Érintettek

A NIS2 irányelv hatálya széles körű, és nemcsak bizoyos kritikus vagy nagy kritikusságú ágazati közép- és nagyvállalatokra, hanem azok alvállalkozóira, szállítóláncaira, kisvállalkozásaira és közvetetten más iparági szereplőkre is kiterjed. Ez biztosítja az átfogó informatikai és hálózati biztonságot az egész gazdasági és infrastrukturális ökoszisztémában.

Mely szervezetekre vonatkozik a NIS2?

Az Európai Bizottság NIS2 irányelv gyakori kérdések oldalán található egy lista az érintett ágazatokról. További kritérium, hogy a szervezetnek legalább középvállalatnak kell lennie a 2003/361/EK bizottsági ajánlás alapján. Az ágazatok röviden összefoglalva:

  • a nagy kritikusságú ágazatok (pl. energia, egészségügy, bizonyos számítástechnikai szolgáltatók és hírközlő rendszerek) 
  • és az egyéb kritikus ágazatok (pl. futárszolgálatok, hulladékgazdálkodás, elektronikai- és gépgyártás, bizonyos kereskedelmi szolgáltatók, stb).

A fenti listába az előzetes becslések alapján Magyarországon mintegy 1200-2500 szervezet tartozik bele. Azonban itt nincs feltétlenül vége a listának! Ráadásként a kibertan törvény kkv-kra is vonatkozik, ha azok a következő tevékenységek valamelyikével foglalkoznak: elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók,  DNS-szolgáltatást nyújtó szolgáltatók, legfelső szintű domainnév-nyilvántartók, vagy domainnév-regisztrációt végző szolgáltatók.

Emellett a NIS2 hatálya nem korlátozódik csak az adott vállalatra, hanem kiterjed az egész beszállítóláncra és az együttműködő beszállítókra is. Ez azt jelenti, hogy a vállalatoknak biztosítaniuk kell, hogy minden olyan szereplő, akivel kapcsolatban állnak az üzletmenetben, megfeleljenek az irányelv előírásainak. Pontosabban fogalmazva ne áshassák alá a kötelezett szervezet NIS2 megfelelését. Ezt a gyakorlatban kétféleképpen is el lehet érni.

  1. A beszállítók, alvállalkozók folyamatos auditja a szerepük szerint egyedileg meghatározott feltételek alapján.
  2.  A NIS2 megfelelés megkövetelése a beszállítóktól. 

Milyen további szervezeteknek lehetnek így érintettek a NIS2 megfelelési kötelezettségben?

Ismert tény, hogy sok szervezet, amelyekre a NIS2 irányelv vonatkozik, kiszervez bizonyos feladatokat alvállalkozóknak. Ezek az alvállalkozók is meg kell feleljenek az irányelv előírásainak, hogy biztosítsák a teljes körű biztonságot az adatok és hálózatok terén. Sok érintett szervezetnek nincsenek forrásai a folyamatos auditok lefolytatására, ezért úgy akarják majd bebiztosítani a saját megfelelésüket, hogy egyszerűen előírják a beszállítóinak is a megfelelési kötelezettséget. Tehát habár a jogszabályokból közvetlenül nem következik, de mégiscsak érintettek lehetnek egyéb szervezetek is: 

  • kötelezett szervezetek alvállalkozói,
  • beszállítók,
  • és akár önálló vállalkozók és kisvállalkozások.

Tehát a NIS2 nemcsak bizonyos közép- és nagyvállalatokra vonatkozik, hanem potenciálisan azokra az önálló vállalkozókra és kisvállalkozásokra is, amelyek jelentős szerepet játszanak az érintett szervezet informatikai infrastruktúrában és szolgáltatások nyújtásában.

Megjelent a részletes követelményeket tartalmazó kormányrendelet tervezete

2024. január 31-én megjelent, társadalmi egyeztetésre a részletes követelményeket tartalmazó kormányrendelet tervezete, mely elérhető a https://kormany.hu/dokumentumtar/biztonsagi-osztalyba-sorolas-es-alkalmazando-vedelmi-intezkedesek-min-rendelet címen. (Lokális másolat.)

Ezek alapján nem érte nagy meglepetés a szakmát. Az ibtv (2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról) vhr-e (41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről) esetében is alapul vett NIST 800-53 felé fordult a jogalkotó, azzal a különbséggel, hogy annak az 5. verzióját vette alapul (NIST Special Publication 800-53 Revision 5 Security and Privacy Controls for Information Systems and Organizations).

Míg az ibtv vhr korábban öt biztonsági osztályt különböztetett meg, az új rendelet már csak hármat. Név szerint: Alap, Jelentős, Magas.

A rendelet tervezetéből az is kiderül, hogy az előírások nem csak a kibertan tv (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) hatálya alá tartozó szervezetekre, hanem az ibtv esetében is alkalmazandó lesz. Így viszonylag egységes szabályzatok és kapcsolódó dokumentumok kerülhetnek kidolgozásra, mely mind a szakemberek, mind pedig az ellenőrzést végzők munkályát is egyszerűsíthetik.

Az információbiztonsággal foglalkozó szakemberek által jól ismert, és alkalmazott NIST ajánlás implementálása elősegíti a kibertan tv-nek történő megfelelést, hiszen a már korábban megismert előírások alkalmazására kell megoldásokat ajánlani az ügyfelek részére. Emellett a nemzetközi vállalkozások megfelelését is elősegíti az ismert ajánlás alkalmazása, hiszen sok esetben ők is a NIST alapján végezték információbiztonsági tevékenyésgüket.

Hatályba lépett a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (röviden: kibertan tv.)

A háttér

Ez  a  törvény az  ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az  információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.

A törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

Alapvető követelmények

Az  érintett szervezet a  kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.

 A biztonság magában foglalja az  elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti

-a tárolt, továbbított vagy feldolgozott adatok, információk,

– az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

 A  védelemnek ki kell terjednie: 

  • az információbiztonsági irányítás rendszerére,
  • az elektronikus információs rendszerek kockázatainak feltárására és kezelésére, 
  • a kockázatok csökkentésére irányuló, a  szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére
  • az üzletmenet folytonosság biztosítására 
  • az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

A kiberbiztonsági felügyelettel érintettek köre

A kiberbiztonsági felügyeletet kevés kivételtől eltekintve az SZFTH látja el.

A törvény melléklete részletesen felsorolja, hogy mely iparágak tartoznak a felügyelettel érintett, kiemelten kockázatos, illetve kockázatos kategóriába. A jelenlegi becslések alapján hazánkban ez mintegy 2500 közepes és nagyvállalatot érint közvetlenül.

Mi a teendő ?

A követelmények teljesítésére még több mint egy év van, a kezdő lépést érdemes megtenni – meg kell bízni a feladattal egy megfelelő információ biztonságért felelős személyt, aki elvégzi/elvégezteti a következő feladatokat:

  • az érintettség vizsgálata
  • a megjelenő publikus információk folyamatos gyűjtése, értékelése
  • a szervezet jelenlegi információbiztonsági helyzetének felmérése, az eltérések rögzítése
  • cselekvési terv kidolgozása

Határidők

2024. január 1.

  • Önazonosítás
  • Biztonsági osztályba sorolás
  • Elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése

2024. június 30.

  • Nyilvántartásba vételre bejelentkezés

2024. október 18.

  • Védelmi intézkedések alkalmazása
  • Felügyeleti díj megfizetése

2024. december 31.

  • Első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral

2025. december 31.

  • Első kiberbiztonsági audit lefolytatása