Január eleje óta hatályos, a NIS2 közösségi irányelv alapján létrejött kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023-as Kibertan.tv. Rémisztőnek és komplexnek tűnhetnek az ebben megfogalmazott feladatok azoknak, akik korábban nem foglalkoztak információbiztonsággal.

NIS2 kiberbiztonsági tanusítás
Forrás: rawpixel.com

Kóczé PéterAz is nehezíti a tisztánlátást, hogy a jogszabály több végrehajtási rendelete is hiányzik még. Ezek jelenleg minisztériumi vagy hatósági egyeztetések alatt állhatnak.

Tartalmukba pedig csak innen-onnan, társadalmi egyeztetéseken és az illetékes hatóság (SZTFH – Szabályozott Tevékenységek Felügyeleti Hatósága) tájékoztatóin kaphatunk részleges betekintést.

Emiatt rendelkezünk egyfelől biztosnak tekinthető NIS2 információkkal, amelyeket az EU ide vonatkozó irányelvéből és a fent említett hazai jogszabályból olvashatunk ki, másfelől rendelkezünk még bizonytalan információkkal is, amik a még ki nem hirdetett rendeletek tervezeteiből származnak.

Ráadásul kevés szakember és társaság mondhatja el magáról, hogy olyan szinten foglalkozott volna eddig az információbiztonsággal, amilyen szinten azt a NIS2 követelményrendszere a jövőben elvárja, így egyfajta folyamatos közösségi edukáció is megfigyelhető a NIS2 előadásokat és konferenciákat járva.

(Nemrégiben egy háttérbeszélgetésen a Magyar Telekom szakértői járták körül a témát, amiről itt lehet olvasni.)

Az EU kiberbiztonsági stratégiája

A NIS2 célja tiszta és egyértelmű. Az EU azt szeretné, ha minden, a területén működő alapvető és fontos társaság rendelkezne olyan kibervédelmi rendszerrel, amely megnehezíti a támadók dolgát, lehetővé teszi, hogy a támadásokról gyors és teljes körű jelentés készüljön, ami egyben megosztható is legyen a nemzeti incidenskezelő központok között.

Ez utóbbi a nemzetközi támadásokkal szembeni összehangolt fellépés érdekében fontos.

A nemzeti jogszabályokban megfogalmazott elvárások és az azok alapján kialakított információvédelmi intézkedések is mind ennek a célnak az elérését hivatottak támogatni, vagyis

• csökkentsük a cégekben az incidensek esélyét;

• minél hamarabb észleljék a cégek egy incidens bekövetkeztét;

• minél gyorsabban és hatékonyabban reagáljanak egy bekövetkezett incidensre (ideértve az arról való kötelező jelentéstételt is).

A NIS2 kiterjesztett hatókörébe nagyon sok olyan társaság is bekerült, amely számára várhatóan egy jó hosszú felkészülési út vezet majd a fenti célok elérésig.

Több lépésben és több hónapos felkészüléssel tudják csak kialakítani a követelményeknek megfelelő információbiztonsági irányítási rendszerüket.

Ennek során nem csak technológiai, hanem jogi, folyamatszervezési, HR és más adminisztrációs kihívásokkal is találkozni fognak. A követelmények egy része már ismert, de egy másik része még csak terv formájában létezik.

Önazonosítás és regisztráció

Az első feladat, hogy az érintettek magukra ismerjenek. Ehhez meg kell vizsgálni a KKV törvény szerinti besorolásukat, valamint azt, hogy végeznek-e a Kibertan. tv. mellékleteiben meghatározott valamely tevékenységet.

Akár csak egyetlen ilyen tevékenység is akad, az a teljes cég érintettségét fogja jelenteni, és innentől kezdve elkerülhetetlenné válik a megfeleléssel való foglalkozás.

Az érintett vállalatoknak június 30-ig kell regisztrálniuk az SZTFH 420 jelű nyomtatvány kitöltésével. Ebben a kérdőívben adminisztratív és technológiai kérdéseket egyaránt találhatunk, a belső információbiztonsági felelős pontos személyes adatait és elérhetőségét is itt kell feltüntetni.

A regisztráció nagyon fontos lépés, mivel az illetékes hatóság maga nem fogja felkeresni a Kibertan. tv. hatálya alá került társaságokat, a cégeknek kell bejelentkezniük a hatóságnál.

Az elmaradt regisztrációért ugyanakkor várhatóan mulasztási bírságot kaphatnak az érintettek. Ennek részletei viszont még nem ismertek, mivel azt az egyik még hiányzó rendelet fogja szabályozni.

Ezzel kapcsolatban milliós összegről lehet hallani a hatóság képviselőitől. A kötelező regisztráció célja, hogy azzal európai szintű nyilvántartást hozzanak létre a NIS2 hatálya alá tartozó cégekről.

A felkészülés menete

A további lépésekről egyelőre csak rendelettervezetekből tájékozódhatunk. Ezek alapján várható, hogy az érintett cégeknek össze kell majd írniuk az általuk használt elektronikus információs rendszereket, és azokat három védelmi osztályba kell sorolniuk: alap, jelentős és magas.

A besorolást attól függően kell megtenniük, hogy azokban milyen adatokat dolgoznak fel vagy tárolnak, és azok milyen kockázatokat hordoznak a cégre, illetve a társadalomra nézve.

A besorolás módszertanára egy ajánlást is megfogalmaz majd a rendelettervezet, ezzel is csökkentve annak szubjektivitását.

A felhasznált rendszerek besorolása alapján már nagyjából egyértelmű lesz, hogy milyen kötelezően alkalmazandó védelmi intézkedéseket kell kialakítani velük kapcsolatban.

Erre egy intézkedési katalógus áll majd a cégek rendelkezésére, amelyről szintén egy még hiányzó rendelet tervezetéből informálódhatunk. A katalógus alapján várható, hogy meg lesz kötve a társaságok keze, az információbiztonsági keretrendszerük részleteinek kidolgozásakor.

A kötelezően alkalmazandó védelmi intézkedések katalógusa már hónapok óta társadalmi egyeztetésen van. A végleges verzióját még nem adták ki, a munkapéldány alapján azonban egy igen komplex követelményrendszer várható.

A NIS2 auditorok több száz kontrollpont alapján fogják majd vizsgálni a cégek felkészültségét. Ebben fontos szerepet kap az adathordozók és a fizikai környezet védelme, a személyi biztonság, az ellátási lánc védelme, a felhasználók képzése, a harmadik féltől igénybe vett szolgáltatások kockázatelemzése, a hozzáférés-felügyelet, az üzletfolytonosság és az incidenskezelés tervezése, az informatikai rendszerek működésének folyamatos naplózása és monitorozása.

Ugyan a részletszabályok végleges verzióit még nem adták ki, de a már hatályos NIS2 irányelv, a Kibertan. törvény, a részletszabályokat tartalmazó rendelettervezetek, valamint az információbiztonsági irányítási rendszerek több évtizedes jó gyakorlatai megfelelő kiindulási pontot jelentenek a felkészülés elkezdésére.

Az érintett cégeknek 2024. év végéig kell eljutniuk a felkészültség azon fokára, ahol már szerződni tudnak az általuk kiválasztott NIS2 auditorral, és érdemben ütemezni is tudják megfelelésük ellenőrzését.

A szerző a Grant Thornton Digitál üzletágvezetője és partnere