Január eleje óta hatályos, a NIS2 közösségi irányelv alapján létrejött kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023-as Kibertan.tv. Rémisztőnek és komplexnek tűnhetnek az ebben megfogalmazott feladatok azoknak, akik korábban nem foglalkoztak információbiztonsággal.
Az is nehezíti a tisztánlátást, hogy a jogszabály több végrehajtási rendelete is hiányzik még. Ezek jelenleg minisztériumi vagy hatósági egyeztetések alatt állhatnak.
Tartalmukba pedig csak innen-onnan, társadalmi egyeztetéseken és az illetékes hatóság (SZTFH – Szabályozott Tevékenységek Felügyeleti Hatósága) tájékoztatóin kaphatunk részleges betekintést.
Emiatt rendelkezünk egyfelől biztosnak tekinthető NIS2 információkkal, amelyeket az EU ide vonatkozó irányelvéből és a fent említett hazai jogszabályból olvashatunk ki, másfelől rendelkezünk még bizonytalan információkkal is, amik a még ki nem hirdetett rendeletek tervezeteiből származnak.
Ráadásul kevés szakember és társaság mondhatja el magáról, hogy olyan szinten foglalkozott volna eddig az információbiztonsággal, amilyen szinten azt a NIS2 követelményrendszere a jövőben elvárja, így egyfajta folyamatos közösségi edukáció is megfigyelhető a NIS2 előadásokat és konferenciákat járva.
Az EU kiberbiztonsági stratégiája
A NIS2 célja tiszta és egyértelmű. Az EU azt szeretné, ha minden, a területén működő alapvető és fontos társaság rendelkezne olyan kibervédelmi rendszerrel, amely megnehezíti a támadók dolgát, lehetővé teszi, hogy a támadásokról gyors és teljes körű jelentés készüljön, ami egyben megosztható is legyen a nemzeti incidenskezelő központok között.
Ez utóbbi a nemzetközi támadásokkal szembeni összehangolt fellépés érdekében fontos.
A nemzeti jogszabályokban megfogalmazott elvárások és az azok alapján kialakított információvédelmi intézkedések is mind ennek a célnak az elérését hivatottak támogatni, vagyis
• csökkentsük a cégekben az incidensek esélyét;
• minél hamarabb észleljék a cégek egy incidens bekövetkeztét;
• minél gyorsabban és hatékonyabban reagáljanak egy bekövetkezett incidensre (ideértve az arról való kötelező jelentéstételt is).
A NIS2 kiterjesztett hatókörébe nagyon sok olyan társaság is bekerült, amely számára várhatóan egy jó hosszú felkészülési út vezet majd a fenti célok elérésig.
Több lépésben és több hónapos felkészüléssel tudják csak kialakítani a követelményeknek megfelelő információbiztonsági irányítási rendszerüket.
Ennek során nem csak technológiai, hanem jogi, folyamatszervezési, HR és más adminisztrációs kihívásokkal is találkozni fognak. A követelmények egy része már ismert, de egy másik része még csak terv formájában létezik.
Önazonosítás és regisztráció
Az első feladat, hogy az érintettek magukra ismerjenek. Ehhez meg kell vizsgálni a KKV törvény szerinti besorolásukat, valamint azt, hogy végeznek-e a Kibertan. tv. mellékleteiben meghatározott valamely tevékenységet.
Akár csak egyetlen ilyen tevékenység is akad, az a teljes cég érintettségét fogja jelenteni, és innentől kezdve elkerülhetetlenné válik a megfeleléssel való foglalkozás.
Az érintett vállalatoknak június 30-ig kell regisztrálniuk az SZTFH 420 jelű nyomtatvány kitöltésével. Ebben a kérdőívben adminisztratív és technológiai kérdéseket egyaránt találhatunk, a belső információbiztonsági felelős pontos személyes adatait és elérhetőségét is itt kell feltüntetni.
A regisztráció nagyon fontos lépés, mivel az illetékes hatóság maga nem fogja felkeresni a Kibertan. tv. hatálya alá került társaságokat, a cégeknek kell bejelentkezniük a hatóságnál.
Az elmaradt regisztrációért ugyanakkor várhatóan mulasztási bírságot kaphatnak az érintettek. Ennek részletei viszont még nem ismertek, mivel azt az egyik még hiányzó rendelet fogja szabályozni.
Ezzel kapcsolatban milliós összegről lehet hallani a hatóság képviselőitől. A kötelező regisztráció célja, hogy azzal európai szintű nyilvántartást hozzanak létre a NIS2 hatálya alá tartozó cégekről.
A felkészülés menete
A további lépésekről egyelőre csak rendelettervezetekből tájékozódhatunk. Ezek alapján várható, hogy az érintett cégeknek össze kell majd írniuk az általuk használt elektronikus információs rendszereket, és azokat három védelmi osztályba kell sorolniuk: alap, jelentős és magas.
A besorolást attól függően kell megtenniük, hogy azokban milyen adatokat dolgoznak fel vagy tárolnak, és azok milyen kockázatokat hordoznak a cégre, illetve a társadalomra nézve.
A besorolás módszertanára egy ajánlást is megfogalmaz majd a rendelettervezet, ezzel is csökkentve annak szubjektivitását.
A felhasznált rendszerek besorolása alapján már nagyjából egyértelmű lesz, hogy milyen kötelezően alkalmazandó védelmi intézkedéseket kell kialakítani velük kapcsolatban.
Erre egy intézkedési katalógus áll majd a cégek rendelkezésére, amelyről szintén egy még hiányzó rendelet tervezetéből informálódhatunk. A katalógus alapján várható, hogy meg lesz kötve a társaságok keze, az információbiztonsági keretrendszerük részleteinek kidolgozásakor.
A kötelezően alkalmazandó védelmi intézkedések katalógusa már hónapok óta társadalmi egyeztetésen van. A végleges verzióját még nem adták ki, a munkapéldány alapján azonban egy igen komplex követelményrendszer várható.
A NIS2 auditorok több száz kontrollpont alapján fogják majd vizsgálni a cégek felkészültségét. Ebben fontos szerepet kap az adathordozók és a fizikai környezet védelme, a személyi biztonság, az ellátási lánc védelme, a felhasználók képzése, a harmadik féltől igénybe vett szolgáltatások kockázatelemzése, a hozzáférés-felügyelet, az üzletfolytonosság és az incidenskezelés tervezése, az informatikai rendszerek működésének folyamatos naplózása és monitorozása.
Ugyan a részletszabályok végleges verzióit még nem adták ki, de a már hatályos NIS2 irányelv, a Kibertan. törvény, a részletszabályokat tartalmazó rendelettervezetek, valamint az információbiztonsági irányítási rendszerek több évtizedes jó gyakorlatai megfelelő kiindulási pontot jelentenek a felkészülés elkezdésére.
Az érintett cégeknek 2024. év végéig kell eljutniuk a felkészültség azon fokára, ahol már szerződni tudnak az általuk kiválasztott NIS2 auditorral, és érdemben ütemezni is tudják megfelelésük ellenőrzését.
A szerző a Grant Thornton Digitál üzletágvezetője és partnere