NIS2 – kibertan törvény
NIS2 direktíva és a hozzá kapcsolódó magyar jogszabályok
NIS2 miatt Magyarországon hatályba lépett az úgynevezett kibertan törvény, amely a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről rendelkezik. Ez mintegy kiegészítése és megújítása a 2013 évi L törvény az állami és önkormányzati szervek elektronikus információbiztonságáról törvénynek. Szakmai szlengben emlegetjük, mint „Lajos törvény” vagy Info biztonsági törvény. Erről, a Kibertámadás Podcast készített egy remek adást S2:E78 Idén tíz éves az Ibtv. [meglepetés_adás] címmel.
A műsorban a készítők végig veszik, hogy milyen szakmai érvek mentén készült a törvény, amelyből én az alábbiakat emelem ki:
- A törvény rendelkezik Információbiztonsági felelős (IBF) kinevezéséről, és a felelősségéről, illetve arról, hogy ezt a felelősséget nem tudja áthárítani.
- Kiemelik, hogy miért nem került bele a felhő.
NIS2 hatályba lépése
2023-ban hatályba lépett a NIS2 irányelv, amely aktualizálta a korábbi uniós kiberbiztonsági szabályokat, tehát az (EU) 2016/1148 NIS irányelvet. A korábban aktuális szabályokat kiterjesztette új ágazatokra. Illetve új jogi intézkedéseket fogalmaz meg, amely megteremti a jogalapot és kötelezettséget a tagállamok közötti szorosabb IT biztonsági együttműködésről, és a direktíva érvényre juttatására.
(Forrás: https://digital-strategy.ec.europa.eu/hu/policies/nis2-directive)
Miről is szól? Mi a célja?
A NIS2 irányelv lényege, hogy javítsa az informatikai rendszerek általános biztonságát, tehát növelje az EU általános kiber-ellenálló képességét. Így hozzanak létre országos kibervédelmi rendszereket, amelyeknek be kell jelenteni és, amelyek kezelik a nagy volumenű incidenseket. Továbbá nemzetközi szinten működnek együtt. Pluszban a NIS2 kikényszeríti, hogy a tagállamok betartassák ezeket a rendelkezéseket, amelyekhez megfelelő mértékű büntetési tételt is javasol.
Az EU direktívának (NIS2) 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv-nek való megfelelést szolgálja a 2023. évi XXIII. Törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről. Azaz a kibertan törvény.
Két szervezetet különböztet meg
A kibertan törvény megkülönböztet alapvető és fontos szervezeteket. Tisztázza, hogy mely szereplők, melyik kategóriába kerülnek, ahol a védekezés szintje arányos kell hogy legyen a kockázatokkal. Tisztázza, hogy a védelemnek mire kell kiterjednie és, hogy a kiberbiztonsági felügyeletet és tanúsítást, mely szereplők végzik. A kiberbiztonsági felügyeletet a Szabályozott Tevékenységek Felügyeleti Hatósága (továbbiakban SZFTH) látja el.
Mi a következő lépés? Honnan tudjam, hogyan feleljek meg a NIS2 – kibertan törvénynek.
Célszerű egy tanácsadót felkérni, aki segít megállapítani az érintettséget és kidolgozni egy cselekvési tervet. Az érintettséget megállapítani sok esetben nem triviális. Ha a 2-es számú melléklet szerint nem érintett a cég, de beszállítója egy érintett cégnek, akkor vélhetően bekerül a törvény hatálya alá, mert a törvény rendelkezik a beszállítói kapcsolatokról is.
(Forrás: https://kibertan.hu/ )
Az Athalie Consulting tud Önnek segíteni. Itt találja meg az elérhetőségeinket.
Határidők
2024. január 1:
- Önazonosítás,
- Biztonsági osztályba sorolás,
- IBF kinevezése, feladatkörök definiálása.
2024. október 18:
- Konkrét védelmi intézkedések alkalmazása.
- Kiberbiztonsági felügyeleti díj megfizetése: nyilvántartásba vételi eljárás szolgáltatási díja 90 000 Ft, amely a 30/2022. (II. 14.) SZTFH „rendelet a nemzeti kiberbiztonsági tanúsító hatóság eljárásával összefüggő kiberbiztonsági tanúsítás keretében fizetendő igazgatási szolgáltatási díjról” – ben kerül megállapításra.
2025. december 31:
- Kiberbiztonsági követelményeknek való megfelelés bizonyítására kétévente a tevékenység végzésére jogosult, független auditor által kiberbiztonsági audit végeztetése.
A törvény a NIS2 direktívát illeszti be a magyar jogrendbe és tisztázza azok vonatkozásait, illetve jeleníti meg azok mellékleteit. Az érintettek köre a 2. számú mellékletben olvasható.
A mellékletek tekintetében felhívjuk a figyelmet, hogy a jogszabály 2023 októberében hatályos változata még nem tartalmazza a mellékleteket. Azok a cikk írásakor érvényes jogszabály szerint 2024.január 1-jén lépnek hatályba.
(A jogszabály különböző hatályos verziói a cím alatt található naptár ikonra kattintva érhetők el.)
(Forrás: https://njt.hu/jogszabaly/2023-23-00-00)
Kik az érintettek?
Érintettek az 1 számú melléklet szerint, a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek.
Ezeket a melléklet még külön részletez:
- Energetika: Villamos energia, Távfűtés és hűtés, Kőolaj, Földgáz, Hidrogén,
- Közlekedés: légi, vasúti, közúti, vízi, tömegközlekedés,
- Egészségügy,
- Ivóvíz, szennyvíz,
- Víziközmű szolgáltatás,
- Hírközlési szolgáltatás,
- Digitális infrastruktúra,
- Kihelyezett IKT (infokommunikációs/infobiztonsági) szolgáltatások,
- Űralapú szolgáltatás.
Érintettek a 2 számú melléklet szerint, a kockázatos ágazatokban működő szolgáltatók és szervezetek.
Ezeket a melléklet még külön részletez:
- Postai és futárszolgálatok,
- Élelmiszer előállítása, feldolgozása és forgalmazása
- Hulladékgazdálkodás,
- Vegyszerek előállítása és forgalmazása,
- Gyártás: Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása; Számítógép, elektronikai, optikai termék gyártása; Villamos berendezések gyártása; Máshova nem sorolt gépek és berendezések gyártása; Gépjárművek, pótkocsik és félpótkocsik gyártása; Egyéb szállítóeszközök gyártása; Cement-, mész-, gipszgyártás,
- Digitális szolgáltatók,
- Kutatás.
Az érintettek néhány kötelezettsége a NIS2 – kibertan törvényben
- Nyilvántartásba vétel az SZTFH-nál, majd 2 évente auditálás.
- Éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint).
- Biztonsági incidensek/események bejelentése 24/72 órán belül a hatóságok felé.
- IBF kijelölése, informatikai biztonsági szabályzat kidolgozása (IBSZ), IBIR/ISMS (információ biztonsági rendszer bevezetése/ information security management system).
- Adatvagyon leltár és kockázatelemzés.
- IT biztonsági kontrollok megvalósítása, logikai, és fizikai biztonsági intézkedések, ügy mint MFA, SSO, encryption (javasolt általában valamelyik ismert standard alapján: ISO27001, NIST Cybersecurity Framework, CIS Controls/Benchmarks).
- Incidens kezelési terv kidolgozása (Incident Response Plan).
- Üzletmenet-folytonossági terv (BCP – Business Continuity Plan).
- Katasztrófa utáni helyreállítási terv (DRP – Disaster Recovery Plan).
- .Beszállítok biztonságának biztosítása a „supply chain attack” miatt, illetve ezt az alvállalkozói szerződésekben is kikényszeríteni.
- Security Awareness – azaz IT security tudatossági kepézések.
- Sérülékenységi/behatolás vizsgálatok, riportálása rendszeresen (Vulnerablity scan, Penetration test)
A vezetői felelősség
Már a 2013 évi L. törvényben is a felelősség az IBF-et terhelte és rögzítette, hogy azt nem lehet átruházni. A biztonsági intézkedéseket az IBF felügyeli és hagyja jóvá.
A management felelőssége a rendszeres IT biztonság tudatossági képzések megtartása. Akár belső, akár külsős erőforrással. A security awareness képzések elvégését tudni kell igazolni, akár csak egy ISO27001 auditon.
Továbbá a vezető felelőssége a saját IT rendszerek biztonsága. Illetve a beszállítói lánc kiberbiztonsági megfelelősége és ennek kikényszerítése az alvállalkozói szerződésekben.
Összegezve ez a tétel azt jelent, hogy amennyiben nem érintett egy cég a kibertan törvény mellékletei szerint, de beszállít egy vagy több érintett cégeknek, úgy az ellátási lánc miatt az éritetté válik.
A büntetés mértéke, ha nem felelünk meg a NIS2 – kibertan törvénynek
Korábban már utaltunk rá, hogy a rendelet be nem tartása közigazgatási bírságokat vonhat maga után:
- Az alapvető szervezetekre 10.000.000 EUR vagy az előző évi teljes árbevétel 2%-a.
- Fontos szervezetek esetén 7.000.000 EUR vagy az előző évi teljes árbevétel 1,4%-a.
- A társaságot eltiltja a tevékenységétől.
- A vezető tisztségviselőjét eltiltás alá helyezik.
Hogyan tudunk megfelelni a NIS2 – kibertan törvénynek?
A 2013 évi L. törvény és a kibertan törvény csak magas szintű szabályozásokat fogalmaz meg. A konkrét technikai kontrollokat külön jogszabály határozza meg.
2013 évi L törvény esetében a technikai kontrollokat a 41/2015. (VII. 15.) BM rendelet „az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről” szabályozza.
2023 évi XXIII. (kibertan) törvény esetében a jogalkotó jelen cikk írásakor még nem tette közzé a technikai kontrollokat tartalmazó rendeletet.
Használhatjuk a közismert security kontrolokat
- MNB 8/2020-as ajánlása: a Magyar Nemzeti Bank 8/2020. (VI.22.) számú ajánlása az informatikai rendszer védelméről. Ezt talán a legszigorúbb megoldás, ami elsősorban pénzintézetek számára kötelező, és rendszeresen auditálásra kerül az adott szervezet.
- Center for Internet Security (CIS) kontrolok: A CIS controls és a CIS benchmark egy nagyon jó kiindulási alap akár KKV, akár nagyvállalati szektorban, ugyanis ez jó IT biztonsági alapokat valósit meg, de ugyanakkor erre nem lehet auditálást és tanúsítványt kérni.
- ISO27001 tanúsítvány, amely a világ egyik közismert információ biztonsági irányítási rendszere. Ez a szabvány jelentős részben összhangban van a CIS kontrolokkal. Illetve az MNB ajánlással is. Továbbá bármilyen cég megszerezheti ezt a tanúsítványt, megfelelő felkészítés mellett, egy tanúsítási eljárás keretében. Ennek a tanúsítványnak marketing/szakmai értéke is van, hiszen a beszállítói láncok vizsgálatánál hasznos lehet ilyet megkövetelni a beszállítónktól. Vagy épp beszállítóként tudni bemutatni ezt a tanusítványt, megrendelőnk felé. Mivel a kibertan törvény tényleges kontroljai még nem ismertek, de valószínűleg jórészt összhangban lesznek az ISO27001 kontrolokkal, ezért érdemes megfontolni ennek a megszerzését. Ezután minimális átalakítás lesz szükséges a NIS2 megfelelésnek.
Az alábbi irányelvek mentét érdemes elkezdeni a felkészülést a KKV szektorban a NIS2-re
Mielőtt belevágnánk egy ISO minősítésbe, javasolt felmérni, hogy jelenleg hol tart a kiberbiztonsági érettsége a szervezetnek.
A kiberbiztonsági érettség felméréshez az ENISA (Európai Kiberbiztonsági Ügynökség) egy rendszert fejlesztett le, hogy segítsen a KKV szektor tagjainak felmérni az őket érintő kihívásokat. Felméri és kiértékeli a kockázatokat, illetve meghatározegy cselekvési tervet.
Ez a rendszer (Cybersecurity Maturity Assessment for Small and Medium Enterprises) egy egyszerű e-mail regisztráció után végig vezet a, nagyságrendileg 40, kérdésen. Majd a kérdésekre adott válasz alapján megkapjuk a:
- Kiberbiztonsági értékelést. (Egy adott szervezet kezdő, haladó vagy szakértői érettségi szinten áll)
- Személyre szabott intézkedési tervet, amely a legjobb kiberbiztonsági gyakorlatok ajánlásával segíti a szervezeteket a kiberbiztonsági érettségük növelésében.
A szervezetek számára az alábbi három kulcsfontosságú területet kell értékelniük a NIS2 megfeleléshez
- Emberek - annak felmérése, hogy az alkalmazottak mennyire biztonság tudatosak.
- Technológia - a legjobb kiberbiztonsági gyakorlatok kiválasztása, implementálása.
- Folyamatok – a szervezet a megfelelő folyamatokkal rendelkezzen a kiberbiztonsági kockázatok kezeléséhez
Az ENISA felmérő eszközének kiértékelése
Elvégeztünk több felmérést. Kiértékeltük az ENISA eszközét:
- hogyan működik a regisztrációt,
- milyen kérdések vannak,
- és a kérdésekre adott különböző válaszok esetén milyen cselekvési terveket generál számunkra.
A felmérést két módszerrel végeztük el, mindkét esetben a kezdő és a haladó szintet mértük fel, a szakértői szintet nem engedi a rendszer, amíg az alapokon nem felelünk meg.
- A feltett kérdésekre megfelelő, a valóságot tükröző választ adtunk.
- A feltett kérdésekre minden esetben a „Nem tudom” vagy „Nem értem a kérdést” válaszoltuk.
Mindkét felmérési esetben releváns cselekvési tervet kaptunk, amely összhangban van az általános security „best-practise”-ekkel.
Következő blog cikkünkben bemutatjuk a NIS2-t kivonatolva, és az ENISA cselekvési tervet.
Miért válasszon minket az ISO27001 vagy a NIS2 felkészüléshez?
- Több éves IT üzemeltetési és IT biztonsági tapasztalat.
- Segítünk a BCP és DRP kidolgozásban, illetve sérülékenység vizsgálatokban.
- Több éves partneri tapasztalat az információ biztonság és tanúsítások kapcsán.
Ha további kérdése van, szeretné felkészíteni cégét a NIS2 megfeleléshez itt tudja felvenni velünk a kapcsolatot.