ישתמשו בהן כנקודות התייחסות, תוך ציפייה לא רק למסמך, אלא גם לרישום של מחזור החיים החי שלו.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
ניווט בין פטורים, הרחבות ושונות מגזרית תחת מדיניות 2 שקלים בהונגריה
עסקים קטנים ובינוניים ומגזרים מסוימים שאינם קריטיים אינם פטורים אוטומטית ממס 2 שקלים - הקלה אפשרית רק באמצעות אישור רשמי ומתועד. התהליך קפדני כמו בכל תאגיד גדול, כאשר נטל ההוכחה תמיד מוטל על הארגון.
הבטחת הקלה בתוקף בתנאי ציות
- יש לכתוב את הפטור.: רק רשות מגזרית (MKIK או מנהל רגולטורי) יכולה להנפיק מכתב פטור רשמי - יש לשמור אותו עם כל ההתכתבויות.
- תיעוד מלא.: יש לשמור את כל הבקשות, הניירת והאישורים בתוך מערכות ה-ISMS שלכם, כדי שיהיו זמינים לכל ביקורת עתידית.
- הרחבות = תאימות פעילה. הקלה בביקורת לעסקים קטנים ובינוניים בדרך כלל מאריכה את מועד הביקורת המלא ליוני 2026, אך *רק* אם יאושר, ועליכם להמשיך בהערכה עצמית, דוח מקרהושמירת יומנים לכל אורך הדרך (mkik.hu, mondaq.com).
לחץ הציות נמוך יותר רק עבור אלו המסוגלים להוכיח זאת - בהנחה שפטור הוא ממצא ביקורת, לא אזור בטוח.
השתמשו ברשימות תיוג המסופקות על ידי MKIK ו-NKI. ארגונים קטנים יותר צריכים להשתמש בתבניות מוכנות לשימוש כדי למנוע פערים; גישות מותאמות אישית לעיתים רחוקות מספקות את ביקורת המבקרים אלא אם כן הן מתועדות בצורה מושלמת.
כיצד הונגריה משתווה לאוסטריה, סלובקיה ופולין - ולמה זה אמור לעניין אותך?
2 שקלים היא הנחיה של האיחוד האירופי, אך הכללים של הונגריה - ולא של שכנותיה - מגדירים את המציאות הרגולטורית שלכם אם אתם ממוקמים בבודפשט, דברצן או פץ'. עם זאת, שרשראות אספקה, מיקור חוץ וחוזי לקוחות כלל-אירופיים משמעותם לעתים קרובות התחייבויות מקבילות עם חלונות ותבניות דיווח שונות.
| מדינה | תאריך הרשמה | רגולטור/רשות | CSIRT / CERT לאומי |
|---|---|---|---|
| הונגריה | יוני 30, 2024 | SZTFH / מוביל בתחום | NKI |
| אוסטריה | מאי 31, 2024 | BMI (פנימי) | CERT.at |
| סלובקיה | 15 ביולי 2024 | NBU (משרד הביטחון) | CSIRT.SK |
| פולין | יוני 30, 2024 | NASK | CERT.PL |
תאימות היא עניין של שקידה חוצת גבולות לא פחות מאשר רישום מקומי. אם אתם מייצאים, הישארו ערניים לחלון הצפוף ביותר ועקובו אחר כל שרשראות הדיווח.
מה המשמעות של זה עבורך
אם הארגון שלך פועל מעבר לגבולות או משרת לקוחות רב-לאומיים:
- מפה של כל המועדים: עבור כל רשות לאומית בשרשרת האספקה והשותפים שלך.
- הקצאת בעלים של "מפת תאימות": -מישהו שיש לו סמכות לאסוף ראיות ולתחזק מסמך חי זה.
- העלה מדריכים חוצי-תחומי שיפוט של ENISA EU NIS 2: לחבילות ההטמעה של הצוות והקבלן שלכם.
אי הבחנה בין ציפיות ביקורת מקומיות לבין כללי מדינת הלקוח מובילה לעתים קרובות לתרגילי אש של הרגע האחרון, או גרוע מכך, להחמצת חוזים וקנסות רגולטוריים (enisa.europa.eu, enisa.europa.eu/csirt-network).
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
מדוע ISMS.online מספקת מפת דרכים חיה לתאימות NIS 2 עבור הונגריה
עמידה בתקן NIS 2 היא תהליך מתמשך - החוק הפעיל של הונגריה, מיפוי מגזרי ולוחות זמנים של ביקורת גורמים לכך שחברות אינן יכולות עוד לתכנן ואז לשכוח את התחייבויותיהן. ISMS.online מעצימה ארגונים ליישם תאימות עם תבניות ספציפיות למגזר, ראיות מוכנות לביקורת כלים ומאגר ידע המתעדכן באופן שוטף בהנחיות החוק והרגולטורים.
- כלי מיפוי מגזרים: הבהירו באופן מיידי את הסטטוס שלכם במסגרת הפרויקט ואת הסמכות הרגולטורית שלכם כדי למנוע שגיאות רישום או בלבול בביקורת.
- פידים ותבניות משפטיות אוטומטיות: עדכונים, מדריכים ורשימות תיוג למועדים ספציפיים למדינה תמיד בהישג יד.
- מעקב אחר שרשרת ביקורת: בנה, רישום ועדכן שרשראות ראיות עם קישורי בקרה מוטמעים של SoA וסקירות ניהול עם חותמת זמן.
- דיווח על אירועים וסימולציות: הקצו תומכי תאימות, תיעדו חזרות על אירועים ותעדו כל תקלה ביום הביקורת של NKI להפחתת אינטראקציה.
- תמיכה בעסקים קטנים ובינוניים ובישויות גדולות: ISMS.online מספק זרימות עבודה מותאמות אישית, נכסים דו-לשוניים ורשימות ראיות מוכנות לשימוש עבור כל רמת תאימות.
חוסן דיגיטלי אמיתי נבנה על ידי בקרה, דד-ליין ולמידה אחת בכל פעם. ציות הוא מערכת חיה - לעולם אל תשכחו.
אם אתם רוצים להיות בטוחים שאתם לא רק מסמנים את הדרישות של 2 שקלים בהונגריה, אלא בונים מערכת שמוכיחה באופן שוטף עמידה בתקנות לרגולטורים, רואי חשבון, לקוחות ולדירקטוריון שלכם -ISMS.online הוא השותף הנכון למסע שלך.
מוכנים להפוך את הציות מסיכון ליתרון תחרותי? מפו את התחייבויותיכם בהונגריה, הפכו את מסלולי הראיות שלכם לאוטומטיים ובנו פלטפורמה לאמון מתמשך.
שאלות נפוצות
כיצד ניתן לאשר איזה רגולטור הונגרי אחראי על תאימות לתקן NIS 2 במגזר שלך?
אתם מאשרים את הרגולטור שלכם ל-NIS 2 בהונגריה על ידי זיהוי תחילה של סוג הישות המשפטית שלכם (ישות חיונית או חשובה) ומגזר התעשייה שלכם - ולאחר מכן התייחסות להקצאות שפורסמו על ידי הרשויות ההונגריות. עבור מגזרי המידע והתקשורת, שירותי בריאות, אנרגיה ומנהל ציבורי, הפיקוח בדרך כלל נופל על ידי המרכז הלאומי לאבטחת סייבר (NKI/NCSC Hungary, Nemzeti Kibervédelmi Intézet) או על ידי הרשות המפקחת על פעילויות מוסדרות (SZTFH). פיננסים וביטוח מפוקחים על ידי הבנק הלאומי של הונגריה (NBH), בעוד שארגוני ביטחון קריטיים מדווחים למשרד ההגנה. עם זאת, מקרים היברידיים - כגון חברות המספקות שירותי סייבר קריטיים תשתית דיגיטלית אלא גם המציעים שירותי טלקום או בריאות - תמיד צריכים לקבל אישור בכתב מ-NKI או SZTFH. תפקידי הרגולטורים יכולים להשתנות ככל שהחקיקה מתפתחת; רישום וארכיון של כל ההתכתבויות בנוגע למעמד הרגולטור שלכם בתוך מערכות ה-ISMS שלכם לא רק מבהירים את האחריות, אלא יכולים להגן על הארגון שלכם מפני ביקורות כפולות או סכסוכי תאימות אם אחריות הרשויות תעודכן.
הבטחת הכרה רשמית מוקדמת מצד הרגולטור מגבילה את סיכון הציות העתידי ומבטלת עמימות בין ביקורות או סקירות אכיפה.
טבלת סקירה כללית של הרגולטור ההונגרי של 2 שקלים
| מגזר / תעשייה | סוג ישות | וסת(ים) | מקור / איש קשר |
|---|---|---|---|
| דיגיטלי/ICT, אנרגיה | חיוני/חשוב | SZTFH / NKI | / |
| כספים, ביטוח | חִיוּנִי | NBH | |
| ציבורי, שירותי בריאות | חיוני/חשוב | SZTFH / NKI | כאמור לעיל |
| ההגנה | חִיוּנִי | משרד הביטחון | |
| רב-מגזר/היברידי | משתנה | אשר עם NKI | התחל בירור עם NKI |
יש לאחסן תמיד אישורי הקצאת רגולטורים ולנהל רישום פעיל של אנשי קשר מגזריים במערכת ה-ISMS שלכם, במיוחד במהלך מיזוגים או שינויים במודל עסקי.
מהן דרישות הדיווח על אירועי NIS 2 של הונגריה וכיצד יש לנהל הסלמה?
לפי חוק NIS 2, ישויות חיוניות וחשובות בהונגריה חייבות לדווח על כל אירוע אבטחת סייבר משמעותי למרכז הלאומי לאבטחת סייבר (incident@nki.gov.hu) תוך 24 שעות ממועד הגילוי, באמצעות תבנית הדיווח הרשמית. לאחר מכן יש להגיש דוח מעקב מפורט - הכולל הקשר טכני, השפעה ופעולה מתקנת - תוך 72 שעות. דוח סיום המסכם לקחים ויש להגיש דוחות בנוגע לסיכון שיורי תוך 30 יום מאישור האירוע. ה-NKI של הונגריה משמש הן כ-CSIRT הלאומי שלכם והן כנקודת הקשר העיקרית עם רשת ENISA, ומטפל בהודעות אירופאיות ובתיאום מעבר לגבולות. כל שלבי תהליך הדיווח ואיסוף הראיות - חותמות זמן, התכתבויות, יומני השפעה וראיות טכניות - הם דרישות ביקורת, ולא רק הצעות פרוצדורליות. הודעות מאוחרות או לא שלמות עלולות להוביל לקנסות או לאכיפה גם אם מתקפת הסייבר עצמה מקורה מבחוץ.
מהירות דיווח ותיעוד של אירועים הם אותות ה-ISMS החזקים ביותר הן למבקרים והן לרגולטורים - פעולה מהירה (גם אם בתחילה לא שלמה) תמיד עדיפה על המתנה לשלמות.
ציר זמן לדיווח על אירועים בהונגריה
| שלב הדיווח | ציר זמן | <br> סיכום |
|---|---|---|
| הודעה ראשונית | ≤ 24 שעות | דוא"ל incident@nki.gov.hu; שלחו עובדות בסיסיות |
| דוח אירוע מפורט | ≤ 72 שעות | טכני שורש, צעדי תגובה |
| דוח סגירה | ≤ 30 ימים | תיקון, סקירה, תוצאות |
| תיאום האיחוד האירופי | לפי הצורך דרך NKI | NKI מעביר ל-ENISA/CSIRTs במידת הצורך |
בצעו באופן קבוע תרגילי שולחן של תגובה לאירוע ודיווח - אלה נבדקים יותר ויותר במהלך ביקורות שנתיות כדי להוכיח מוכנות, לא רק פעילות של "סימון בתיבות".
מהו לוח הזמנים לתאימות לתקן NIS 2 עבור ארגונים בהונגריה לשנים 2024–2025?
כדי להשיג ולשמור על תאימות לתקן NIS 2 בהונגריה, ארגונים חייבים לפעול לפי לוח זמנים מדורג:
- יוני 30, 2024: רשום את הישות שלך וציין את אנשי הקשר האחראים לרגולטור שלך (SZTFH, NKI או ספציפי למגזר).
- 18 אוקטובר 2024: יישום מלא של בקרות אבטחה טכניות וארגוניות, תוך התייחסות לחוק LXIX/2024 ולתקן ISO 27001/נספח A.
- דצמבר 31, 2024: חתמו על חוזה עם מבקר חיצוני מוסמך בתחום אבטחת הסייבר.
- 31 בדצמבר 2025 (מגזרי ליבה): לעבור ולהשלים ביקורת חיצונית רשמית ראשונה; עסקים קטנים ובינוניים פחות קריטיים עשויים להיות זכאים להארכה עד 30 ביוני 2026 (עם הקלה רגולטורית בכתב).
- מתמשך: תחזקו באופן שוטף את מערכת ה-ISMS שלכם, עדכנו את בסיס הראיות, בצעו ביקורות עצמיות שנתיות ותרגלו דיווח על אירועים.
החמצה או עיכוב של אחת מנקודות הביקורת הללו מגבירים את הסיכון המשפטי והעסקי: קנסות כספיים יכולים להגיע ל-10 מיליון אירו או 2% מההכנסות העולמיות, ובקרת הרגולטורים בדרך כלל מתעצמת.
התייחסו ל-NIS 2 כאל שרשרת ראיות חיה - כאשר שומרים על ציות "חם", הפתעות הביקורת נעלמות וההנהלה צוברת ביטחון אמיתי.
טבלת אבני דרך לתאימות ל-NIS 2
| ציון דרך | מועד אחרון | ראיות שיש לשמור |
|---|---|---|
| הַרשָׁמָה | 30 יוני 2024 | אישור הרגולטור, פרופילי ישויות שהוגשו |
| פקדים פעילים | 18 אוקטובר 2024 | רשומות ISMS, SoA, יומני מערכת |
| רואה חשבון חתום | 31 דצמבר 2024 | מכתב התקשרות חתום, היקף הביקורת |
| הביקורת הסתיימה | 31 בדצמבר 2025/26 | דוח ביקורת מלא, ממצאים, יומן תיקונים |
| סקירה עצמית | שוטף | יומן ראיות, ניתוח פערים/סיכונים מעודכן, תרגילים |
הוסף למועדפים את עדכוני NKI, הרגולטור הענפי ו-ISMS.online; כללים והבהרות רשמיות עשויים "להשתנות מתחת לרגליך" מדי רבעון.
מהם תקני ראיות הביקורת של הונגריה וכללי דחיית ביקורת לעסקים קטנים ובינוניים במסגרת NIS 2?
עסקים קטנים ובינוניים בהונגריה זכאים לדחיית מועד הביקורת רק אם הם פועלים מחוץ למגזרים ה"קריטיים" המרכזיים (תשתיות דיגיטליות, אנרגיה, פיננסים, בריאות). אם אתם זכאים, עליכם לקבל פטור רשמי בכתב מהרגולטור של המגזר שלכם או מלשכת המסחר הלאומית (MKIK); פטור זה דוחה את הביקורת החיצונית ל-30 ביוני 2026. חשוב לציין, שכל שאר התחייבויות NIS 2 (הערכת סיכונים, דיווח על אירועים, רישום ראיות, הערכה עצמית) יישארו פעילות - דחייה אינה הקפאה. יש לרשום כל פטור או הארכה בהונגרית ובאנגלית בחבילת הראיות שלכם, ולאשר מחדש עם הרשויות אם הסטטוס או הבעלות שלכם משתנים. פטורים משוערים הם נקודת כישלון שכיחה בביקורת.
תיעוד הוא ההבדל בין עסק קטן ועסקי העומד בדרישות לבין עסק שנחשף לאיחור בביקורות, קנסות שניתן היה למנוע או מבוכה ציבורית.
מטריצת ראיות ופטור לביקורת
| סוג ישות | מגזר | דחיית ביקורת? | תיעוד חובה | מועד אחרון לביקורת |
|---|---|---|---|---|
| עסק קטן (קריטי) | מגזרי ליבה | לא | N / A | 31 דצמבר 2025 |
| עסקים קטנים ובינוניים (מגזרים אחרים) | עם הקלה כתובה | יש | מכתב רגולטורי, אישור רשום | 30 יוני 2026 |
| גדול / אסטרטגי | הכל | לא זכאי | N / A | 31 דצמבר 2025 |
עם שינויים ארגוניים או בהיקף, יש לבקש ולרשום אישור רגולטור מעודכן וסטטוס פטור כדי למנוע מחלוקות עתידיות.
כיצד צריכות חברות עם פעילות חוצת גבולות באיחוד האירופי להתמודד עם 2 שקלים חדשים בהונגריה ובמדינות השכנות?
אם החברה שלכם פועלת ברחבי הונגריה ובמדינות אחרות באיחוד האירופי (למשל, אוסטריה, סלובקיה, פולין), יש לטפל בנפרד במשטר NIS 2 של כל מדינה. דרישות רישום, בקרות אבטחה, דיווח על אירועים וביקורת חלות על כל מדינה - גם אם הקבוצה שלכם פועלת תחת מבנה ניהול "אירופי" יחיד. משימות הרגולטורים ומועדי ההפקדה של הונגריה אינם "מועברים" למדינות חברות אחרות: עדכנו "מפת תאימות" ראשית העוקבת אחר הרגולטור של כל תחום שיפוט, אנשי קשר של CSIRT, כתובות דיווח, סטטוס הביקורת הנוכחי והתאריך המרכזי הבא. סקרו ועדכנו זאת לפחות אחת לרבעון, או בכל פעם שתחום שיפוט כלשהו מוציא פרשנות משפטית משמעותית. ENISA ורשת CSIRT של האיחוד האירופי מסנכרנות תבניות ותקני גילוי, אך החובות הלאומיות הן קונקרטיות וניתנות לאכיפה.
ציות ללא גבולות הוא אשליה - החמצת רגולטור אחד או מועד אחרון עלולה ליצור ממצאי ביקורת וקנסות שישפיעו על כל הקבוצה.
מפת תאימות רב-לאומית לדוגמה
| מדינה | וסת | CSIRT לאירועים | מועד אחרון לביקורת | קישור להדרכה |
|---|---|---|---|---|
| הונגריה | SZTFH/NKI | NKI/NCSC | 31 דצמבר 2025/26 | |
| אוסטריה | ספציפי למגזר | CERT.at | מועד אחרון למגזר | |
| סלובקיה | סמכות לפי מגזר | SK-CERT | מועד אחרון למגזר | |
| פולין | רשות מגזרית | CERT פולין | מועד אחרון למגזר |
הקצאת בעל תאימות לכל אזור, עם סקירה מתועדת של הדירקטוריון לפחות פעם בשנה ורישום מבוקר גרסאות.
כיצד ISMS.online יכול להפוך את תאימות NIS 2 לרציפה ומוכנה לביקורת עבור ארגונים הונגרים?
ISMS.online הופך את NIS 2 ממערכת רשימות תיוג שנתיות למערכת תאימות פעילה תמידית על ידי:
- אוטומציה של מיפוי מגזרים ורגולטורים: סוג החברה, המדינה והפטורים שלך ממופים לרגולטור ההונגרי הנכון, כאשר כל אנשי הקשר לרישום ודיווח מוטמעים.
- מעקב משפטי בזמן אמת ומרכז מסמכים: צוותים מקבלים עדכונים ממוקדים על חוקים, הנחיות ומועדי הגשה חדשים - שפורסמו בהונגרית ובאנגלית, ומשתקפים בסניפים אחרים של האיחוד האירופי.
- שרשרת ראיות ולוחות מחוונים מוכנים לביקורת: כל דיווח על אירוע, פעולת ביקורת, שינוי מדיניות והתכתבויות נרשמים - ויוצרים נתיב ביקורת קבוע הממופה לבקרות NIS 2 ו-ISO 27001.
- חבילות תמיכה למגזר ולעסקים קטנים ובינוניים: רשימות תיוג מותאמות אישית למיומנויות ותבניות בקשות פטור מטפלות בפערים הנפוצים ביותר עבור סוג העסק שלך.
- תרחישי קליטה ובדיקות "אש חיה": מודולים מובנים עוזרים לך לדמות אירועים, לתרגל מחזורי דיווח ולאסוף הוכחות לתרגילי תאימות בפועל.
- קנה מידה רב-לשוני, רב-ארצי: לאחר שתהיה הטמעה שיטתית של תאימות דיגיטלית בהונגריה, ניתן יהיה לשכפל את שיטות העבודה המומלצות לסניפים באוסטריה, סלובקיה ופולין, ובכך להבטיח חוסן כלל-קבוצתי.
חוסן אינו עוד סיסמה - כאשר הראיות, היסטוריית הדיווחים והמעקב המשפטי שלכם חיים, דיגיטליים ומתועדים, אתם הופכים את סיכון הביקורת לביטחון תפעולי.
מעבר לתאימות במצב "ערבול". בקשו את חבילת 2 NIS של הונגריה של ISMS.online או הדרכה מותאמת אישית לפלטפורמה (https://isms.online/hu/) והגדירו את תהליך הביקורת שלכם לפעילות תמידית מעבר לגבולות, שפות וחלונות דיווח.
