HU

EN

Bejelentkezés
Bejelentkezés

NIS2: Információk az új követelményekről!

Az információbiztonság és kibervédelem terén az Európai Unió folyamatosan fejlődő előírásokkal és rendszerekkel próbálja megvédeni a tagállamok vállalatait és intézményeit a kiberfenyegetésekkel szemben.

A NIS2, (Network and Information System), avagy az EU tagállamok magas szintű kiberbiztonságát garantáló irányelv új szabályozásokat és elvárásokat hoz a tagállamok, így a magyar szervezetek számára is.

Blogcikkünkben bemutatjuk a NIS2 által előírt főbb feladatokat és a hazai szabályozással kapcsolatos várakozásokat, hogy segítsünk megérteni és felkészülni az új követelményekre.

1. NIS2 bevezetése és a határidők

A 2016-ban bevezetett uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta, illetve igazította napjaink információbiztonsági helyzetéhez. Ez a rendszer a kibervédelemre és az információbiztonságra helyezi a hangsúlyt, és az összes érintett szervezet számára fontos új kötelezettségeket határoz meg.

Magyarországon a 2023. évi XXIII. törvény (röviden: kibertan tv.) tisztázza a nemzeti kiberbiztonsági tanúsítás, továbbá a kiberbiztonsági felügyelet alapvető kérdéseit és implementálja a NIS2 rendelkezéseit.

Ennek alapján a kiberbiztonsági felügyeletet az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) látja, kivéve a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatokat.

A törvény által megjelölt legfontosabb határidők:

2024. január 1. – Érintett szervezet osztályba sorolásának határideje

2024. június 30. – Nyilvántartásba vétel határideje

2024. október 18. – Védelmi intézkedések alkalmazásának határideje

2024. december 31. – Auditra vonatkozó szerződéskötés határideje

2025. december 31. – Első audit lefolytatása

2. Kétféle értékelési rendszer

A NIS2 bevezetésével az érintett szervezetek számára két fő út áll rendelkezésre annak érdekében, hogy megszerezzék a szükséges biztonsági tanúsítványt.

Az első út a megfelelőségi önértékelés, amelyben az adott szervezet önmaga értékeli az információbiztonsági rendszerét és dokumentálja a megfelelőségét. Az elkészített dokumentumokat és a kitöltött kérdőívet a hatóság felé kell benyújtani, amely az elfogadást követően kerül az SZTFH nyilvántartásába. Ez az eljárás csak az „alap” megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében lehetséges választás.

A második út a megfelelőségértékelés, amely során független harmadik felet bíz meg az érintett szervezet tanúsítás céljából. A szakértő auditorok a kibervédelem terén objektív értékelést nyújtanak a szervezet információbiztonsági rendszeréről és annak működéséről. Az auditot követően a szervezet is bekerül az SZTFH nyilvántartásába.

Mindkét értékelési eljárás célja ugyanaz:

Biztosítani, hogy az IKT-termékkel, IKT-folyamattal, IKT-szolgáltatással kapcsolatos, meghatározott követelmények teljesülnek.

3. Teljes vállalati rendszer védelme

Fontos megjegyeznünk, hogy a védelmi intézkedéseknek a teljes vállalati rendszerre ki kell terjedniük. Ez azt jelenti, hogy nem csak a főtevékenységhez kapcsolódó folyamatokra kell figyelni, hanem a támogató, így a pénzügyi és HR folyamatokra is.

4. Kockázati besorolások

Bár kiemelten kockázatos és kockázatos ágazatokat különít el az irányelv, a feladatok vagy védelmi intézkedések terén nincs különbség. Azaz minden érintett szervezetnek ugyanazokat a követelményeket kell teljesítenie.

5. Ellátási láncok

Az előírások kiterjednek azon kihelyezett (irányított) infokommunikációs szolgáltatást nyújtókra is, amelyek valamilyen tevékenységet végeznek az érintett szervezet számára (ideértve az üzemeltetési, karbantartási feladatokat is).

A beszállítók értékelése, ellenőrzése tehát azokra a vállalkozásokra is áthárítja a kötelezettségeket, amelyek közvetlenül nem érintettek, így azon szervezetek számára is javasoljuk a felkészülés elkezdését, akik az irányelv hatálya alá eső ügyfelekkel dolgoznak együtt.

6. Biztonsági felelős kinevezése

A követelmények teljesítéséhez biztonsági felelős kinevezése válhat szükségessé, akit a szervezet maga jelölhet ki, az arra alkalmas munkavállaló személyében. Itt azonban fontos megjegyezni, hogy a kinevezést javasolt előzetesen egy összeférhetetlenségi vizsgálat alá vetni, hogy a szabályozó, végrehajtó és ellenőrző szerepek ne egy személyhez legyenek rendelve.

7. Tudatosítás és képzés

Az alapvető és fontos szervezeteknek az alapvető kiberhigiéniai gyakorlatok széles skáláját kell alkalmazniuk, így a képzések és oktatások minden munkavállalóra vonatkozóan szükségesek, de a vezetőség és a felső vezetők részéről is elengedhetetlen a támogatás, részvétel, részükre akár különálló képzések lehetnek szükségesek.

8. Kezdeti lépések

Az érintett szervezeteknek először fel kell mérniük a rendszereiket, el kell készíteniük az adat / információs vagyonleltárt, és nyilvántartásba kell venniük az elektronikus információs rendszereiket (EIR).

Ezt követően kockázatelemzést kell végrehajtaniuk, amely alapján meghatározzák a szükséges védelmi intézkedéseket. Ehhez szükséges további inputokat a szervezet különböző felmérései és elemzései adhatnak.

9. Megbízhatósági szintek

A szervezeteknek lehetőségük van különböző megbízhatósági szinteket meghatározni, az alap, a jelentős és a magas szintek közül egy vagy többet választva. Ezek a szintek az alábbiak szerint kerülnek definiálásra és alkalmazásra:

a) Az „alap” megbízhatósági szinten a szervezet az alapvető és jól ismert kockázatokra koncentrál, amelyek a biztonsági események és támadások során felmerülhetnek.

b) A „jelentős” megbízhatósági szinten a szervezet figyelmét elsősorban az ismert kiberbiztonsági kockázatokra és azokra a biztonsági eseményekre irányítja, amelyeket korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők hajthatnak végre.

c) A „magas” megbízhatósági szinten a szervezet arra törekszik, hogy minimalizálja a kibertámadások kockázatát, amelyeket jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők végezhetnek el, és amelyeket a legújabb technológiai fejlesztések felhasználásával hajtanak végre.

E szintbe sorolás hatással lehet a 41/2015. (VII. 15.) BM. rendelet szerinti biztonsági osztályba sorolásra, mely egy későbbi jogszabálymódosítással szintén e 3 szintet nevesítheti és kivezetheti a szintbe sorolást. Fontos azonban, hogy a létfontosságú rendszerelemekre vonatkozó követelmények változatlanok maradnak!

10. Auditorok nyilvántartása és követelmények

Az auditált szervezetek mellett az auditorok is nyilvántartásba kerülnek a hatóság által. Az auditorokra vonatkozó követelmények várhatóan 2023. november végén, december elején kerülnek közzétételre.

11. Sérülékenységvizsgálat

A sérülékenységvizsgálat szintén egy nevesített eleme a követelményeknek, amelyet a szervezet külső fél által is végeztethet vagy, a szerződött auditor vizsgálata alapján is teljesíthető. A megfelelés alapja lehet a bug bounty programban történő részvétel, mely szintén a sérülékenységvizsgálatok egyik típusa és folyamatos tesztelést tesz lehetővé.

12. Konzisztencia

A felkészülés és a védelmi intézkedések bevezetése csupán egy állomás, a hangsúly a folyamatosságon van, hiszen a rendszerek, szolgáltatások tanúsítása nem örök érvényű. Az auditot két évente kell megismételni, hogy biztosítsuk az információbiztonság naprakészen tartását, folyamatos ellenőrzését és javítását.

13. Szankciók

A kiberbiztonsági kockázattal járó tevékenységek esetében szankciók is felmerülnek. A figyelmeztetés, bírság és akár egy esetleges eltiltás is ezen szankciók közé tartozik, beleértve a felelős vezetőket eltiltását is, bizonyos esetekben. A közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek kell legyenek. A nem megfelelő magatartásra, amennyiben azt nem orvosolja  a szervezet, ismételten kiszabható bírság.

A kettős bírság tilalma viszont vonatkozik a személyes adatok (GDPR) megsértésével járó jogsértésekre kiszabott közigazgatási bírságokra, így ugyanazon jogsértés miatt a szervezet nem marasztalható el kétszer.

14. Kiemelten kockázatos és kockázatos ágazatok: Specifikus követelmények és védelmi intézkedések

A NIS2 rendszere kiemelten kockázatos és kockázatos ágazatokat határoz meg.

Kiemelten kockázatos ágazatok:

  • Energiaszektor: Az energiaágazat kritikus infrastruktúrát jelent, mivel a szünet nélküli működés létfontosságú. Ennek megfelelően szigorú védelmi intézkedések és folyamatos ellenőrzés szükséges.
  • Közlekedés: A közlekedési szektorban a rendszerzavarok jelentős hatással lehetnek a közösség működésére. Itt is kiemelkedő figyelmet igényel a védelem.
  • Egészségügy: Az egészségügyi ágazatban a betegadatok és az egészségügyi rendszerek védelme kritikus.
  • Víz: Az ivóvízellátás és a hulladékkezelés szempontjából az ágazat rendszerintegritásának megőrzése az egyik legfontosabb szempont.
  • Gyógyszeripar: Az innováció és a kutatás folyamatos fenntartása létfontosságú ezen a területen. Az intellektuális tulajdon és a kutatás eredményeinek védelme kiemelten fontos.
  • Digitális infrastruktúra: A digitális infrastruktúra terén az internetes szolgáltatások és az adatközpontok folyamatos működtetése kulcsfontosságú.
  • Kihelyezett szolgáltatók: Azok a szervezetek, amelyek valamilyen meglévő rendszert működtetnek, kiemelt kockázatnak vannak kitéve, és szigorú követelményeknek kell megfelelniük.

Kockázatos ágazatok:

  • Posta: A postaágazatban az adatok biztonságos átvitele és kezelése elengedhetetlen.
  • Futárszolgálatok: A futárszolgálatoknak szem előtt kell tartaniuk a csomagok és az információk biztonságát, különösen az online rendelések robbanásszerű növekedésekor.
  • Hulladékgazdálkodás: A hulladékkezelési szegmensben az érzékeny adatok és az infrastruktúra védelme kiemelkedően fontos, hogy megelőzzék a környezeti károk és a személyes adatok veszélyeztetését.
  • Elektronikai gyártás és járműgyártás: Az elektronikai és járműgyártó vállalatoknak szem előtt kell tartaniuk a tervezési és gyártási folyamatok biztonságát, hogy megvédjék az innovációt és a termékminőséget.
  • Élelmiszer előállítás és forgalmazás: Az élelmiszeriparban az ellátási láncok és az élelmiszerminőség védelme kardinális a fogyasztók egészségének megőrzése érdekében.
  • Digitális szolgáltatások: A digitális szolgáltatók számára a rendszerek rendelkezésre állása és a felhasználói adatok védelme alapvető szempont.
  • Vegyipar és kutatóhelyek: A vegyiparban és kutatóhelyeken az érzékeny információk és kutatási adatok védelme különösen jelentőségteljes.

Ezek az ágazatok egyedi kihívásokkal szembesülnek a kibervédelem terén, ezáltal a NIS2 külön követelményeket határoz meg számukra, hogy segítse őket a kritikus információs rendszerek és az adatok hatékony védelmének érdekében.

Fontos, hogy az érintett szervezetek alaposan megértsék ezeket a követelményeket, és megfelelő védelmi intézkedéseket vezessenek be az ágazatuk sajátosságaihoz igazítva.

Szeretnél időben, megfelelően felkészülni a határozat bevezetésére?

Vedd fel velünk a kapcsolatot!

Amennyiben érdekel a kiberbiztonság és szeretnél naprakész lenni a legújabb hírekkel, információkkal, hallgass bele podcastünkbe:

https://cybersecuritymonth.eu/countries/hungary/hacktify-podcast-1

Megosztás

Tartalomjegyzék

Legfrisebb cikkeink

Készen állsz?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco la

Kapcsolatfelvétel Cégeknek
CSatlakozz hackerként

Közép- és Kelet-Európa bug bounty platformja, hogy rendszered védve legyen a támadásoktól! 

Cégeknek

Hackereknek

Információ

Hírlevél

  • Iratkozz fel hírlevelünkre, hogy elsőként értesülhess aktuális programjainkról és híreinkről.
Hírlevél - footer
We are
Facebook-f Instagram Linkedin Youtube

© 2024 Hacktify International Kft. | Készítette: MoonShot