A tavaly elfogadott Kibertan.tv a piaci szereplőkkel szembeni keretszabályokat tartalmazza (ezekről összeállításunk előző cikkében írtunk). Bár még nem készült el (vagy nem végleges) az összes végrehajtási rendelet, abban szinte minden érintett egyetért: ha egy szervezet nem kezdi meg a felkészülést, nem fogja tudni tartani az előírt határidőket. A Bitport által megkérdezett szakértők szerint egyébként a fontosabb lépések kiolvashatók a Kibertan.tv.-ből.

A felkészülés tehát elkezdhető, már csak azért is, mert – ahogy azt a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) munkatársai a NIS2-témájú rendezvényeken rendre hangsúlyozzák – a kiberbiztonsági szakembernek az új EU-s direktíva nem jelent újdonságot. Elsődleges célját, hogy általánosan magasabb szintre emelje az Unióban a kiberbiztonságot, úgy kívánja elérni, hogy rendszerbe foglalja azokat a feladatokat, melyeket eddig is el kellett (volna) végeznie minden szervezetnek. Új képességet azonban nem kíván: kell tudni kockázatot elemezni, az információs rendszereket kockázati osztályokba sorolni, valamint kockázatokat kezelni. A "hogyan"-ban azonban van némi újdonság: az érintett szervezetektől a biztonság holisztikusabb megközelítését várja el.

Amint azzal több cikkünkben is foglalkoztunk, a teendők menetrendje ismert. A szervezetek 2024 január elsejétől kérelmezhetik nyilvántartásba vételüket a magyarorszag.hu-n (az oldal elérhető az SZTFH oldaláról is, ahol hasznos segédleteket is találnak az érintettek). A kérelmet kizárólag elektronikus úton, cégkapun vagy hivatali kapun keresztül lehet benyújtani.

1. lépés: Kell egy jó ember

A nyilvántartásba vételig azonban van még néhány előzetes lépés. Először is tájékoztatni kell a teendőkről a cégvezetőt. Többségük – még ha fontos területnek tekinti is a kiberbiztonságot – nem IT-biztonsági szakember, ám a Kibertan.tv szerint az első számú vezető felelőssége, hogy azonosítsa: szervezete a törvény hatálya alá esik-e (ehhez a Kibertan.tv összeállításunk előző részében ismertetett 1. és 2. melléklete ad támpontokat), és hogy megfelel-e a törvény előírásainak. Ezt a felelősségét nem ruházhatja át.

Célszerű, ha a tájékoztatást a kiberbiztonsági vezető vagy az informatikai igazgató vállalja magára, mert ők azonnal tudnak olyan kérdésekre is válaszolni, hogy milyen rendszerek érintettek (eleve: milyen rendszerei vannak a szervezetnek), milyen feladatot milyen határidővel kell (és lehet) elvégezni, szükség lesz-e külső tanácsadóra, milyen költségekkel kell számolni (felügyeleti díj, szükséges fejlesztések, tanácsadó, audit, bírságtételek stb.).

A tájékoztatás legyen minél teljesebb körű, hiszen a vezetőnek az alapján kell meghoznia több fontos döntést: ki kell neveznie a biztonságért felelős személyt, ha szükséges, módosítania kell a szervezeti szabályozásokat. De ő felel azért is, hogy az alkalmazottak rendszeresen oktatásokon vegyenek részt, hogy biztonságtudatosságuk kellően magas szinten maradjon (pl. szimulációs kiberbiztonsági gyakorlatok révén). Emellett neki kell megrendelnie a kiberbiztonsági auditot is.

De mindezek előtt ki kell jelölnie az elektronikus információs rendszerek biztonságáért felelős személyt. Elvben bárkit, akár külső személyt is kinevezhet a feladatra, a Kibertan.tv nem határoz meg erre vonatkozóan előírást. A felelős feladatait és felelősségi körét szintén az első számú vezető határozza meg.

Bár a törvény nagy mozgásteret hagy a vezetőknek, néhány szempontot érdemes megfontolniuk. Először is: speciális szakterületről van szó, azaz problémamentesebb, ha a szerepkört olyan emberre osztják, aki mélyebben ismeri a vállalat által használt rendszereket, valamint azok biztonsági aspektusait. Fontos kritérium a megbízhatóság és elszámoltathatóság, mert szerepköréből adódóan hozzáfér érzékeny szervezeti adatokhoz. Fontos a kommunikációs készség is, hiszen ő tartja a kapcsolatot az auditorokkal és a felügyelő hatósággal.

A feladatot elláthatja külső szolgáltató, ám ebben az esetben is érdemes a szerződésben nevesíteni, hogy a szolgáltatónál személy szerint ki látja el feladatot. A felelős személy azonosító adatait fel kell tüntetni a nyilvántartásba vételi kérelemben, hívja fel a figyelmet a hatóság egyik tájékoztató anyaga (PDF).

2. lépés: Kellenek adatok

Miután a felelős megkapta a feladatkörét, hozzáláthat a nyilvántartásba vételhez szükséges adatok összegyűjtéséhez. Szükség lesz műszaki-, szolgáltatási- és partneradatokra egyaránt. A műszaki adatok köre meglehetősen szűk: meg kell adni az információs rendszerek azon adatait, amelyek a külső környezet felé vezetnek: a használt publikus IP-címeket (egyedi IP-cím, IP-tartomány, alhálózat), valamint a szervezet nevére bejegyzett domaineket.

Össze kell állítani azoknak a publikus szolgáltatásoknak a listáját, melyeket a szervezet információs rendszerei segítségével nyújt. Ilyen például a nyilvánosan elérhető weboldal, az online ügyfélszolgálat, ügyfélportál vagy akár a telefonos ügyfélszolgálat.

A partneradatokat (név, adószám, cégjegyzékszám) szintén meg kell adni. A törvény három típust különböztet meg: elektronikus hírközlési szolgáltató, közvetítő szolgáltató, közreműködő.

Az elektronikus hírközlési szolgáltatás körébe tartozik pl. a szervezet internetszolgáltatója, mobilszolgáltatók, de az M2M (machine-to-machine) kommunikációs szolgáltatást nyújt partner is. (A mérvadó itt az elektronikus hírközlésről szóló törvény 188. § 17. pontjának meghatározása.) A közvetítő szolgáltatók meghatározásánál az elektronikus kereskedelemről szóló törvény 2. § 1. pontját kell figyelembe venni. Ebbe a kategóriába tartoznak például a tárhelyszolgáltatók, a keresőszolgáltatások, az alkalmazásszolgáltatások vagy a videómegosztó platformok.

A közreműködök körét pedig a Kibertantv. 19. § (4) bekezdése szerint kell meghatározni ("az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe"). A külső fejlesztés vagy a kiszervezett üzemeltetés egyaránt ebbe a körbe tartozik.

Ezeknek az adatoknak a birtokában már megfelelően kitölthető a nyilvántartásba vételhez szükséges űrlap.

Egy későbbi, de szintén fontos lépés lesz az információs rendszerek biztonsági osztályokba sorolása (egy később megjelenő miniszteri rendelet alapján) alap, jelentős és magas kockázati kategóriába. A besorolást körültekintően kell elvégezni, mert hosszabb távon meghatározza az alkalmazandó kontrollok, ezáltal az elvégzendő feladatok mennyiségét.

És kell némi pénzforrás is

A szervezetek egy része valószínűleg kellemetlen költségnövekedésként éli meg a NIS2-vel kapcsolatos kötelezettségeit. Vannak ugyanis olyan tételek, melyeket a Kibertan.tv. hatálya alá tartozó cégek nem tudnak megspórolni.

A legegyszerűbben az SZFTH-nak október 18-tól megfizetendő, éves felügyeleti díjat lehet kalkulálni. Az ugyanis az érintett szervezet előző üzleti évének nettó árbevétele alapján számolódik: annak maximum 0,015 százaléka, de legfeljebb 10 millió forint lehet. A részletszabályok a későbbiekben, SZTFH-rendelet formájában kerülnek meghatározásra. Vállalatcsoportoknál ("egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő érintett szervezetek") a díj együttes mértéke nem haladhatja meg az 50 millió forintot.

Az auditori díjról a felek egyedileg állapodnak meg, de függ többek között az auditor kiegészítő szolgáltatásitól és az auditálandó rendszerek méretétől, bonyolultságától. Az audit legmagasabb díjáról iránymutatást központi szabályzás fog adni.

A legnehezebben becsülhetők a felkészülés költségei. Itt ugyanis a vállalat kiberbizonsági érettségének szintjétől kezdve a szükséges szakértői, tanácsadói és alkalmazotti költségeken át az esetleges beruházásokig végképp rengeteg költségtényezővel kell (vagy lehet) számolni.

Ezzel kapcsolatban gyakran felvetődik: érdemes-e bevonni külső (kiberbiztonsági) tanácsadót a felkészülési folyamatba? Szakértők szerint nagyon is: a kiinduló helyzet feltárását (GAP-analízis) például mindenképpen érdemes külső tanácsadókra bízni. Legfőképpen azért, mert külső nézőpontból mindig tárgyilagosabb képet lehet alkotni a fennálló helyzetről. A szervezettől független személyek által lefolytatott átvilágítást nem terhelik vagy akadályozzák a szervezet belső viszonyai, és annak is kisebb a valószínűsége, hogy a vizsgálat új feszültségeket generál.

A fentiek mellett lesz egy folyamatos költségelem is: a felkészülés után létrehozandó Információbiztonsági Irányítási Rendszert fenn kell tartani.

Bizonyára lesznek szervezetek, melyek a fent vázolt lépések elé beiktatnak egy nulladikat, és elvégeznek egy költség-haszon elemzést, hogy kiderüljön: a kiberbiztonsági megfelelés magasabb szintjére felkészülni olcsóbb vagy a büntetéseket kifizetni (kiemelten kockázatos ágazatokban max. 10 milló euró, de legfeljebb az éves árbevétel 2 százaléka).

Utóbbi út választásától mindenkit óva intenénk – és nem csak amiatt, mert kirívó esetekben a SZTFH más hatóságokkal közösen fellépve akár el is tilthat adott tevékenységtől egy szervezetet. A NIS2 nem a NIS2 miatt fontos: a biztonság közös ügyünk. A digitalizáció egyre magasabb foka, az ellátási láncok (informatikai értelemben is) szoros integrációja miatt mind súlyosabb és kiterjedtebb következményei vannak a kiberbiztonsági incidenseknek. A védelmet elhanyagoló szervezetek pedig nem csupán saját, hanem partnereik és ügyfeleik biztonságát is veszélyeztetik.

Ez a cikk független szerkesztőségi tartalom, mely a RelNet Technológia Kft. támogatásával készült. Részletek »