Hol tartanak a magyar cégek? A Vezető Informatikusok Szövetsége minikonferenciát szervezett a teendőkről.

Idén január elsejétől jelentkezhetnek be a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) azok a magyarországi szervezetek, melyekre vonatkozik a NIS2 direktíva. A felkészülést segítendő a Vezető Informatikusok Szövetsége konferenciát szervezett tagvállalatainak. A rendezvény szakmai részét dr. Bencsik Balázs előadása nyitotta. A Szabályozott Tevlékenységek Felügyeleti Hatósága kiberbiztonsági igazgatója röviden bemutatta a NIS2 hátterét.

Mint mondta, a korábbi szabályozás már nem felelt meg a kor követelményeinek. Ebből azonban az is következik, hogy a NIS2 alapjaiban más, mint az elődje. Ilyen változás például, hogy általános jellegű: nemcsak a kritikus infrastruktúrák üzemeltetőire vonatkozik, hanem olyan ágazatokra is, melyekre korábban nem estek ilyen jellegű szabályozás hatálya alá (pl. futár- és postaszolgáltatások, vegyipar, élelmiszeripar, hulladékgazdálkodás, kutatóhelyek...). Az SZTFH előzetes vizsgálata szerint Magyarországon mintegy 2500 élő céget érinthet a szabályozás, amely így a hazai IT-piacra is jelentős hatást gyakorol. A megfelelőséget ugyanis ki kell alakítani (megoldásszállítók) és ellenőrizni is kell (auditorok).

Mint Bencsik mondta, a NIS2 számos eleme már átkerült a magyar törvényekbe, de vannak olyan kritériumok, melyek adaptálása hosszabb időt igényel. Ilyen például az EU-s direktíva azon kitétele, hogy a felügyelő hatóság azokat a cégvezetők akár fel is függesztheti, akik nem felelnek meg a NIS2 által előírt vezetői kritériumoknak.

Kiberbiztonságban nem hoz radikálisan újat a direktíva: a NIS2 csupán keretezi, összefoglalja az ezekkel kapcsolatos jó gyakorlatokat, mondta az SZTFH igazgatója. Azaz egy vállalatnak továbbra is képesnek kell kockázatot elemezni, informatikai rendszereit besorolni kockázati osztályokba, valamint a kockázatokat kezelni.

Az azonban újdonság, hogy sokkal szigorúbb követelményeket fogalmaz meg – a cégvezetők feladataival kapcsolatban is. Az ő felelősségük például, hogy az alkalmazottak rendszeres képzést kapjanak biztonságtudatosságuk javítása érdekében.

Jön az auditorok fénykora?

Bencsik hangsúlyozta, az SZTFH nyilvánvalóan nem képes rendszeresen ellenőrizni 2500 céget. Ezért létrehoztak egy auditorhálózatot: a hatóság által elírt követelményeket teljesítő auditorok végezhetik el a kétévente kötelező feladatot. A hatóság azonban ettől függetlenül végez majd szúrópróbaszerű ellenőrzéseket. Mivel itt egy GDPR-szintű, átfogó szabályozásról van szó, a bírság mértéke is hasonlóan jelentős lehet a NIS2 megsértése esetén.

Újdonság a direktívában, hogy a szervezeteknek három követelménycsoport (sikertelen bejelentkezési kísérlet, eszközök zárolása, munkaszakasz megszakítása/megszakítási üzenet) esetében kell elvégezni a kockázati besorolást, amely a korábbi ötfokozatú helyett háromfokozatú lesz (alap, jelentős, magas).

A NIS2 a biztonsági incidenskezelésre szigorú határidőket vezet be. A korai előrejelzésre (ez lényegében az incidensdetektálás) 24 órája van a szervezetnek, ennyi időn belül kell jelenteni a Nemzeti Kibervédelmi Intézetnek, ha kibervédelmi incidens történt. 72 órán belül a súlyosságát is értékelni kell, feltárni a kiváltó okot, azonosítani, hogy az incidens határon átnyúló-e. Részletes kivizsgálására a direktíva 30 napot ad. Bencsik szerint ezt a legtöbb érintett szervezet nem tudja önerőből megoldani: külső szakértőket, tanácsadókat kell majd igénybe vennie.

Már lehet regisztrálni

A NIS2 bevezetése már elkezdődött, január elsejétől kérhetik a cégek a nyilvántartásba vételüket az SZTFH-nál. Ennek végső határideje június 30. A kötelezettségüket elmulasztókra 150 millió forintos bírság szabható ki. Október 18-ától – ekkor lép életbe a NIS2 – kell alkalmazni a védelmi intézkedéseket, és addig kell megfizetni a felügyeleti díjat. Az első kiberbiztonsági auditra december 31-éig kell szerződést kötni az auditorra, és további egy év van az első audit lefolytatására. Az auditori jelentést a cégnek és az auditornak is meg kell küldenie az SZTFH számára.

Ezzel Bencsik szerint a magyar szabályozási környezet kialakítása jól áll. De a felkészülés nem egyszerű: ez nem dokumentumalapú megfelelés (mint pl. a GDPR). Technikai, folyamatbeli teendői is vannak-lesznek az érintett cégeknek, hívta fel a figyelmet.

A folyamat az önminősítéssel kezdődik, a szervezet tevékenysége és mérete alapján dönti el, hogy a NIS2 hatálya alá tartozik-e (a mikro- és kisvállalkozásokat 50 fő alatt kizárták a kötelezettek köréből). Ha igen, ezt ügyfélkapun keresztül bejelenti a hatóságnak. Ki kell jelölni a NIS2-ért felelős személyt, aki a hatósággal is tartja a kapcsolatot. Arra vonatkozóan nincs követelmény, hogy ki láthatja el ezt a felkadatot.

A hatóság rendelkezésére kell bocsátani több technikai információt is: a cég által használt domainneveket, a nyilvános szolgáltatásokat (pl. telefonos ügyfélszolgálat, weboldal), valamint a céghez tartozó fix IP-ket. Információkat kell adni a partnerekről: meg kell nevezni az elektronikus hírközlési szolgáltatót (pl. internetszolgáltató), a közvetítő szolgáltatást biztosító partnereket (keresőszolgáltatás, alkalmazásszolgáltató stb.), valamint a közreműködőket (pl. az IT-rendszerek üzemeltetője).

Megkezdődött az implementálás

Az előadáshoz kapcsolódóan Marsi Tamás (Nemzeti Kibervédelmi Intézet) a magyar szabályozás várható változásait is bemutatta. Mint mondta a törvények sorát kell módosítani a NIS2 implementálásához. Megújul többek között az információbiztonsági törvény (2013-tól van hatályban), a létfontosságú rendszerek és létesítmények azonosítását és biztonságát szabályozó törvény (2012-től van hatályban). Ezekben új fogalmakat (pl. kiemelt kritikus és egyéb kritikus szervezetek, incidens) kell bevezetni.

Jelenleg négy hatóság is foglalkozik kibervédelemmel: az SZTFH a NIS2-ért, a Nemzeti Kibervédelmi Intézet a NIS2-ért és a kritikus szervezetekért, a Magyar Nemzeti Bank pedig a DORA-ért felel, továbbá a honvédelmi ágazatnak is van önálló szerve. Marsi szerint ez bővülni fog. Ugyanakkor a hatóságok közötti átjárás egyszerűbb lesz, mert az új szabályozás az összes érintett hatóság bevonásával készült.

Biztonság

Önvezető kamionoknak szánt úthálózatot tervez Japán

A szigetország kormánya egy sor digitális fejlesztés mellett az autonóm járművekkel végzett áruszállítást is szeretné mihamarabb bevezetni.
 
Hirdetés

Adathelyreállítás pillanatok alatt

A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.

A válasz egyszerű: arról függ, hogy hol, hogyan és milyen szabályozásoknak és üzleti elvárásoknak megfelelően tároljuk az információt. A lényeg azonban a részletekben rejlik.

a melléklet támogatója az EURO ONE Számítástechnikai Zrt.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.