Megjelentek a NIS2 szabályozásához kapcsolódó rendeletek


A Magyar Közlöny 68. számában két olyan rendelet is megjelent, amelyet már nagyon vártak a magyar információbiztonsági ipar szereplői. Mindkettő a NIS2 szabályozáshoz kapcsolódik, az egyik az auditorokkal szemben támasztott követelményekről, a másik az információs rendszerek biztonsági osztályba sorolásáról szól.

Az első rendeletet az SZTFH elnöke jegyzi, minthogy az SZTFH lesz az a hatóság, amely az a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását végzi. A jogszabály szerint minden auditor cégnek rendelkeznie kell:

  • két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
  • információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
  • a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
  • törlési eljárásrenddel.

Bizonyos feltételek attól függnek, hogy az auditor a tevékenységet milyen biztonsági osztályba sorolt rendszerekre kívánja végezni. Az „alap” biztonsági osztály esetén legalább két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség. A „jelentős” biztonsági osztály esetén tíz szakértő, 50 millió forintos felelősségbiztosítás és 15 referencia a minimum.

A jogszabály szövegéből első olvasatra úgy látszik, hogy az Alkotmányvédelmi Hivatal által kiállított úgynevezett telephelybiztonsági tanúsítványt (tbt-t) csak a „jelentős” és „magas” biztonsági osztály esetén kell bemutatnia az auditornak – nekik viszont öt évre visszamenően kell rendelkezniük ezzel. Az általunk megkérdezett szakértők szerint azonban erről nincs szó: minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a tbt. Jelenleg mintegy kéttucatniy vállalat szerepel ebben a nyilvántartásban, de korántsem biztos, hogy mindegyik NIS2 auditor is akar lenni. Pedig jó lenne, hogy minél nagyobb számú auditor végezhessen tevékenységet – korábban ugyanis gyakorlatilag minden szakértő annak a félelmének adott hangot, hogy egész egyszerűen nem lesz elegendő szakember és idő a szükséges auditok végrehajtására a kijelölt határidőig, 2025. december 31-ig.

Talán még inkább várt jogszabály volt a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szóló, a Miniszterelnöki Kabinetirodát vezető miniszter által kiadott rendelet. Ennek szövegét már januárban társadalmi vitára bocsátották, az hónapokkal ezelőtt le is zárult, és azóta a szakmában mindenki tűkön ülve várta, hogy megjelenjen a végleges szöveg – addig ugyanis nem lehet a ténylegesen feltárni a hiányosságokat, intézkedési terveket kidolgozni és megvalósítani azokat.

A rendelet 2. melléklete több mint száz oldalon sorolva a következő kategóriákat határozza meg a védelmi intézkedésekhez:

  • programmenedzsment
  • hozzáférés-felügyelet
  • tudatosság és képzés
  • naplózás és elszámoltathatóság
  • értékelés, engedélyezés és monitorozás
  • konfigurációkezelés
  • készenléti tervezés
  • azonosítás és hitelesítés
  • biztonsági események kezelése
  • karbantartás
  • adathordozók védelme
  • fizikai és környezeti védelem
  • tervezés
  • személyi biztonság
  • kockázatkezelés
  • rendszer- és szolgáltatásbeszerzés
  • rendszer és kommunikációvédelem
  • rendszer- és információsértetlenség
  • ellátási lánc kockázatkezelése

Az SZTFH a két rendelet megjelenéséhez kapcsolódó közleményében hangsúlyozza, hogy már csak alig pár napjuk maradt a NIS2 szabályozásban érintett magyarországi vállalatoknak arra, hogy a Kibertan.tv szerinti nyilvántartásba vételi kötelezettségüknek eleget tegyenek. Ezt június 30-ig kezdeményezhetik az érintettek az SZTFH-nál, ezt követően csak az arányos szankcionálást követően tudják pótolni elmaradásukat. Sok cég volt, amelyik azért végezte el a regisztrációt, mert hiányolta a részletszabályokat – erre többé nem lehet hivatkozni, de a cselekvésre már csak pár nap maradt.

„Össztársadalmi érdek a magasabb szintű kiberbiztonság. A törvény előírásait nem kötelező teherként szükséges megélni, hiszen általánosságban is fontos, a jogszabály hatálya alá tartozó cégek, szervezetek számára pedig egyenesen elemi érdek a biztonságtudatos működés. Ezáltal ugyanis nagyobb eséllyel előzhetőek meg, illetve háríthatóak el a milliós, vagy akár százmilliós károkozással fenyegető kibertámadások, amelyek közvetve vagy közvetlenül az ügyfélkörre is veszélyt jelenthetnek” – mondta Dr. Nagy László, az SZTFH elnöke.”

Forrás: https://hirlevel.egov.hu


Kapcsolódó cikkek

2024. július 11.

Várható-e fordulat 2024-ben a cégvezetéstől eltiltott személyek számában?

A tavalyi és az idei kényszertörlési eljárások meghatározóak lesznek idén a számok alakulásában. Az elmúlt két évben indított jelentős számú felszámolási és kényszertörlési eljárások ellenére 2023-ban alig haladta meg a cégvezetéstől eltiltott személyek száma a 20 ezret. Bár csekély mértékben, de 2023-ban ismét csökkenő tendenciát mutat az újonnan eltiltott magánszemélyek száma, amiben fordulat várható 2024-ben.

2024. július 10.

Megjelentek a nyári extra adóváltozások – tette közzé a Magyar Közlöny

A Magyar Közlöny 2024. július 8-án megjelent 74. számában három kormányrendelet került kihirdetésre, amelyek az adózás rendjét, a szociális hozzájárulási adót, valamint az extraprofitadókat illetően vezetnek be változásokat, illetve újabb adókötelezettségeket. A Grant Thornton nemzetközi üzleti- és adótanácsadó cég szakértői a következőkben összefoglalják a három rendeletben bevezetett legfontosabb szabályokat és segítséget nyújtanak a rendeletek értelmezésében.