Oldalunkon sütiket (cookie) használunk, amelyekről adatkezelési tájékoztatónkban olvashat.
Részletek Rendben
     
    Ezek a kezdő lépések a NIS2-kompatibilis céggé válásban
    Bitport2024.03.11.Biztonság
    Hogyan kezdje meg a felkészülést a NIS2-re egy szervezet? Milyen teendőkkel, költségekkel kell számolnia, és milyen kérdéseket kell megválaszolnia? NIS2-ről szóló összeállításunk második része.

    A tavaly elfogadott Kibertan.tv a piaci szereplőkkel szembeni keretszabályokat tartalmazza (ezekről összeállításunk előző cikkében írtunk). Bár még nem készült el (vagy nem végleges) az összes végrehajtási rendelet, abban szinte minden érintett egyetért: ha egy szervezet nem kezdi meg a felkészülést, nem fogja tudni tartani az előírt határidőket. A Bitport által megkérdezett szakértők szerint egyébként a fontosabb lépések kiolvashatók a Kibertan.tv.-ből.

    A felkészülés tehát elkezdhető, már csak azért is, mert – ahogy azt a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) munkatársai a NIS2-témájú rendezvényeken rendre hangsúlyozzák – a kiberbiztonsági szakembernek az új EU-s direktíva nem jelent újdonságot. Elsődleges célját, hogy általánosan magasabb szintre emelje az Unióban a kiberbiztonságot, úgy kívánja elérni, hogy rendszerbe foglalja azokat a feladatokat, melyeket eddig is el kellett (volna) végeznie minden szervezetnek. Új képességet azonban nem kíván: kell tudni kockázatot elemezni, az információs rendszereket kockázati osztályokba sorolni, valamint kockázatokat kezelni. A "hogyan"-ban azonban van némi újdonság: az érintett szervezetektől a biztonság holisztikusabb megközelítését várja el.

    Amint azzal több cikkünkben is foglalkoztunk, a teendők menetrendje ismert. A szervezetek 2024 január elsejétől kérelmezhetik nyilvántartásba vételüket a magyarorszag.hu-n (az oldal elérhető az SZTFH oldaláról is, ahol hasznos segédleteket is találnak az érintettek). A kérelmet kizárólag elektronikus úton, cégkapun vagy hivatali kapun keresztül lehet benyújtani.

    1. lépés: Kell egy jó ember

    A nyilvántartásba vételig azonban van még néhány előzetes lépés. Először is tájékoztatni kell a teendőkről a cégvezetőt. Többségük – még ha fontos területnek tekinti is a kiberbiztonságot – nem IT-biztonsági szakember, ám a Kibertan.tv szerint az első számú vezető felelőssége, hogy azonosítsa: szervezete a törvény hatálya alá esik-e (ehhez a Kibertan.tv összeállításunk előző részében ismertetett 1. és 2. melléklete ad támpontokat), és hogy megfelel-e a törvény előírásainak. Ezt a felelősségét nem ruházhatja át.

    Célszerű, ha a tájékoztatást a kiberbiztonsági vezető vagy az informatikai igazgató vállalja magára, mert ők azonnal tudnak olyan kérdésekre is válaszolni, hogy milyen rendszerek érintettek (eleve: milyen rendszerei vannak a szervezetnek), milyen feladatot milyen határidővel kell (és lehet) elvégezni, szükség lesz-e külső tanácsadóra, milyen költségekkel kell számolni (felügyeleti díj, szükséges fejlesztések, tanácsadó, audit, bírságtételek stb.).

    A tájékoztatás legyen minél teljesebb körű, hiszen a vezetőnek az alapján kell meghoznia több fontos döntést: ki kell neveznie a biztonságért felelős személyt, ha szükséges, módosítania kell a szervezeti szabályozásokat. De ő felel azért is, hogy az alkalmazottak rendszeresen oktatásokon vegyenek részt, hogy biztonságtudatosságuk kellően magas szinten maradjon (pl. szimulációs kiberbiztonsági gyakorlatok révén). Emellett neki kell megrendelnie a kiberbiztonsági auditot is.

    De mindezek előtt ki kell jelölnie az elektronikus információs rendszerek biztonságáért felelős személyt. Elvben bárkit, akár külső személyt is kinevezhet a feladatra, a Kibertan.tv nem határoz meg erre vonatkozóan előírást. A felelős feladatait és felelősségi körét szintén az első számú vezető határozza meg.

    Bár a törvény nagy mozgásteret hagy a vezetőknek, néhány szempontot érdemes megfontolniuk. Először is: speciális szakterületről van szó, azaz problémamentesebb, ha a szerepkört olyan emberre osztják, aki mélyebben ismeri a vállalat által használt rendszereket, valamint azok biztonsági aspektusait. Fontos kritérium a megbízhatóság és elszámoltathatóság, mert szerepköréből adódóan hozzáfér érzékeny szervezeti adatokhoz. Fontos a kommunikációs készség is, hiszen ő tartja a kapcsolatot az auditorokkal és a felügyelő hatósággal.

    A feladatot elláthatja külső szolgáltató, ám ebben az esetben is érdemes a szerződésben nevesíteni, hogy a szolgáltatónál személy szerint ki látja el feladatot. A felelős személy azonosító adatait fel kell tüntetni a nyilvántartásba vételi kérelemben, hívja fel a figyelmet a hatóság egyik tájékoztató anyaga (PDF).

    2. lépés: Kellenek adatok

    Miután a felelős megkapta a feladatkörét, hozzáláthat a nyilvántartásba vételhez szükséges adatok összegyűjtéséhez. Szükség lesz műszaki-, szolgáltatási- és partneradatokra egyaránt. A műszaki adatok köre meglehetősen szűk: meg kell adni az információs rendszerek azon adatait, amelyek a külső környezet felé vezetnek: a használt publikus IP-címeket (egyedi IP-cím, IP-tartomány, alhálózat), valamint a szervezet nevére bejegyzett domaineket.

    Össze kell állítani azoknak a publikus szolgáltatásoknak a listáját, melyeket a szervezet információs rendszerei segítségével nyújt. Ilyen például a nyilvánosan elérhető weboldal, az online ügyfélszolgálat, ügyfélportál vagy akár a telefonos ügyfélszolgálat.

    A partneradatokat (név, adószám, cégjegyzékszám) szintén meg kell adni. A törvény három típust különböztet meg: elektronikus hírközlési szolgáltató, közvetítő szolgáltató, közreműködő.

    Az elektronikus hírközlési szolgáltatás körébe tartozik pl. a szervezet internetszolgáltatója, mobilszolgáltatók, de az M2M (machine-to-machine) kommunikációs szolgáltatást nyújt partner is. (A mérvadó itt az elektronikus hírközlésről szóló törvény 188. § 17. pontjának meghatározása.) A közvetítő szolgáltatók meghatározásánál az elektronikus kereskedelemről szóló törvény 2. § 1. pontját kell figyelembe venni. Ebbe a kategóriába tartoznak például a tárhelyszolgáltatók, a keresőszolgáltatások, az alkalmazásszolgáltatások vagy a videómegosztó platformok.

    A közreműködök körét pedig a Kibertantv. 19. § (4) bekezdése szerint kell meghatározni ("az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe"). A külső fejlesztés vagy a kiszervezett üzemeltetés egyaránt ebbe a körbe tartozik.

    Ezeknek az adatoknak a birtokában már megfelelően kitölthető a nyilvántartásba vételhez szükséges űrlap.

    Egy későbbi, de szintén fontos lépés lesz az információs rendszerek biztonsági osztályokba sorolása (egy később megjelenő miniszteri rendelet alapján) alap, jelentős és magas kockázati kategóriába. A besorolást körültekintően kell elvégezni, mert hosszabb távon meghatározza az alkalmazandó kontrollok, ezáltal az elvégzendő feladatok mennyiségét.

    És kell némi pénzforrás is

    A szervezetek egy része valószínűleg kellemetlen költségnövekedésként éli meg a NIS2-vel kapcsolatos kötelezettségeit. Vannak ugyanis olyan tételek, melyeket a Kibertan.tv. hatálya alá tartozó cégek nem tudnak megspórolni.

    A legegyszerűbben az SZFTH-nak október 18-tól megfizetendő, éves felügyeleti díjat lehet kalkulálni. Az ugyanis az érintett szervezet előző üzleti évének nettó árbevétele alapján számolódik: annak maximum 0,015 százaléka, de legfeljebb 10 millió forint lehet. A részletszabályok a későbbiekben, SZTFH-rendelet formájában kerülnek meghatározásra. Vállalatcsoportoknál ("egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő érintett szervezetek") a díj együttes mértéke nem haladhatja meg az 50 millió forintot.

    Az auditori díjról a felek egyedileg állapodnak meg, de függ többek között az auditor kiegészítő szolgáltatásitól és az auditálandó rendszerek méretétől, bonyolultságától. Az audit legmagasabb díjáról iránymutatást központi szabályzás fog adni.

    A legnehezebben becsülhetők a felkészülés költségei. Itt ugyanis a vállalat kiberbizonsági érettségének szintjétől kezdve a szükséges szakértői, tanácsadói és alkalmazotti költségeken át az esetleges beruházásokig végképp rengeteg költségtényezővel kell (vagy lehet) számolni.

    Ezzel kapcsolatban gyakran felvetődik: érdemes-e bevonni külső (kiberbiztonsági) tanácsadót a felkészülési folyamatba? Szakértők szerint nagyon is: a kiinduló helyzet feltárását (GAP-analízis) például mindenképpen érdemes külső tanácsadókra bízni. Legfőképpen azért, mert külső nézőpontból mindig tárgyilagosabb képet lehet alkotni a fennálló helyzetről. A szervezettől független személyek által lefolytatott átvilágítást nem terhelik vagy akadályozzák a szervezet belső viszonyai, és annak is kisebb a valószínűsége, hogy a vizsgálat új feszültségeket generál.

    A fentiek mellett lesz egy folyamatos költségelem is: a felkészülés után létrehozandó Információbiztonsági Irányítási Rendszert fenn kell tartani.

    Bizonyára lesznek szervezetek, melyek a fent vázolt lépések elé beiktatnak egy nulladikat, és elvégeznek egy költség-haszon elemzést, hogy kiderüljön: a kiberbiztonsági megfelelés magasabb szintjére felkészülni olcsóbb vagy a büntetéseket kifizetni (kiemelten kockázatos ágazatokban max. 10 milló euró, de legfeljebb az éves árbevétel 2 százaléka).

    Utóbbi út választásától mindenkit óva intenénk – és nem csak amiatt, mert kirívó esetekben a SZTFH más hatóságokkal közösen fellépve akár el is tilthat adott tevékenységtől egy szervezetet. A NIS2 nem a NIS2 miatt fontos: a biztonság közös ügyünk. A digitalizáció egyre magasabb foka, az ellátási láncok (informatikai értelemben is) szoros integrációja miatt mind súlyosabb és kiterjedtebb következményei vannak a kiberbiztonsági incidenseknek. A védelmet elhanyagoló szervezetek pedig nem csupán saját, hanem partnereik és ügyfeleik biztonságát is veszélyeztetik.

    Ez a cikk független szerkesztőségi tartalom, mely a RelNet Technológia Kft. támogatásával készült. Részletek »

     

    Ennyi nem elég? Iratkozzon fel hírlevelünkre!
    Biztonság

    A Tesla bármelyik másik márkánál több halálos balesetben érintett

    Az elmúlt években gyártott járműveket vizsgálva kiderült, hogy az amerikai utakon a Teslák az átlagosnál kétszer gyakrabban szerepelnek végzetes ütközésekben a megtett mérföldek arányában.
     

    Újra elmondjuk, másként: az MI veszélyes és veszélyeztetett állat

    Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

    Régen minden jobb volt? A VMware licencelési változásai

    Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

    Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

    "EU-kapcsolatok nélkül nem tudom elképzelni a BME modellváltását"

    Az IT-projektmenedzsment új varázsszava: proof of concept

    Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

    Sok hazai cégnek kell szorosra zárni a kiberkaput

    Impresszum

    Médiaajánlat

    Adatkezelés
    Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
    © 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.