Idén január elsejétől jelentkezhetnek be a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) azok a magyarországi szervezetek, melyekre vonatkozik a NIS2 direktíva. A felkészülést segítendő a Vezető Informatikusok Szövetsége konferenciát szervezett tagvállalatainak. A rendezvény szakmai részét dr. Bencsik Balázs előadása nyitotta. A Szabályozott Tevlékenységek Felügyeleti Hatósága kiberbiztonsági igazgatója röviden bemutatta a NIS2 hátterét.

Mint mondta, a korábbi szabályozás már nem felelt meg a kor követelményeinek. Ebből azonban az is következik, hogy a NIS2 alapjaiban más, mint az elődje. Ilyen változás például, hogy általános jellegű: nemcsak a kritikus infrastruktúrák üzemeltetőire vonatkozik, hanem olyan ágazatokra is, melyekre korábban nem estek ilyen jellegű szabályozás hatálya alá (pl. futár- és postaszolgáltatások, vegyipar, élelmiszeripar, hulladékgazdálkodás, kutatóhelyek...). Az SZTFH előzetes vizsgálata szerint Magyarországon mintegy 2500 élő céget érinthet a szabályozás, amely így a hazai IT-piacra is jelentős hatást gyakorol. A megfelelőséget ugyanis ki kell alakítani (megoldásszállítók) és ellenőrizni is kell (auditorok).

Mint Bencsik mondta, a NIS2 számos eleme már átkerült a magyar törvényekbe, de vannak olyan kritériumok, melyek adaptálása hosszabb időt igényel. Ilyen például az EU-s direktíva azon kitétele, hogy a felügyelő hatóság azokat a cégvezetők akár fel is függesztheti, akik nem felelnek meg a NIS2 által előírt vezetői kritériumoknak.

Kiberbiztonságban nem hoz radikálisan újat a direktíva: a NIS2 csupán keretezi, összefoglalja az ezekkel kapcsolatos jó gyakorlatokat, mondta az SZTFH igazgatója. Azaz egy vállalatnak továbbra is képesnek kell kockázatot elemezni, informatikai rendszereit besorolni kockázati osztályokba, valamint a kockázatokat kezelni.

Az azonban újdonság, hogy sokkal szigorúbb követelményeket fogalmaz meg – a cégvezetők feladataival kapcsolatban is. Az ő felelősségük például, hogy az alkalmazottak rendszeres képzést kapjanak biztonságtudatosságuk javítása érdekében.

Jön az auditorok fénykora?

Bencsik hangsúlyozta, az SZTFH nyilvánvalóan nem képes rendszeresen ellenőrizni 2500 céget. Ezért létrehoztak egy auditorhálózatot: a hatóság által elírt követelményeket teljesítő auditorok végezhetik el a kétévente kötelező feladatot. A hatóság azonban ettől függetlenül végez majd szúrópróbaszerű ellenőrzéseket. Mivel itt egy GDPR-szintű, átfogó szabályozásról van szó, a bírság mértéke is hasonlóan jelentős lehet a NIS2 megsértése esetén.

Újdonság a direktívában, hogy a szervezeteknek három követelménycsoport (sikertelen bejelentkezési kísérlet, eszközök zárolása, munkaszakasz megszakítása/megszakítási üzenet) esetében kell elvégezni a kockázati besorolást, amely a korábbi ötfokozatú helyett háromfokozatú lesz (alap, jelentős, magas).

A NIS2 a biztonsági incidenskezelésre szigorú határidőket vezet be. A korai előrejelzésre (ez lényegében az incidensdetektálás) 24 órája van a szervezetnek, ennyi időn belül kell jelenteni a Nemzeti Kibervédelmi Intézetnek, ha kibervédelmi incidens történt. 72 órán belül a súlyosságát is értékelni kell, feltárni a kiváltó okot, azonosítani, hogy az incidens határon átnyúló-e. Részletes kivizsgálására a direktíva 30 napot ad. Bencsik szerint ezt a legtöbb érintett szervezet nem tudja önerőből megoldani: külső szakértőket, tanácsadókat kell majd igénybe vennie.

Már lehet regisztrálni

A NIS2 bevezetése már elkezdődött, január elsejétől kérhetik a cégek a nyilvántartásba vételüket az SZTFH-nál. Ennek végső határideje június 30. A kötelezettségüket elmulasztókra 150 millió forintos bírság szabható ki. Október 18-ától – ekkor lép életbe a NIS2 – kell alkalmazni a védelmi intézkedéseket, és addig kell megfizetni a felügyeleti díjat. Az első kiberbiztonsági auditra december 31-éig kell szerződést kötni az auditorra, és további egy év van az első audit lefolytatására. Az auditori jelentést a cégnek és az auditornak is meg kell küldenie az SZTFH számára.

Ezzel Bencsik szerint a magyar szabályozási környezet kialakítása jól áll. De a felkészülés nem egyszerű: ez nem dokumentumalapú megfelelés (mint pl. a GDPR). Technikai, folyamatbeli teendői is vannak-lesznek az érintett cégeknek, hívta fel a figyelmet.

A folyamat az önminősítéssel kezdődik, a szervezet tevékenysége és mérete alapján dönti el, hogy a NIS2 hatálya alá tartozik-e (a mikro- és kisvállalkozásokat 50 fő alatt kizárták a kötelezettek köréből). Ha igen, ezt ügyfélkapun keresztül bejelenti a hatóságnak. Ki kell jelölni a NIS2-ért felelős személyt, aki a hatósággal is tartja a kapcsolatot. Arra vonatkozóan nincs követelmény, hogy ki láthatja el ezt a felkadatot.

A hatóság rendelkezésére kell bocsátani több technikai információt is: a cég által használt domainneveket, a nyilvános szolgáltatásokat (pl. telefonos ügyfélszolgálat, weboldal), valamint a céghez tartozó fix IP-ket. Információkat kell adni a partnerekről: meg kell nevezni az elektronikus hírközlési szolgáltatót (pl. internetszolgáltató), a közvetítő szolgáltatást biztosító partnereket (keresőszolgáltatás, alkalmazásszolgáltató stb.), valamint a közreműködőket (pl. az IT-rendszerek üzemeltetője).

Megkezdődött az implementálás

Az előadáshoz kapcsolódóan Marsi Tamás (Nemzeti Kibervédelmi Intézet) a magyar szabályozás várható változásait is bemutatta. Mint mondta a törvények sorát kell módosítani a NIS2 implementálásához. Megújul többek között az információbiztonsági törvény (2013-tól van hatályban), a létfontosságú rendszerek és létesítmények azonosítását és biztonságát szabályozó törvény (2012-től van hatályban). Ezekben új fogalmakat (pl. kiemelt kritikus és egyéb kritikus szervezetek, incidens) kell bevezetni.

Jelenleg négy hatóság is foglalkozik kibervédelemmel: az SZTFH a NIS2-ért, a Nemzeti Kibervédelmi Intézet a NIS2-ért és a kritikus szervezetekért, a Magyar Nemzeti Bank pedig a DORA-ért felel, továbbá a honvédelmi ágazatnak is van önálló szerve. Marsi szerint ez bővülni fog. Ugyanakkor a hatóságok közötti átjárás egyszerűbb lesz, mert az új szabályozás az összes érintett hatóság bevonásával készült.