NIS2 EU irányelv szerinti új kiberbiztonsági szabályozásra kell felkészülni és alkalmazni valamennyi érintett szervezetnek
Már nincs két évük a vállalatoknak arra, hogy megfeleljenek „A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény” (továbbiakban: Kibertan tv.) követelményeknek, a NIS2-irányelv előírásainak. A NIS2 EU irányelv a kibertér és az informatikai rendszerek biztonságának megerősítését célozza meg. Célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben. A NIS2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén. Ezt az irányelvet ülteti át a gyakorlatba a Kibertan tv. Azok számára ismerős lesz ez a törvény és végrehajtási rendeletei, akikre már korábban érvényes volt „Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény” elvárásai. Ez a kör jelentősen bővül. Magyarországon több mint 2500 közép- és nagyvállalatra vonatkozik majd így a NIS2 EU direktívát teljesítő Kibertan tv. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás és a rendszerek auditálása.
Kiemelten kritikus ágazatok (alapvető szervezetek), akikre ez a törvény kiterjed:
- energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
- szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
- banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
- egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
- ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
- digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlésiő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
- közigazgatás
- kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
- világűr, űripar
Egyéb kritikus ágazat (fontos szervezetek), akikre a törvény kiterjed:
- postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
- hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
- vegyszerek gyártása, -előállítása és -forgalmazása
- élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
- meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
- digitális szolgáltatások
- kutatóhelyek
Jogszabályi környezet
- EU 2022/2555 irányelv
- A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan tv.)
- Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
- Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet
- Információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló 10/2023. (V. 15.) SZTFH rendelet
- A Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló 15/2023. (VII. 31.) SZTFH rendelet
- A kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló 305/2023. (VII. 11.) Korm. Rendelet
- Az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. Rendelet
- Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény
- A kibervédelmi tevékenységre irányadó több jogszabály kodifikálása jelenleg is folyamatban van. Így például a Kibertan tv. végrehajtására kiadandó miniszteri rendelet, amely várhatóan 2024 nyarán kerül kiadásra.
Fontosabb határidők
- 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük, illetve biztonságáért felelős személy kell kijelölniük (adatszolgáltatási kötelezettség a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) részére).
- 2024. január 1-től június 30-ig az érintett szervezeteket nyilvántartásba vétele.
- 2024. október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket.
- 2024. október 18. és december 31. között szerződni kell egy akkreditált auditorral.
- 2025. december 31-ig első kiberbiztonsági auditálás elvégzése.
Kötelezettségek, tennivalók
- Fel kell készülni, hogy biztonsági incidens esetén 24 órán belüli első értesítési kötelezettségről a hatóságok felé, illetve 72 órán belül esemény-bejelentési kötelezettségről (támadás értékelése, súlyossága, hatása) és az 1 hónapon belüli zárójelentés megküldés kötelezettségéről.
- Információbiztonságért felelős személyt kell kijelölni, a legjobb, ha közvetlenül az első számú vezetőhöz van rendelve és nem az informatikai vezető alá tartozik.
- Az általunk üzemeltetett információs rendszerhez kapcsolódóan az adott biztonsági osztályhoz tartozó biztonsági kontrollok implementálásának kötelezettségével társulnak. A biztonsági kontrollok kialakítása, üzemeltetése és szükség szerinti fejlesztése a rendszerek teljes életciklusára vonatkoznak. Ehhez a kiberbiztonság átfogó megközelítése szükséges. El kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését, biztonsági osztályba kell sorolniuk az elektronikus információs rendszereiket és az azokban kezelt adatokat (alap, jelentős, magas). Meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket, kapcsolódó kiberhigiénia biztosítását, a kritikus incidensek azonosításának képességét kapcsolódva az érintett infrastruktúrák folyamatos fejlesztésével. Fel kell készülni, hogy a környezeti változások is növelhetik a rendszer kitettségét.
- A szabályozási és üzletmenetet érintő területeken is van tennivaló:
- informatikai biztonsági szabályzat kidolgozása (IBSZ)
- ellátási lánc biztonságának biztosítása (a beszállítókért is az adott rendszer üzemeltetője a felelős)
- incidensekre való reagálási terv kidolgozása
- üzletmenet-folytonossági terv kidolgozása (BCP – Business Continuity Plan) - tartalékrendszerek kezelése
- katasztrófa utáni helyreállítási terv kidolgozása (DRP – Disaster Recovery Plan)
- titkosítási megoldások alkalmazása (figyelembe kell venni az itt jelentkező kvantumreziliencia problémákat is)
- A rendszereink biztonságát nagyban növelhetjük, ha többtényezős hitelesítési vagy folyamatos hitelesítési megoldásokat alkalmazunk.
- Rendszeres időnként javasolt a biztonsági kockázatértékelések elvégzése.
- Fel kell készülni a biztonságos hang-, video- és szöveges kommunikáció biztosítására, a hálózat és a teljes rendszer monitorozására, felügyeletére
- Kulcskérdés a munkavállalók és a vezetők képzése és a biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül
- A rendszerek biztonságáról meg kell győződni, ehhez sérülékenységi vizsgálatok elvégzése szükséges a megfelelő biztonsági szervezetek bevonásával.
- A törvény és a kapcsolódó rendeletek rendelkeznek a nyilvántartásba vétel érdekében az adatok megküldéséről az SZTFH részére és a legalább 2 évente kötelező auditálásról (SZTFH által nyilvántartott auditor által), valamint az éves kiberbiztonsági felügyeleti díj befizetéséről (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint)
A management felelőssége
A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azokat felügyelnie. Rendszeres kiberbiztonsági oktatáson kell részt vennie a vezetőségnek és a munkavállalóknak egyaránt. Az ügyvezetés felelőssé tehető, ha az általa vezetett szervezet nem felel meg a NIS2 irányelvben előírt kiberbiztonsági követelményeknek, ennek értelmében alapvetően felelősséggel tartozik saját informatika rendszere megfelelő kialakításáért és az összes alvállalkozója, valamint a teljes beszállítói lánca kiberbiztonsági megfelelőségéért, azaz mindezt rajta kérheti számon a hatóság. Ezért kiemelten oda kell figyelnie az információs rendszerek kiberrezilienciájára, azok egész életciklusa során.
A rendelet be nem tartása súlyos közigazgatási bírságokat vonhat maga után:
- Az alapvető szervezetekre irányadó rendelkezések alapján 10.000.000 EUR vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírsággal sújtható.
- Fontos szervezetek esetén 7.000.000 EUR vagy a vállalkozás előző évi forgalma 1,4%-ának megfelelő bírsággal sújtható.
- További jogkövetkezményként a hazai felügyeleti hatóságnak lehetősége lesz, hogy adott esetben egy társaságot konkréten eltiltsa a tevékenységétől, illetve a vezető tisztségviselőjét eltiltás alá helyezze.
--------------------------------------------------
--------------------------------------------------
--------------------------------------------------