Részletesen a NIS2 megfelelésről
2023 május 23-án lépett hatályba a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, amelynek alapja az EU által 2022 december 27-én kihirdetett ún. NIS2 irányelv. Az irányelvet – egyelőre részlegesen – implementáló jogszabály célja a vállalatok informatikai biztonsági megfelelésének előírása, illetve az azt tanúsító, valamint ellenőrző hatósági rendszer kialakítása. Az irányelv teljes implementációját 2024 október 17-ig kell végrehajtaniuk a tagállamoknak.
Kiket érint a NIS2?
A NIS2 előírásainak a jogszabály által meghatározott az alábbiakban részletezett kiemelt ágazatokban működő közép- és nagyvállalkozásoknak (legalább 50 fő vagy nettó 10 millió EUR-t meghaladó éves árbevétel) kell megfelelni.
Kiemelten kockázatos ágazatok:
- Energetika (villamos energia, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
- Közlekedés (légi, vasúti, vízi és tömegközlekedés)
- Egészségügy
- Ivóvíz, szennyvíz (víziközmű)
- Hírközlési szolgáltatás (elektronikus hírközlési szolgáltató, adatkicserélő szolgáltatást nyújtó)
- Digitális infrastruktúra (felhőszolgáltató, adatközpont szolgáltató, legfelső szintű domainnév nyilvántartó, DNS szolgáltató, tartalomszolgáltató hálózat szolgáltató)
- Kihelyezett infókommunikációs technológiai szolgáltatások
- Űralapú szolgáltatás nyújtását támogató földi infrastruktúra
Kockázatos ágazatok:
- Postai és futárszolgálatok
- Élelmiszer előállítása, feldolgozása, forgalmazása
- Hulladékgazdálkodás
- Vegyszerek előállítása és forgalmazása
- Gyártás: orvostechnikai és diagnosztikai eszközök; számítógépek; elektronikai, optikai termékek; villamos berendezések; máshova nem sorolt gépek és berendezések; gépjárművek, pótkocsik és félpótkocsik; egyéb szállítóeszközök; cement-, mész-, gipszgyártás
- Digitális szolgáltatók (online piactér, keresőszolgáltató, közösségi média, domainnév regisztrációt végző szolgáltató)
- Kutatás
Mérettől függetlenül alkalmazandó a NIS2 a következő vállalkozások esetében:
- Elektronikus hírközlési szolgáltató
- Bizalmi szolgáltató
- DNS-szolgáltatást nyújtó szolgáltató
- Legfelső szintű domainnév-nyilvántartó
- Domainnév-regisztrációt végző szolgáltató
A jogszabály előírása alapján az érintett szervezetek kötelesek előírni a NIS2 megfelelést valamennyi releváns IT beszállítójuk (szoftverfejlesztők, SAS szolgáltatók, üzemeltetők stb.) számára.
Alapvető követelmények
- Regisztrációs és bejelentkezési kötelezettség a kiberbiztonsági hatóság felé
- Az információs rendszerek biztonságáért felelős (IBF) személy szerepének és felelősségi körének meghatározása
- Az elektronikus információs rendszerek védelmi intézkedéseinek alkalmazása, a felhasználókra vonatkozó szabályok meghatározása
- Információbiztonsági képzés
Biztonsági osztályba sorolás
Az érintett elektronikus információs rendszereket 2024 június 30-ig „alap”, „jelentős” és „magas” biztonsági osztályba kell sorolni, a kezelt adatok bizalmasságának, sértetlenségének, rendelkezésre állásának követelményeinek súlyozása a funkciókra tekintettel. A biztonsági osztályba sorolást a kezelt adatok és az adott rendszer funkciói határozzák meg. A besorolást a szervezet vezetője hagyja jóvá és hatáselemzés alapján kell elvégezni. A megfelelő osztályba sorolás fontos a későbbi költségek és potenciális bírság elkerülése miatt és ennek megfelelően az érintett vállalkozásoknak regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH).
Szükséges biztonsági intézkedések
A biztonsági osztályba soroláshoz illeszkedve, az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról. A jogszabály előírása szerint mindez magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti a tárolt, továbbított vagy feldolgozott adatok, információk, vagy az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.
Ennek a védelemnek ki kell terjednie:
- az információbiztonsági irányítás rendszerére,
- az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
- a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
- a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
- az üzletmenet folytonosság biztosítására és
- az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.
A védelmi intézkedések értékelése
A fenti védelmi intézkedések értékelését jogszabályban előírtak szerint összesen 914 szempont szerint kell elvégezni 19 témakörben (programmenedzsmenttől a konfigurációkezelésen át, az ellátási lánc kockázatkezeléséig). Ezekből a szempontokból az „alap” biztonsági osztályban is legalább 164-et, a „jelentős”-ben 302-őt, míg a „magas”-ban 385-öt kell teljesíteni.
A védelmi intézkedések értékelése egy GAP analízis keretében történik, amely megmutatja az eltéréseket a szervezet által jelenleg alkalmazott védelmi intézkedések és a NIS2 előírások között.
Az eltérések azonosítása után kockázatelemzéssel határozható meg, hogy az előírásoktól eltérő, helyettesítő védelmi intézkedések megfelelők-e az adott biztonsági szinthez, illetve egyáltalán melyek azok az előírt intézkedések, amelyek helyett más intézkedések költséghatékonyabban alkalmazhatók.
A kötelező kockázatelemzés további céljai:
- Fenyegetések és sérülékenységek azonosítása
- Bekövetkezési valószínűség és káros hatás meghatározása
- Eredő kockázatok azonosítása
- Kockázat kezelés (kockázat elkerülés-, csökkentés-, áthárítás-, felvállalás)
A védelmi intézkedések körében a vállalkozásoknak rendszeres kiberbiztonsági képzést kell tartaniuk a munkatársak részére.
Audit
Az érintett szervezeteknek az elektronikus információs rendszereinek NIS2 megfelelőségét 2024 december 31-ig auditáltatniuk kell az SZTFH által nyilvántartásba vett, akkreditált auditorral. Fontos kiemelni, hogy a védelmi intézkedéseket már 2024 október 18-tól alkalmazni kell, és az auditorral az auditra vonatkozó szerződést meg kell kötni 2024 december 31-ig, amikortól is a hatóság megkezdi a – vélhetően még korlátozott – felügyeleti ellenőrzési tevékenységét.
Az auditot kétévente meg kell ismételni.