Részletesen a NIS2 megfelelésről

2023 május 23-án lépett hatályba a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, amelynek alapja az EU által 2022 december 27-én kihirdetett ún. NIS2 irányelv. Az irányelvet – egyelőre részlegesen – implementáló jogszabály célja a vállalatok informatikai biztonsági megfelelésének előírása, illetve az azt tanúsító, valamint ellenőrző hatósági rendszer kialakítása. Az irányelv teljes implementációját 2024 október 17-ig kell végrehajtaniuk a tagállamoknak.

 

Kiket érint a NIS2?

 

A NIS2 előírásainak a jogszabály által meghatározott az alábbiakban részletezett kiemelt ágazatokban működő közép- és nagyvállalkozásoknak (legalább 50 fő vagy nettó 10 millió EUR-t meghaladó éves árbevétel) kell megfelelni.

 

Kiemelten kockázatos ágazatok:

  • Energetika (villamos energia, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
  • Közlekedés (légi, vasúti, vízi és tömegközlekedés)
  • Egészségügy
  • Ivóvíz, szennyvíz (víziközmű)
  • Hírközlési szolgáltatás (elektronikus hírközlési szolgáltató, adatkicserélő szolgáltatást nyújtó)
  • Digitális infrastruktúra (felhőszolgáltató, adatközpont szolgáltató, legfelső szintű domainnév nyilvántartó, DNS szolgáltató, tartalomszolgáltató hálózat szolgáltató)
  • Kihelyezett infókommunikációs technológiai szolgáltatások
  • Űralapú szolgáltatás nyújtását támogató földi infrastruktúra

 

Kockázatos ágazatok:

  • Postai és futárszolgálatok
  • Élelmiszer előállítása, feldolgozása, forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek előállítása és forgalmazása
  • Gyártás: orvostechnikai és diagnosztikai eszközök; számítógépek; elektronikai, optikai termékek; villamos berendezések; máshova nem sorolt gépek és berendezések; gépjárművek, pótkocsik és félpótkocsik; egyéb szállítóeszközök; cement-, mész-, gipszgyártás
  • Digitális szolgáltatók (online piactér, keresőszolgáltató, közösségi média, domainnév regisztrációt végző szolgáltató)
  • Kutatás

 

Mérettől függetlenül alkalmazandó a NIS2 a következő vállalkozások esetében:

  • Elektronikus hírközlési szolgáltató
  • Bizalmi szolgáltató
  • DNS-szolgáltatást nyújtó szolgáltató
  • Legfelső szintű domainnév-nyilvántartó
  • Domainnév-regisztrációt végző szolgáltató

A jogszabály előírása alapján az érintett szervezetek kötelesek előírni a NIS2 megfelelést valamennyi releváns IT beszállítójuk (szoftverfejlesztők, SAS szolgáltatók, üzemeltetők stb.) számára.

 

Alapvető követelmények

 

  • Regisztrációs és bejelentkezési kötelezettség a kiberbiztonsági hatóság felé
  • Az információs rendszerek biztonságáért felelős (IBF) személy szerepének és felelősségi körének meghatározása
  • Az elektronikus információs rendszerek védelmi intézkedéseinek alkalmazása, a felhasználókra vonatkozó szabályok meghatározása
  • Információbiztonsági képzés

 

Biztonsági osztályba sorolás

 

Az érintett elektronikus információs rendszereket 2024 június 30-ig „alap”, „jelentős” és „magas” biztonsági osztályba kell sorolni, a kezelt adatok bizalmasságának, sértetlenségének, rendelkezésre állásának követelményeinek súlyozása a funkciókra tekintettel. A biztonsági osztályba sorolást a kezelt adatok és az adott rendszer funkciói határozzák meg. A besorolást a szervezet vezetője hagyja jóvá és hatáselemzés alapján kell elvégezni. A megfelelő osztályba sorolás fontos a későbbi költségek és potenciális bírság elkerülése miatt és ennek megfelelően az érintett vállalkozásoknak regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH).

 

Szükséges biztonsági intézkedések

 

A biztonsági osztályba soroláshoz illeszkedve, az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról. A jogszabály előírása szerint mindez magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti a tárolt, továbbított vagy feldolgozott adatok, információk, vagy az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

 

Ennek a védelemnek ki kell terjednie:

  • az információbiztonsági irányítás rendszerére,
  • az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
  • a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
  • az üzletmenet folytonosság biztosítására és
  • az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

 

A védelmi intézkedések értékelése

 

A fenti védelmi intézkedések értékelését jogszabályban előírtak szerint összesen 914 szempont szerint kell elvégezni 19 témakörben (programmenedzsmenttől a konfigurációkezelésen át, az ellátási lánc kockázatkezeléséig). Ezekből a szempontokból az „alap” biztonsági osztályban is legalább 164-et, a „jelentős”-ben 302-őt, míg a „magas”-ban 385-öt kell teljesíteni.

A védelmi intézkedések értékelése egy GAP analízis keretében történik, amely megmutatja az eltéréseket a szervezet által jelenleg alkalmazott védelmi intézkedések és a NIS2 előírások között.

Az eltérések azonosítása után kockázatelemzéssel határozható meg, hogy az előírásoktól eltérő, helyettesítő védelmi intézkedések megfelelők-e az adott biztonsági szinthez, illetve egyáltalán melyek azok az előírt intézkedések, amelyek helyett más intézkedések költséghatékonyabban alkalmazhatók.

A kötelező kockázatelemzés további céljai:

  • Fenyegetések és sérülékenységek azonosítása
  • Bekövetkezési valószínűség és káros hatás meghatározása
  • Eredő kockázatok azonosítása
  • Kockázat kezelés (kockázat elkerülés-, csökkentés-, áthárítás-, felvállalás)

A védelmi intézkedések körében a vállalkozásoknak rendszeres kiberbiztonsági képzést kell tartaniuk a munkatársak részére.

 

Audit

 

Az érintett szervezeteknek az elektronikus információs rendszereinek NIS2 megfelelőségét 2024 december 31-ig auditáltatniuk kell az SZTFH által nyilvántartásba vett, akkreditált auditorral. Fontos kiemelni, hogy a védelmi intézkedéseket már 2024 október 18-tól alkalmazni kell, és az auditorral az auditra vonatkozó szerződést meg kell kötni 2024 december 31-ig, amikortól is a hatóság megkezdi a – vélhetően még korlátozott – felügyeleti ellenőrzési tevékenységét.

Az auditot kétévente meg kell ismételni.

 

A NIS2 megfelelés életciklusa