Megjelentek a NIS2 szabályozásához kapcsolódó rendeletek

A Magyar Közlöny 68. számában két olyan rendelet is megjelent, amelyet már nagyon vártak a magyar információbiztonsági ipar szereplői. Mindkettő a NIS2 szabályozáshoz kapcsolódik, az egyik az auditorokkal szemben támasztott követelményekről, a másik az információs rendszerek biztonsági osztályba sorolásáról szól.

Az első rendeletet az SZTFH elnöke jegyzi, minthogy az SZTFH lesz az a hatóság, amely az a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását végzi. A jogszabály szerint minden auditor cégnek rendelkeznie kell:

• két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
• információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
• a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
• törlési eljárásrenddel.

Bizonyos feltételek attól függnek, hogy az auditor a tevékenységet milyen biztonsági osztályba sorolt rendszerekre kívánja végezni. Az „alap” biztonsági osztály esetén legalább két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség. A „jelentős” biztonsági osztály esetén tíz szakértő, 50 millió forintos felelősségbiztosítás és 15 referencia a minimum.

A jogszabály szövegéből első olvasatra úgy látszik, hogy az Alkotmányvédelmi Hivatal által kiállított úgynevezett telephelybiztonsági tanúsítványt (tbt-t) csak a „jelentős” és „magas” biztonsági osztály esetén kell bemutatnia az auditornak – nekik viszont öt évre visszamenően kell rendelkezniük ezzel. Az általunk megkérdezett szakértők szerint azonban erről nincs szó: minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a tbt. Jelenleg mintegy kéttucatniy vállalat szerepel ebben a nyilvántartásban, de korántsem biztos, hogy mindegyik NIS2 auditor is akar lenni. Pedig jó lenne, hogy minél nagyobb számú auditor végezhessen tevékenységet – korábban ugyanis gyakorlatilag minden szakértő annak a félelmének adott hangot, hogy egész egyszerűen nem lesz elegendő szakember és idő a szükséges auditok végrehajtására a kijelölt határidőig, 2025. december 31-ig.

Talán még inkább várt jogszabály volt a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szóló, a Miniszterelnöki Kabinetirodát vezető miniszter által kiadott rendelet. Ennek szövegét már januárban társadalmi vitára bocsátották, az hónapokkal ezelőtt le is zárult, és azóta a szakmában mindenki tűkön ülve várta, hogy megjelenjen a végleges szöveg – addig ugyanis nem lehet a ténylegesen feltárni a hiányosságokat, intézkedési terveket kidolgozni és megvalósítani azokat.

A rendelet 2. melléklete több mint száz oldalon sorolva a következő kategóriákat határozza meg a védelmi intézkedésekhez:

• programmenedzsment
• hozzáférés-felügyelet
• tudatosság és képzés
• naplózás és elszámoltathatóság
• értékelés, engedélyezés és monitorozás
• konfigurációkezelés
• készenléti tervezés
• azonosítás és hitelesítés
• biztonsági események kezelése
• karbantartás
• adathordozók védelme
• fizikai és környezeti védelem
• tervezés
• személyi biztonság
• kockázatkezelés
• rendszer- és szolgáltatásbeszerzés
• rendszer és kommunikációvédelem
• rendszer- és információsértetlenség
• ellátási lánc kockázatkezelése

Az SZTFH a két rendelet megjelenéséhez kapcsolódó közleményében hangsúlyozza, hogy már csak alig pár napjuk maradt a NIS2 szabályozásban érintett magyarországi vállalatoknak arra, hogy a Kibertan.tv szerinti nyilvántartásba vételi kötelezettségüknek eleget tegyenek. Ezt június 30-ig kezdeményezhetik az érintettek az SZTFH-nál, ezt követően csak az arányos szankcionálást követően tudják pótolni elmaradásukat. Sok cég volt, amelyik azért végezte el a regisztrációt, mert hiányolta a részletszabályokat – erre többé nem lehet hivatkozni, de a cselekvésre már csak pár nap maradt.

„Össztársadalmi érdek a magasabb szintű kiberbiztonság. A törvény előírásait nem kötelező teherként szükséges megélni, hiszen általánosságban is fontos, a jogszabály hatálya alá tartozó cégek, szervezetek számára pedig egyenesen elemi érdek a biztonságtudatos működés. Ezáltal ugyanis nagyobb eséllyel előzhetőek meg, illetve háríthatóak el a milliós, vagy akár százmilliós károkozással fenyegető kibertámadások, amelyek közvetve vagy közvetlenül az ügyfélkörre is veszélyt jelenthetnek” – mondta Dr. Nagy László, az SZTFH elnöke.”

Forrás: https://hirlevel.egov.hu

---