Fontos határidő közeledik a NIS2 direktíva hazai átültetésének első szakaszában. Az érintett magyar szervezeteknél, melyek június 30-ig kezdeményezték nyilvántartásba vételüket a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH), október 18-tól életbe lépnek az EU-s direktíva magyar implementációjának, a Kibertan.tv.-nek az erre vonatkozó rendeletei. A szervezeteknek e naptól kezdve kell alkalmazniuk elektronikus információs rendszereik "biztonsági osztályának megfelelő védelmi intézkedéseket", és ekkortól esedékes a felügyeleti díj megfizetése is.

A nyilvántartásba vételi kérelemben már ki kellett jelölni azt a felelőst, aki a cég elektronikus információs rendszereinek biztonságáért felel, és fel kellett tüntetni a vállalat által nyújtott nyilvános szolgáltatásokat (például ügyfélportálok, mobilalkalmazások), valamint az összes olyan szolgáltatót, amely részt vesz az elektronikus információs rendszerek üzemeltetésében.

Bár a KSH-adatok alapján az SZTFH előzetesen mintegy kétezerre becsülte az érintett szervezetek számát, Bor Olivértől, az SZTFH munkatársától megtudtuk: eddig mintegy négyezren kezdeményezték a nyilvántartásba vételüket, sőt még most is folyamatosan érkeznek kérelmek. Az SZTFH ezeket folyamatosan vizsgálja, és egy elnöki határozatban értesíti a szervezeteket a nyilvántartásba vételről vagy annak elutasításáról. Az elnöki határozat ellen nem lehet fellebbezni. Bor Olivér azonban hangsúlyozta: a cégek folyamatosan változnak – új tevékenységi köröket vesznek fel, nő a bevételük, a létszámuk stb. –, ezért érdemes minden jelentősebb változásnál újra megvizsgálni, nem esnek-e a Kibertan.tv. hatálya alá.

A nyilvántartásba vett szervezetek a következő határideje október 18. Addig kell elektronikus információs rendszereiket a Kibertan.tv. által meghatározott három osztályba (alap, magas vagy jelentős) sorolni, valamint be kell vezetniük a besorolásnak megfelelő kockázat- és incidenskezeléssel kapcsolatos intézkedéseket. Ez magában foglalja az érintett rendszer és annak fizikai környezetének vizsgálatát, valamint minden olyan intézkedés megtételét, amikkel biztosítható az adott rendszerben tárolt, továbbított vagy feldolgozott adatok bizalmassága, sértetlensége és folyamatos rendelkezésre állása.

Ez rendkívül összetett folyamat, melynek csak az első lépése, hogy a szervezet azonosítja az összes elektronikus információs rendszerét. Ezek száma nagyon eltérő lehet, még egy kisebb élelmiszeripari vállalkozás esetében a tízet sem éri el, egy autóipari vállalatnál több ezer is lehet. Ha egy hatósági vizsgálat során az derülne ki, hogy egy adott rendszer besorolása a szükségesnél alacsonyabb biztonsági osztályba került vagy nem megfelelő szintű intézkedések alkalmazását írta elő az érintett szervezet, az szankciókkal járhat (felszólítás pótlásra, annak elmulasztása esetén pedig súlyos, akár több millió eurós bírság). A hatóság kezében a legsúlyosabb eszköz, hogy szélsőséges esetben akár az érintett szervezet tevékenységét is felfüggesztheti.

A kockázati besorolás kereteit meghatározó miniszteri rendelet (Miniszterelnöki Kabinetirodát vezető miniszter 7/2024. (VI. 24.) MK rendelete) a június 24-én megjelent Magyar Közlönyben olvasható .

Kezdődhetnek az egyeztetések az auditorokkal

A Kibertan.tv. a folyamatot szinte teljes egészében a piacra bízta, hangsúlyozta a Bitportnak adott interjújában Bencsik Balázs, aki akkor az SZTFH-nál igazgatóként felelt a kiberbiztonsági területért. A megfelelést ezért nem a felelős állami hatóság, azaz jelen esetben az SZTFH végzi, hanem minősített auditorokra bízza.

Azt azonban ő is reális problémaként vetette fel, hogy lesz-e elegendő szakember a végrehajtáshoz. A már említett Magyar Közlönyben megjelent az SZTFH rendelete is, amely meghatározza a NIS2-auditorokra vonatkozó kritériumokat. Azóta a hatóság hat szervezetet vett nyilvántartásba. A magas kockázati besorolású szervezetek auditját egyelőre csupán a Hunguard láthatja el. A jelentős kockázati osztályba tartozókat két (Certop és Kürt), míg az alap besorolásúak további három auditor (Alverad, EY, Veritan) vizsgálhatja.

Pontosabban: az érintettel velük kezdhetik el az egyeztetéseket. A végleges megállapodással ugyanis még várniuk kell. Bár az auditori díjról, amely függ többek között az auditor kiegészítő szolgáltatásitól és az auditálandó rendszerek méretétől, bonyolultságától, a felek egyedileg állapodnak meg, a piac továbbra is vár a legmagasabb díjakra vonatkozó központi szabályozásra.