Az információbiztonság és kibervédelem terén az Európai Unió folyamatosan fejlődő előírásokkal és rendszerekkel próbálja megvédeni a tagállamok vállalatait és intézményeit a kiberfenyegetésekkel szemben.
A NIS2, (Network and Information System), avagy az EU tagállamok magas szintű kiberbiztonságát garantáló irányelv új szabályozásokat és elvárásokat hoz a tagállamok, így a magyar szervezetek számára is.
Blogcikkünkben bemutatjuk a NIS2 által előírt főbb feladatokat és a hazai szabályozással kapcsolatos várakozásokat, hogy segítsünk megérteni és felkészülni az új követelményekre.
1. NIS2 bevezetése és a határidők
A 2016-ban bevezetett uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta, illetve igazította napjaink információbiztonsági helyzetéhez. Ez a rendszer a kibervédelemre és az információbiztonságra helyezi a hangsúlyt, és az összes érintett szervezet számára fontos új kötelezettségeket határoz meg.
Magyarországon a 2023. évi XXIII. törvény (röviden: kibertan tv.) tisztázza a nemzeti kiberbiztonsági tanúsítás, továbbá a kiberbiztonsági felügyelet alapvető kérdéseit és implementálja a NIS2 rendelkezéseit.
Ennek alapján a kiberbiztonsági felügyeletet az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) látja, kivéve a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatokat.
A törvény által megjelölt legfontosabb határidők:
2024. január 1. – Érintett szervezet osztályba sorolásának határideje
2024. június 30. – Nyilvántartásba vétel határideje
2024. október 18. – Védelmi intézkedések alkalmazásának határideje
2024. december 31. – Auditra vonatkozó szerződéskötés határideje
2025. december 31. – Első audit lefolytatása
2. Kétféle értékelési rendszer
A NIS2 bevezetésével az érintett szervezetek számára két fő út áll rendelkezésre annak érdekében, hogy megszerezzék a szükséges biztonsági tanúsítványt.
Az első út a megfelelőségi önértékelés, amelyben az adott szervezet önmaga értékeli az információbiztonsági rendszerét és dokumentálja a megfelelőségét. Az elkészített dokumentumokat és a kitöltött kérdőívet a hatóság felé kell benyújtani, amely az elfogadást követően kerül az SZTFH nyilvántartásába. Ez az eljárás csak az „alap” megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében lehetséges választás.
A második út a megfelelőségértékelés, amely során független harmadik felet bíz meg az érintett szervezet tanúsítás céljából. A szakértő auditorok a kibervédelem terén objektív értékelést nyújtanak a szervezet információbiztonsági rendszeréről és annak működéséről. Az auditot követően a szervezet is bekerül az SZTFH nyilvántartásába.
Mindkét értékelési eljárás célja ugyanaz:
Biztosítani, hogy az IKT-termékkel, IKT-folyamattal, IKT-szolgáltatással kapcsolatos, meghatározott követelmények teljesülnek.
3. Teljes vállalati rendszer védelme
Fontos megjegyeznünk, hogy a védelmi intézkedéseknek a teljes vállalati rendszerre ki kell terjedniük. Ez azt jelenti, hogy nem csak a főtevékenységhez kapcsolódó folyamatokra kell figyelni, hanem a támogató, így a pénzügyi és HR folyamatokra is.
4. Kockázati besorolások
Bár kiemelten kockázatos és kockázatos ágazatokat különít el az irányelv, a feladatok vagy védelmi intézkedések terén nincs különbség. Azaz minden érintett szervezetnek ugyanazokat a követelményeket kell teljesítenie.
5. Ellátási láncok
Az előírások kiterjednek azon kihelyezett (irányított) infokommunikációs szolgáltatást nyújtókra is, amelyek valamilyen tevékenységet végeznek az érintett szervezet számára (ideértve az üzemeltetési, karbantartási feladatokat is).
A beszállítók értékelése, ellenőrzése tehát azokra a vállalkozásokra is áthárítja a kötelezettségeket, amelyek közvetlenül nem érintettek, így azon szervezetek számára is javasoljuk a felkészülés elkezdését, akik az irányelv hatálya alá eső ügyfelekkel dolgoznak együtt.
6. Biztonsági felelős kinevezése
A követelmények teljesítéséhez biztonsági felelős kinevezése válhat szükségessé, akit a szervezet maga jelölhet ki, az arra alkalmas munkavállaló személyében. Itt azonban fontos megjegyezni, hogy a kinevezést javasolt előzetesen egy összeférhetetlenségi vizsgálat alá vetni, hogy a szabályozó, végrehajtó és ellenőrző szerepek ne egy személyhez legyenek rendelve.
7. Tudatosítás és képzés
Az alapvető és fontos szervezeteknek az alapvető kiberhigiéniai gyakorlatok széles skáláját kell alkalmazniuk, így a képzések és oktatások minden munkavállalóra vonatkozóan szükségesek, de a vezetőség és a felső vezetők részéről is elengedhetetlen a támogatás, részvétel, részükre akár különálló képzések lehetnek szükségesek.
8. Kezdeti lépések
Az érintett szervezeteknek először fel kell mérniük a rendszereiket, el kell készíteniük az adat / információs vagyonleltárt, és nyilvántartásba kell venniük az elektronikus információs rendszereiket (EIR).
Ezt követően kockázatelemzést kell végrehajtaniuk, amely alapján meghatározzák a szükséges védelmi intézkedéseket. Ehhez szükséges további inputokat a szervezet különböző felmérései és elemzései adhatnak.
9. Megbízhatósági szintek
A szervezeteknek lehetőségük van különböző megbízhatósági szinteket meghatározni, az alap, a jelentős és a magas szintek közül egy vagy többet választva. Ezek a szintek az alábbiak szerint kerülnek definiálásra és alkalmazásra:
a) Az „alap” megbízhatósági szinten a szervezet az alapvető és jól ismert kockázatokra koncentrál, amelyek a biztonsági események és támadások során felmerülhetnek.
b) A „jelentős” megbízhatósági szinten a szervezet figyelmét elsősorban az ismert kiberbiztonsági kockázatokra és azokra a biztonsági eseményekre irányítja, amelyeket korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők hajthatnak végre.
c) A „magas” megbízhatósági szinten a szervezet arra törekszik, hogy minimalizálja a kibertámadások kockázatát, amelyeket jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők végezhetnek el, és amelyeket a legújabb technológiai fejlesztések felhasználásával hajtanak végre.
E szintbe sorolás hatással lehet a 41/2015. (VII. 15.) BM. rendelet szerinti biztonsági osztályba sorolásra, mely egy későbbi jogszabálymódosítással szintén e 3 szintet nevesítheti és kivezetheti a szintbe sorolást. Fontos azonban, hogy a létfontosságú rendszerelemekre vonatkozó követelmények változatlanok maradnak!
10. Auditorok nyilvántartása és követelmények
Az auditált szervezetek mellett az auditorok is nyilvántartásba kerülnek a hatóság által. Az auditorokra vonatkozó követelmények várhatóan 2023. november végén, december elején kerülnek közzétételre.
11. Sérülékenységvizsgálat
A sérülékenységvizsgálat szintén egy nevesített eleme a követelményeknek, amelyet a szervezet külső fél által is végeztethet vagy, a szerződött auditor vizsgálata alapján is teljesíthető. A megfelelés alapja lehet a bug bounty programban történő részvétel, mely szintén a sérülékenységvizsgálatok egyik típusa és folyamatos tesztelést tesz lehetővé.
12. Konzisztencia
A felkészülés és a védelmi intézkedések bevezetése csupán egy állomás, a hangsúly a folyamatosságon van, hiszen a rendszerek, szolgáltatások tanúsítása nem örök érvényű. Az auditot két évente kell megismételni, hogy biztosítsuk az információbiztonság naprakészen tartását, folyamatos ellenőrzését és javítását.
13. Szankciók
A kiberbiztonsági kockázattal járó tevékenységek esetében szankciók is felmerülnek. A figyelmeztetés, bírság és akár egy esetleges eltiltás is ezen szankciók közé tartozik, beleértve a felelős vezetőket eltiltását is, bizonyos esetekben. A közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek kell legyenek. A nem megfelelő magatartásra, amennyiben azt nem orvosolja a szervezet, ismételten kiszabható bírság.
A kettős bírság tilalma viszont vonatkozik a személyes adatok (GDPR) megsértésével járó jogsértésekre kiszabott közigazgatási bírságokra, így ugyanazon jogsértés miatt a szervezet nem marasztalható el kétszer.
14. Kiemelten kockázatos és kockázatos ágazatok: Specifikus követelmények és védelmi intézkedések
A NIS2 rendszere kiemelten kockázatos és kockázatos ágazatokat határoz meg.
Kiemelten kockázatos ágazatok:
- Energiaszektor: Az energiaágazat kritikus infrastruktúrát jelent, mivel a szünet nélküli működés létfontosságú. Ennek megfelelően szigorú védelmi intézkedések és folyamatos ellenőrzés szükséges.
- Közlekedés: A közlekedési szektorban a rendszerzavarok jelentős hatással lehetnek a közösség működésére. Itt is kiemelkedő figyelmet igényel a védelem.
- Egészségügy: Az egészségügyi ágazatban a betegadatok és az egészségügyi rendszerek védelme kritikus.
- Víz: Az ivóvízellátás és a hulladékkezelés szempontjából az ágazat rendszerintegritásának megőrzése az egyik legfontosabb szempont.
- Gyógyszeripar: Az innováció és a kutatás folyamatos fenntartása létfontosságú ezen a területen. Az intellektuális tulajdon és a kutatás eredményeinek védelme kiemelten fontos.
- Digitális infrastruktúra: A digitális infrastruktúra terén az internetes szolgáltatások és az adatközpontok folyamatos működtetése kulcsfontosságú.
- Kihelyezett szolgáltatók: Azok a szervezetek, amelyek valamilyen meglévő rendszert működtetnek, kiemelt kockázatnak vannak kitéve, és szigorú követelményeknek kell megfelelniük.
Kockázatos ágazatok:
- Posta: A postaágazatban az adatok biztonságos átvitele és kezelése elengedhetetlen.
- Futárszolgálatok: A futárszolgálatoknak szem előtt kell tartaniuk a csomagok és az információk biztonságát, különösen az online rendelések robbanásszerű növekedésekor.
- Hulladékgazdálkodás: A hulladékkezelési szegmensben az érzékeny adatok és az infrastruktúra védelme kiemelkedően fontos, hogy megelőzzék a környezeti károk és a személyes adatok veszélyeztetését.
- Elektronikai gyártás és járműgyártás: Az elektronikai és járműgyártó vállalatoknak szem előtt kell tartaniuk a tervezési és gyártási folyamatok biztonságát, hogy megvédjék az innovációt és a termékminőséget.
- Élelmiszer előállítás és forgalmazás: Az élelmiszeriparban az ellátási láncok és az élelmiszerminőség védelme kardinális a fogyasztók egészségének megőrzése érdekében.
- Digitális szolgáltatások: A digitális szolgáltatók számára a rendszerek rendelkezésre állása és a felhasználói adatok védelme alapvető szempont.
- Vegyipar és kutatóhelyek: A vegyiparban és kutatóhelyeken az érzékeny információk és kutatási adatok védelme különösen jelentőségteljes.
Ezek az ágazatok egyedi kihívásokkal szembesülnek a kibervédelem terén, ezáltal a NIS2 külön követelményeket határoz meg számukra, hogy segítse őket a kritikus információs rendszerek és az adatok hatékony védelmének érdekében.
Fontos, hogy az érintett szervezetek alaposan megértsék ezeket a követelményeket, és megfelelő védelmi intézkedéseket vezessenek be az ágazatuk sajátosságaihoz igazítva.
Szeretnél időben, megfelelően felkészülni a határozat bevezetésére?
Vedd fel velünk a kapcsolatot!
Amennyiben érdekel a kiberbiztonság és szeretnél naprakész lenni a legújabb hírekkel, információkkal, hallgass bele podcastünkbe:
https://cybersecuritymonth.eu/countries/hungary/hacktify-podcast-1
