Athalie Consulting
Athalie Consulting

A legjobb megoldás egy kézből.

Kövess minket

Search

Athalie Consulting
  -  Aktualitások   -  NIS2 – kibertan törvény

NIS2 direktíva és a hozzá kapcsolódó magyar jogszabályok

NIS2 miatt Magyarországon hatályba lépett az úgynevezett kibertan törvény, amely a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről rendelkezik. Ez mintegy kiegészítése és megújítása a 2013 évi L törvény az állami és önkormányzati szervek elektronikus információbiztonságáról törvénynek. Szakmai szlengben emlegetjük, mint „Lajos törvény” vagy Info biztonsági törvény. Erről, a Kibertámadás Podcast készített egy remek adást S2:E78 Idén tíz éves az Ibtv. [meglepetés_adás] címmel. 

A műsorban a készítők végig veszik, hogy milyen szakmai érvek mentén készült a törvény, amelyből én az alábbiakat emelem ki: 

  • A törvény rendelkezik Információbiztonsági felelős (IBF) kinevezéséről, és a felelősségéről, illetve arról, hogy ezt a felelősséget nem tudja áthárítani.
  • Kiemelik, hogy miért nem került bele a felhő. 

NIS2 hatályba lépése

2023-ban hatályba lépett a NIS2 irányelv, amely aktualizálta a korábbi uniós kiberbiztonsági szabályokat, tehát az (EU) 2016/1148 NIS irányelvet. A korábban aktuális szabályokat kiterjesztette új ágazatokra. Illetve új jogi intézkedéseket fogalmaz meg, amely megteremti a jogalapot és kötelezettséget a tagállamok közötti szorosabb IT biztonsági együttműködésről, és a direktíva érvényre juttatására.
(Forrás: https://digital-strategy.ec.europa.eu/hu/policies/nis2-directive)

Miről is szól? Mi a célja?

A NIS2 irányelv lényege, hogy javítsa az informatikai rendszerek általános biztonságát, tehát növelje az EU általános kiber-ellenálló képességét. Így hozzanak létre országos kibervédelmi rendszereket, amelyeknek be kell jelenteni és, amelyek kezelik a nagy volumenű incidenseket. Továbbá nemzetközi szinten működnek együtt. Pluszban a NIS2 kikényszeríti, hogy a tagállamok betartassák ezeket a rendelkezéseket, amelyekhez megfelelő mértékű büntetési tételt is javasol. 

Az EU direktívának (NIS2) 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv-nek való megfelelést szolgálja a 2023. évi XXIII. Törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről. Azaz a kibertan törvény. 

Két szervezetet különböztet meg

A kibertan törvény megkülönböztet alapvető és fontos szervezeteket. Tisztázza, hogy mely szereplők, melyik kategóriába kerülnek, ahol a védekezés szintje arányos kell hogy legyen a kockázatokkal. Tisztázza, hogy a védelemnek mire kell kiterjednie és, hogy a kiberbiztonsági felügyeletet és tanúsítást, mely szereplők végzik. A kiberbiztonsági felügyeletet a Szabályozott Tevékenységek Felügyeleti Hatósága (továbbiakban SZFTH) látja el. 

Mi a következő lépés? Honnan tudjam, hogyan feleljek meg a NIS2 – kibertan törvénynek.

Célszerű egy tanácsadót felkérni, aki segít megállapítani az érintettséget és kidolgozni egy cselekvési tervet. Az érintettséget megállapítani sok esetben nem triviális. Ha a 2-es számú melléklet szerint nem érintett a cég, de beszállítója egy érintett cégnek, akkor vélhetően bekerül a törvény hatálya alá, mert a törvény rendelkezik a beszállítói kapcsolatokról is.
(Forrás: https://kibertan.hu/ )

Az Athalie Consulting tud Önnek segíteni. Itt találja meg az elérhetőségeinket.

Határidők

2024. január 1:
  • Önazonosítás,
  • Biztonsági osztályba sorolás,
  • IBF kinevezése, feladatkörök definiálása.
2024. október 18: 
2025. december 31: 
  • Kiberbiztonsági követelményeknek való megfelelés bizonyítására kétévente a tevékenység végzésére jogosult, független auditor által kiberbiztonsági audit végeztetése.

A törvény a NIS2 direktívát illeszti be a magyar jogrendbe és tisztázza azok vonatkozásait, illetve jeleníti meg azok mellékleteit. Az érintettek köre a 2. számú mellékletben olvasható.

A mellékletek tekintetében felhívjuk a figyelmet, hogy a jogszabály 2023 októberében hatályos változata még nem tartalmazza a mellékleteket. Azok a cikk írásakor érvényes jogszabály szerint 2024.január 1-jén lépnek hatályba.
(A jogszabály különböző hatályos verziói a cím alatt található naptár ikonra kattintva érhetők el.)  

NIS2

(Forrás: https://njt.hu/jogszabaly/2023-23-00-00)

Kik az érintettek? 

Érintettek az 1 számú melléklet szerint, a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek.

Ezeket a melléklet még külön részletez: 

  • Energetika: Villamos energia, Távfűtés és hűtés, Kőolaj, Földgáz, Hidrogén,
  • Közlekedés: légi, vasúti, közúti, vízi, tömegközlekedés,
  • Egészségügy,
  • Ivóvíz, szennyvíz,
  • Víziközmű szolgáltatás,
  • Hírközlési szolgáltatás,
  • Digitális infrastruktúra,
  • Kihelyezett IKT (infokommunikációs/infobiztonsági) szolgáltatások,
  • Űralapú szolgáltatás.
Érintettek a 2 számú melléklet szerint, a kockázatos ágazatokban működő szolgáltatók és szervezetek.

Ezeket a melléklet még külön részletez:

  • Postai és futárszolgálatok,
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás,
  • Vegyszerek előállítása és forgalmazása,
  • Gyártás: Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása; Számítógép, elektronikai, optikai termék gyártása; Villamos berendezések gyártása; Máshova nem sorolt gépek és berendezések gyártása; Gépjárművek, pótkocsik és félpótkocsik gyártása; Egyéb szállítóeszközök gyártása; Cement-, mész-, gipszgyártás, 
  • Digitális szolgáltatók,
  • Kutatás.

Az érintettek néhány kötelezettsége a NIS2 – kibertan törvényben

  • Nyilvántartásba vétel az SZTFH-nál, majd 2 évente auditálás.
  • Éves kiberbiztonsági felügyeleti díj befizetése (az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015%-a, de legfeljebb 10 millió forint).
  • Biztonsági incidensek/események bejelentése 24/72 órán belül a hatóságok felé.
  • IBF kijelölése, informatikai biztonsági szabályzat kidolgozása (IBSZ), IBIR/ISMS (információ biztonsági rendszer bevezetése/ information security management system).
  • Adatvagyon leltár és kockázatelemzés.
  • IT biztonsági kontrollok megvalósítása, logikai, és fizikai biztonsági intézkedések, ügy mint MFA, SSO, encryption (javasolt általában valamelyik ismert standard alapján: ISO27001, NIST Cybersecurity Framework, CIS Controls/Benchmarks).
  • Incidens kezelési terv kidolgozása (Incident Response Plan).
  • Üzletmenet-folytonossági terv (BCP – Business Continuity Plan).
  • Katasztrófa utáni helyreállítási terv (DRP – Disaster Recovery Plan).
  • .Beszállítok biztonságának biztosítása a „supply chain attack” miatt, illetve ezt az alvállalkozói szerződésekben is kikényszeríteni.
  • Security Awareness – azaz IT security tudatossági kepézések.
  • Sérülékenységi/behatolás vizsgálatok, riportálása rendszeresen (Vulnerablity scan, Penetration test) 

A vezetői felelősség 

Már a 2013 évi L. törvényben is a felelősség az IBF-et terhelte és rögzítette, hogy azt nem lehet átruházni. A biztonsági intézkedéseket az IBF felügyeli és hagyja jóvá. 

A management felelőssége a rendszeres IT biztonság tudatossági képzések megtartása. Akár belső, akár külsős erőforrással. A security awareness képzések elvégését tudni kell igazolni, akár csak egy ISO27001 auditon. 

Továbbá a vezető felelőssége a saját IT rendszerek biztonsága. Illetve a beszállítói lánc kiberbiztonsági megfelelősége és ennek kikényszerítése az alvállalkozói szerződésekben.

Összegezve ez a tétel azt jelent, hogy amennyiben nem érintett egy cég a kibertan törvény mellékletei szerint, de beszállít egy vagy több érintett cégeknek, úgy az ellátási lánc miatt az éritetté válik. 

A büntetés mértéke, ha nem felelünk meg a NIS2 – kibertan törvénynek

Korábban már utaltunk rá, hogy a rendelet be nem tartása közigazgatási bírságokat vonhat maga után: 

  • Az alapvető szervezetekre 10.000.000 EUR vagy az előző évi teljes árbevétel 2%-a.
  • Fontos szervezetek esetén 7.000.000 EUR vagy az előző évi teljes árbevétel 1,4%-a.
  • A társaságot eltiltja a tevékenységétől.
  • A vezető tisztségviselőjét eltiltás alá helyezik. 

Hogyan tudunk megfelelni a NIS2 – kibertan törvénynek?

A 2013 évi L. törvény és a kibertan törvény csak magas szintű szabályozásokat fogalmaz meg. A konkrét technikai kontrollokat külön jogszabály határozza meg. 

2013 évi L törvény esetében a technikai kontrollokat a 41/2015. (VII. 15.) BM rendelet „az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről” szabályozza. 

2023 évi XXIII. (kibertan) törvény esetében a jogalkotó jelen cikk írásakor még nem tette közzé a technikai kontrollokat tartalmazó rendeletet. 

Használhatjuk a közismert security kontrolokat

  • MNB 8/2020-as ajánlása: a Magyar Nemzeti Bank 8/2020. (VI.22.) számú ajánlása az informatikai rendszer védelméről. Ezt talán a legszigorúbb megoldás, ami elsősorban pénzintézetek számára kötelező, és rendszeresen auditálásra kerül az adott szervezet.
  • Center for Internet Security (CIS) kontrolok: A CIS controls és a CIS benchmark egy nagyon jó kiindulási alap akár KKV, akár nagyvállalati szektorban, ugyanis ez jó IT biztonsági alapokat valósit meg, de ugyanakkor erre nem lehet auditálást és tanúsítványt kérni. 
  • ISO27001 tanúsítvány, amely a világ egyik közismert információ biztonsági irányítási rendszere. Ez a szabvány jelentős részben összhangban van a CIS kontrolokkal. Illetve az MNB ajánlással is. Továbbá bármilyen cég megszerezheti ezt a tanúsítványt, megfelelő felkészítés mellett, egy tanúsítási eljárás keretében. Ennek a tanúsítványnak marketing/szakmai értéke is van, hiszen a beszállítói láncok vizsgálatánál hasznos lehet ilyet megkövetelni a beszállítónktól. Vagy épp beszállítóként tudni bemutatni ezt a tanusítványt, megrendelőnk felé. Mivel a kibertan törvény tényleges kontroljai még nem ismertek, de valószínűleg jórészt összhangban lesznek az ISO27001 kontrolokkal, ezért érdemes megfontolni ennek a megszerzését. Ezután minimális átalakítás lesz szükséges a NIS2 megfelelésnek. 

NIS2

Az alábbi irányelvek mentét érdemes elkezdeni a felkészülést a KKV szektorban a NIS2-re

Mielőtt belevágnánk egy ISO minősítésbe, javasolt felmérni, hogy jelenleg hol tart a kiberbiztonsági érettsége a szervezetnek. 

A kiberbiztonsági érettség felméréshez az ENISA (Európai Kiberbiztonsági Ügynökség) egy rendszert fejlesztett le, hogy segítsen a KKV szektor tagjainak felmérni az őket érintő kihívásokat. Felméri és kiértékeli a kockázatokat, illetve meghatározegy cselekvési tervet. 

Ez a rendszer (Cybersecurity Maturity Assessment for Small and Medium Enterprises) egy egyszerű e-mail regisztráció után végig vezet a, nagyságrendileg 40, kérdésen. Majd a kérdésekre adott válasz alapján megkapjuk a: 

  • Kiberbiztonsági értékelést. (Egy adott szervezet kezdő, haladó vagy szakértői érettségi szinten áll)
  • Személyre szabott intézkedési tervet, amely a legjobb kiberbiztonsági gyakorlatok ajánlásával segíti a szervezeteket a kiberbiztonsági érettségük növelésében.
A szervezetek számára az alábbi három kulcsfontosságú területet kell értékelniük a NIS2 megfeleléshez
  • Emberek - annak felmérése, hogy az alkalmazottak mennyire biztonság tudatosak.
  • Technológia - a legjobb kiberbiztonsági gyakorlatok kiválasztása, implementálása.
  • Folyamatok – a szervezet a megfelelő folyamatokkal rendelkezzen a kiberbiztonsági kockázatok kezeléséhez

Forrás: https://nki.gov.hu/it-biztonsag/hirek/kkv-k-kiberbiztonsagi-erettsegenek-felmeresehez-biztosit-uj-eszkozt-az-enisa/ 

Az ENISA felmérő eszközének kiértékelése 

Elvégeztünk több felmérést. Kiértékeltük az ENISA eszközét:

  • hogyan működik a regisztrációt,
  • milyen kérdések vannak,
  • és a kérdésekre adott különböző válaszok esetén milyen cselekvési terveket generál számunkra.

A felmérést két módszerrel végeztük el, mindkét esetben a kezdő és a haladó szintet mértük fel, a szakértői szintet nem engedi a rendszer, amíg az alapokon nem felelünk meg.

  • A feltett kérdésekre megfelelő, a valóságot tükröző választ adtunk.
  • A feltett kérdésekre minden esetben a „Nem tudom” vagy „Nem értem a kérdést” válaszoltuk.

Mindkét felmérési esetben releváns cselekvési tervet kaptunk, amely összhangban van az általános security „best-practise”-ekkel.

Következő blog cikkünkben bemutatjuk a NIS2-t kivonatolva, és az ENISA cselekvési tervet. 

Miért válasszon minket az ISO27001 vagy a NIS2 felkészüléshez? 

  • Több éves IT üzemeltetési és IT biztonsági tapasztalat.
  • Segítünk a BCP és DRP kidolgozásban, illetve sérülékenység vizsgálatokban.
  • Több éves partneri tapasztalat az információ biztonság és tanúsítások kapcsán. 

Ha további kérdése van, szeretné felkészíteni cégét a NIS2 megfeleléshez itt tudja felvenni velünk a kapcsolatot.

Pin It on Pinterest