Mindenki látta jönni, egyelőre mégis kevesen állnak készen, hogy megfeleljenek a NIS2 (NIS – network and information systems) előírásainak. A vállalatok széles körének kell október 18-ától élesben alkalmaznia az Európai Unió korszerűsített kiberbiztonsági irányelvét. A direktíva olyan jogi keretet kíván adni a területnek, amely képes lépést tartani a digitalizáció gyors terjedésével és a folyamatosan változó kiberbiztonsági fenyegetési környezettel egyaránt.

A tagállamok a bevezetésétől azt várják, hogy egységesen magasabb szintre emeli az EU kiberbiztonságát. A NIS2 ugyanis olyan intézkedéseket is előír, amelyek általában is javítják a tagállamok kibervédelmi képességeit (pl. számítógépes biztonsági eseményekre reagáló csoport, ún. CSIRT – Computer Security Incident Response Team – felállításával), valamint hatékonyabbá teszik a tagállamok közötti stratégiai együttműködést. Továbbá olyan előírásokat is tartalmaz, amelyek hozzájárulhatnak a gazdasági és társadalmi szempontból egyaránt létfontosságú ágazatokon átívelő biztonsági kultúra kialakításához.

De hol van itt az újdonság?

Bár ezekben az alapelvekben sok újdonság nincs, a NIS2 mégis jelentős kibervédelmi erőforrásokat mozgósít mind az állami, mind a piaci szereplőknél. Az állami szereplők (törvényhozás, kormányzati szervek, hatóságok stb.) első és legfontosabb feladata értelemszerűen a hatékony szabályozói környezet kialakítása és az ellenőrzés. Törvényeket kell hozni – azaz implementálni kell a NIS2-t –, valamint fel kell állítani a szükséges állami szervezeteket.

Mint arra dr. Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) kiberbiztonsági igazgatója egy közelmúltban tartott konferencián felhívta a figyelmet, a magyar állam az elsők között kezdte meg az irányelv magyar jogrendbe történő átültetését. Az országgyűlés tavaly tavasszal elfogadta a NIS2 direktívával már összehangolt kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvényt (Kibertan.tv.), amely a SZTFH-t jelöli ki a piaci szereplők NIS2 szerinti kiberbiztonsági felügyeleti hatóságaként.

A hatóság idén január elsején megnyitotta nyilvántartását, ahol az érintett szervezetek kezdeményezhetik a hatósági eljárást. (Az eljárás kezdeményezésének mikéntjét egy SZTFH-rendelet szabályozza.) A teendők, illetve a határidők már most tudhatók 2025 végéig.

Ez a következő két év NIS2-menetrendje

1. Azoknak az érintett szervezeteknek, melyek 2024. január 1. előtt megkezdték tevékenységüket, június 30-ig kell jelentkezniük a rendszerbe, minden más szervezetnek működése megkezdésétől számítva 30 napja van ugyanerre. A regisztrációval egy időben a szervezeteknek biztonsági osztályokba kell sorolniuk elektronikus információs rendszereiket.

2. 2024. október 18-án, a NIS2 EU-s szintű élesedésével egy időben életbe lépnek a Kibertan.tv. ide vonatkozó rendeletei, azaz a szervezeteknek e naptól kezdve kell alkalmazniuk elektronikus információs rendszereik "biztonsági osztályának megfelelő védelmi intézkedéseket". (Ekkortól esedékes a felügyeleti díj fizetése is.)

3. Mivel az érintettek köre széles, maga a hatóság csak szúrópróbaszerű ellenőrzéseket végez, a megfelelőséget auditor cégek igazolják. A szervezeteknek december 31-éig kell szerződést kötniük egy SZTFH által nyilvántartásba vett auditor szervezettel és 2025 december 31-éig kell lefolytatnia az első auditot.

4. Ha az audit hiányosságokat tár fel, az többlépcsős intézkedéssorozatot indukál. Első lépésben a hatóság figyelmeztetheti a szervezetet, határidő kitűzésével elrendelheti a hiányzó védelmi intézkedések teljesítését, vagy eltilthatja a szervezetet "a biztonsági követelmények teljesülését közvetlenül veszélyeztető" tevékenységtől. Amennyiben ez nem jár eredménnyel, a hatóság – ismételhető módon – bírság kiszabására jogosult.

Nagyobb cégkör, új szemlélet, új fogalmak...

Bizonyos ágazatok számára nem újdonság, hogy időről időre kiberbiztonsági audittal kell igazolniuk a rezilienciájukat. Végső soron a 2016 óta érvényben lévő NIS is ezzel a céllal született. A NIS2 azonban sokkal szélesebb körre terjeszt ki bizonyos kiberbiztonsági szabályokat.

A Kibertan.tv. egyik fontos újdonsága, hogy kiterjeszteti a hatálya alá tartózó ágazatok körét. A kiemelten kockázatos ágazatok (energetika, közlekedés, vízszolgáltatás és szennyvízkezelés, digitális infrastruktúra, kihelyezett menedzselt IKT szolgáltatások) mellett olyan kockázatos ágazatok alá sorolt területekre is vonatkozik, mint a postai és futárszolgálatok, az élelmiszer előállítása, feldolgozása és forgalmazása, a gyártás vagy a kutatás. (Az érintett ágazatok részletes felsorolását a Kibertan.tv 1. és 2. melléklete tartalmazza – a kiberbiztonsági követelmények tekintetében nem okoz eltérést az a tény, hogy mely melléklet szerinti tevékenysége alapján esik a törvény hatálya alá.). Fontos azonban megjegyezni, hogy a "kiemelten kockázatos ágazatok" nem azonos a "kritikus infrastruktúrákkal", melyek védelmével külön direktíva, a CER foglalkozik (PDF), ahogy azt is, hogy a különböző kiberbiztonsági tanúsítványok (pl. az ISO 27001) megléte nem garantálják a megfelelést, és nem váltja ki a NIS2-auditot.

A törvény meghatároz az érintett szervezetek méretére vonatkozó paramétert is: a két fent említett kategóriába eső minden olyan cégnek regisztrálni kell a SZTFH nyilvántartásába, amely legalább 50 fő munkavállalót foglalkoztat, vagy éves árbevétele meghaladja a 3,9 milliárd forintot (10 millió eurót). A méretkorlát szabály alól is vannak kivételek: olyan jól meghatározott tevékenységi körben működő vállalkozások, melyek mérettől függetlenül az SZTFH kiberbiztonsági felügyelete alá fognak tartozni.

Ez lentről felfelé szerveződő ellenőrzés, ami jelen esetben azt jelenti, hogy a szervezeteknek önmaguknak kell felismerniük, hogy érintettek. Ennek megfelelően csak nagyságrendi becslés van az érintettek számáról: a KSH adatai alapján kb. 2500 szervezetnek kell átalakítani kisebb-nagyobb mértékben működését ahhoz, hogy megfeleljen a NIS2 előírásainak, de van olyan, a kiberbiztonsági piacot jól ismerő szakértő, aki szerint akár a négyezret is elérheti a számuk.

Bencsik Balázs a fentebb már idézett előadásában ugyanakkor hangsúlyozta: a NIS2 a kiberbiztonsági szakembereknek sok újdonságot nem hoz, csupán keretbe foglalja a bevált eljárásokat. Bevezetése mégis komolyabb feladatok elé állítja a szervezeteket, mint például a GDPR. A megfeleléshez ugyanis nem lesz elég néhány űrlapot pontosan kitölteni, az új kiberbiztonsági direktíva, illetve annak magyar implementációja a vállalatok technológiai rendszereit, szervezeti működését és folyamatait egyaránt érinti. Ez hatalmas terhet ró mind szabályozókra (a felelős hatóságok), mind a piaci szereplőkre (cégek, tanácsadók, auditor cégek).

NIS2-vel foglalkozó összeállításunk következő részében az érintett szervezetek feladataival foglalkozunk.

Ez a cikk független szerkesztőségi tartalom, mely a RelNet Technológia Kft. támogatásával készült. Részletek »