Áprilisi, Invitechhel közösen tartott rendezvényünkön, több mint 170 regisztrált szakember részvételével zajlott a NIS2 Szakmai Nap, ahol kiderült, hogy a megfelelés komoly terhet ró az egész piacra. Az érintett cégekre, tanácsadókra, kiberbiztonsági megoldásszállítókra, de még a szabályzói oldalra is várnak feladatok. Az eseményen tisztáztuk a már ismert, 2025 végéig szóló határidőket; cikkünk ezúttal ezt a témát járja körül.

Az érintettek köre
A szabályozás a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező minden olyan vállalatra és szervezetre vonatkozik, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót lát el.

Ezek közé a kritikus ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett IKT-szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, -feldolgozás és -forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és -forgalmazás, valamint a digitális szolgáltatás.

Még nincs (túl) késő

Jelenleg is zajlik a folyamat első lépése, mely a felügyeleti szervnek, a Szabályozott Tevékenységek Felügyeleti Hatóságának ugyanúgy feladatokat jelent, mint az érintetteknek. Az SZTFH-nál 2024 első felében a szabályozás alá vont szervezetek és az auditorok nyilvántartásba vételén dolgoznak. Előbbiek – mintegy 2600 vállalat – saját maguk felelősek azért, hogy megállapítsák: a rendelet hatálya alá tartoznak-e.

Az önazosítást követően június 30-ig kell bejelentkezni a nyilvántartásba vételre. Ez a dátum kizárólag azon szervezetekre vonatkozik, melyek 2024. január 1. előtt kezdték tevékenységüket. A dátumot követően érintetté váltak körének a Kibertan.tv. 26. § (2) bekezdés szerinti 30 napos határidő áll rendelkezésére.

A nyilvántartásba vétel egyik feltétele szerint az érintett szervezetnek rendelkeznie kell elektronikus információs rendszerek biztonságáért felelős szakemberrel. Az IBF személye csak bizonyos előfeltételek megléte (például megfelelő minősítés birtoklása) esetén jelölhető ki. Az ő feladata a szervezet elektronikus információs rendszerei biztonsági osztályba sorolásának és a szervezet biztonsági szintbe történő besorolásának előkészítése.

Október 18-a a következő mérföldkő. Ettől a pénteki naptól kezdve az SZTFH gyakorolja felügyeleti és ellenőrzési feladatkörét, a vállalatoknak pedig már nemcsak szabályzati szinten kell foglalkozniuk a védelmi intézkedésekkel, hanem azok bevezetéséről is gondoskodniuk kell (a felügyeleti díj megfizetésével egyetemben, melynek összege az SZTFH oldala szerint jelenleg szabályozás alatt áll).

Messze még az év vége

A fentiek sikeres elvégzésével, adaptálásával azonban nem lehet még hátradőlni. 2024. december 31-ig auditort kell választania az érintett szervezeteknek, illetve szerződést kell kötniük a feleknek. Az első audit elvégzésére a szabályozás időben nagy teret biztosít: arra 2025. december 31-e előtt kell sort keríteni.

Az audit maga két részből áll. Az első lépés egy adminisztrációs ellenőrzés, melynek során az auditor meggyőződik arról, hogy minden előírt szabályzat és dokumentáció elkészült-e, illetve felméri a tartalmukat. Ennek során azt vizsgálja, hogy rendelkeznek-e a szükséges információkkal, deklaráltak-e a felelősségi körök, a szabályozásnak megfelelnek-e az alkalmazott folyamatok, hogy csak néhány példát említsünk.

Az elméleti részt teljesítő szervezet ezt követően behatolási teszten esik át. A penetrációs vizsgálat tulajdonképpen egy szimulált támadás a vállalat legnagyobb kitettségű és/vagy kritikus rendszereivel szemben. Ahogyan azt a valódi életben a rosszindulatú támadók teszik, az auditor megkísérel jogosulatlan hozzáférést szerezni a védett informatikai környezethez. Ennek eredményéről tájékoztatja a megbízóját; az abból levonható következtetésekkel felvértezve pedig szükség esetén tovább erősíthető a vállalat kiberbiztonsági védelme.

A teljes folyamat nem megy végbe egyik napról a másikra, a penetrációs teszt eredményéig pedig sok teendő vár a NIS2 hatálya alá tartozó cégekre. Éppen ezért érdemes nem halogatni a feladat elkezdését, hanem a lehető leghamarabb megtenni az első lépést.

Ez a cikk független szerkesztőségi tartalom, mely a Balasys IT Zrt. támogatásával készült. Részletek »