A háttér
Ez a törvény az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.
A törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
Alapvető követelmények
Az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.
A biztonság magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti
-a tárolt, továbbított vagy feldolgozott adatok, információk,
– az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.
A védelemnek ki kell terjednie:
- az információbiztonsági irányítás rendszerére,
- az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
- a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
- a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére
- az üzletmenet folytonosság biztosítására
- az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.
A kiberbiztonsági felügyelettel érintettek köre
A kiberbiztonsági felügyeletet kevés kivételtől eltekintve az SZFTH látja el.
A törvény melléklete részletesen felsorolja, hogy mely iparágak tartoznak a felügyelettel érintett, kiemelten kockázatos, illetve kockázatos kategóriába. A jelenlegi becslések alapján hazánkban ez mintegy 2500 közepes és nagyvállalatot érint közvetlenül.
Mi a teendő ?
A követelmények teljesítésére még több mint egy év van, a kezdő lépést érdemes megtenni – meg kell bízni a feladattal egy megfelelő információ biztonságért felelős személyt, aki elvégzi/elvégezteti a következő feladatokat:
- az érintettség vizsgálata
- a megjelenő publikus információk folyamatos gyűjtése, értékelése
- a szervezet jelenlegi információbiztonsági helyzetének felmérése, az eltérések rögzítése
- cselekvési terv kidolgozása
Határidők
2024. január 1.
- Önazonosítás
- Biztonsági osztályba sorolás
- Elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése
2024. június 30.
- Nyilvántartásba vételre bejelentkezés
2024. október 18.
- Védelmi intézkedések alkalmazása
- Felügyeleti díj megfizetése
2024. december 31.
- Első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral
2025. december 31.
- Első kiberbiztonsági audit lefolytatása