Kontron Hungary

NIS2

Megfelelőségi tanácsadás

Mi a NIS2?

A kiberbűnözés az utóbbi években egyre kiterjedtebbé válik, ami az Európai Unióban tevékenykedő szervezeteknek és vállalatoknak jelentős kárt okozott. Az EU célja, hogy egy egységes minimum meghatározásával a vállalatok és szervezetek egy jelentős részénél javítsa a kibervédelem szintjét és az ellenállóságot a támadásokkal szemben.

Ennek érdekében alkották meg a NIS2 irányelvet (EU 2022/2555 irányelv), amely elődjét (NIS1) mind a hatálya alá sorolt szervezetek tekintetében, mind a meghatározott elvárásokban meghaladja. Az irányelvet minden tagállam joganyagába át kell ültetni, mivel az irányelvek nem közvetlenül alkalmazandók az egyes tagállamokban. Magyarországi implementációja az irányelvnek a Kibertanúsítási törvény (2023. évi XXIII. törvény) elfogadásával részben megtörtént. Ez a törvény keretet ad: kijelöli az érintettek körét, alapvető követelményeket ad, határidőket szab és lehetséges szankciókat határoz meg, de részleteket még nem tartalmaz.

Részleteket a Miniszterelnöki Kabinetiroda által kiadandó rendelet fog tartalmazni; ennek egy verziója már járt társadalmi egyeztetésen, így struktúrája és lényegi tartalma már ismert. A rendelet az amerikai NIST szabványcsaládot alapul véve meghatározza a kockázatkezelés kötelezően alkalmazandó módszertanát és meghatározza azokat a kontrollokat, amelyeknek meg kell felelni. Noha egyes részletek még változhatnak a végleges, hatályos jogszabályban, a felkészülés irányait már lehet látni, a felkészülést el lehet és el is kell kezdeni.

Emellett várható még jogszabály az auditálás mikéntjéről és a várható szankciókról – bár ezek fontos részletek, a követelményeken már nem fognak módosítani.

Sarokpontok

A Kibertan. törvény az alábbi sarokpontokat határozza meg:

Rendszerek osztályozása
Kockázatelemzés
Sérülékenységvizsgálatok
Forráskódelemzés,
behatolásvizsgálat
Incidensek kezelése, jelentése
BCP, DRP
Ellátási láncok biztosítása
Kriptográfia használata
Kiberhigiéniai oktatások
Hozzáférések kezelése
2 évente audit

Határidők, tennivalók

Nem ró feladatot a hatálya alá eső szervezetekre, nemzeti jogalkotók és a szakma számára releváns.

Ismert a törvény, ismert, hogy ki esik a hatálya alá. A hatály alá eső szervezeteknek el kell kezdeni a felkészülést, tudatosítani kell a menedzsmentben, hogy ezzel kapcsolatosan lesznek teendőik.

Még csak a rendelet tervezete jelent meg, de a főbb vonalak világosak ez alapján is, legfeljebb néhány részletben várható korrekció. Feladatok: eszközök felmérése és listázása (ahol ez még nem történt meg), rendszerek osztályba sorolása, kockázatelemzés, gap-elemzés, cselekvési terv, hiányzó kontrollok implementációja. A rendelet 2024. október 18-án lép hatályba, attól az időponttól kell megfelelni, ám az ellenőrzés nagyrészt csak a kötelező auditon fog megtörténni.

SZTFH számára adatokat kell küldeni a nyilvántartásba vételi kérés keretében:

  • a kijelölt Információ Biztonsági Felelős (IBF) személyes adatait
  • nyilvános elektronikus szolgáltatások listáját
  • szervezet által használt publikus, fix IP-címeket, domain neveket
  • partner adatokat

Az SZTFH ellenőrizni fogja saját nyilvántartása szerint is, hogy a hatály alá eső szervezetek bejelentették-e magukat. Aki ezt nem tette meg, azt a Hatóság büntetni tervezi. A Hatóság úton-útfélen elmondja, hogy segítőként kíván fellépni, nem céljuk a magyar gazdaság padlóra küldése a NIS2 jelentette plusz terheléssel, de a regisztrációt szigorúan fogják venni és milliós – 10 milliós nagyságrendű büntetéseket tervez kiszabni a jelentkezést elmulasztókra.

Mindenki nagyon figyeljen a határidőkre, mert akár adminisztrációs problémák miatt is nehézségekbe ütközhet a regisztráció! Érdemes az utolsó napok előtt megejteni a regisztrációt.

A Kibertan. törvényben és a Miniszterelnöki Kabinetiroda által kiadott rendeletben ismertetett követelményeknek – EU elvárásként – ettől a naptól fogva kell megfelelni. Könnyítés, hogy az előírások nagy részét csak a kötelező audit fogja ellenőrizni, de van olyan követelmény is (incidens jelentési kötelezettség), ami az audittól függetlenül is előtérbe kerülhet

Emellett be kell fizetni az éves felügyeleti díjat is, ami a szervezet éves árbevételének 0,015%-a. Ez 1 milliárd forintos árbevétel esetén 150.000 forint.

Az SZTFH elérhetővé teszi a felhatalmazott auditorok listáját. A listán szereplő auditor céggel 2024-ben szerződést kell kötni és meg kell határozni, hogy mikor fogják az első ellenőrzést lefolytatni. Az auditnak a Hatóság által megszabott díja lesz, de ennek mértéke jelenleg még nem ismert; a Hatóság ígérete szerint nyárig meg fog jelenni az ezt rendező jogszabály.

A szerződött auditor lefolytatja a vizsgálatot. Fontos, hogy a megelőző kockázatelemzés eredményeképpen azonosíthatóak legyenek a kiemelten védendő rendszerelemek, az audit is ezekre fog koncentrálni.

Mivel viszonylag szűk az auditorok piaca, nem várható, hogy minden auditot be tudnak sűríteni 2025 végére, az időszűke miatt lesz, ahol 2025 közepére vállalják az auditot. Ezzel mindenképpen számolniuk kell a NIS2 érintett szervezeteknek már a szerződéskötéskor és a felkészülés ütemezésekor is.

Fontos: mindezek a határidők a 2024. január 1. előtt létrehozott szervezetekre vonatkoznak! Az ezután létrehozott szervezeteknek más, a szervezet létrehozásának időpontjához viszonyított határidőkkel kell számolniuk. Viszonylag ritka, hogy egy szervezet már a létrehozásakor rögtön közép- vagy nagyvállalati szektorba kerüljön, de nekik már az első pillanattól figyelemmel kell lenniük a NIS2-re is.

Hogyan tudunk segíteni?

A NIS2 megfelelés két ütemében is tudunk segíteni. Auditor kollégáink tudják, hogy hogyan kell hatékonyan felkészíteni ügyfeleinket a NIS2 megfelelésre. Segítünk megérteni, hogy milyen kihívásokkal fognak szembesülni, hogyan kell lebontani a nagy feladattömeget, mi az, ami már a jelen állapotban is kielégítő, mi az, amin javítani kell, hová érdemes az erőforrásokat összpontosítani és hogyan kell a megfelelés egyes lépéseit adminisztrálni.

Fontos és fájdalmas fázis emellett a hiányzó vagy nem megfelelően működő képességek kiépítése is. Jelentős integrátori tapasztalatunk segítségével abban tudunk segíteni, hogy ezeket a képességeket hogyan lehet hatékonyan megvalósítani vagy NIS2 kompatibilissé tenni. Kollégáink révén számos technológiában tudunk segítséget nyújtani – legyen az egy konfiguráció áttekintése, kiegészítése vagy akár egy új rendszer bevezetése.

Scroll to Top