Miben tud segíteni az ALFA-CON Tanácsadó Iroda és Oktatóközpont?

• NIS-2 (NIS2) vagy NIS2 felmérés, jelentés.
• Felkészülés: NIS-2 (NIS2) kontrollok kialakítása, bevezetése, ellenőrzése.
• ISO 27001:2022 szabványnak való megfelelés kialakítása.
• NIS-2 (NIS2) auditok végrehajtása
• ISO 27001:2022 auditok végrehajtása
• ISO 27001:2022 tanúsítvány megszerzése

Mit jelent a NIS betűszó?
Network and Information Systems

NIS-2 (NIS2) szabályozásról
A 2016-ban életbe lépő Network and Information Systems (NIS) Directive a kritikus nemzeti infrastruktúrákba tartozó szervezetek számára írt elő biztonsági és jelentési kötelezettségeket az Európai Unión belül. A NIS 2 irányelv lépést tart a folyamatosan változó kiberbiztonsági fenyegetésekkel, és célul tűzte ki a kiberbiztonság további javítását az EU-ban. Az irányelv nevesíti azokat a szektorokat, mint például az energia-, víz-, közlekedési- és egészségügyi szektort, amelyek kritikus fontosságúak, és kitágítja az ezekben a szektorokban tevékenykedő cégekre is a kiberbiztonsági incidensek bejelentési és kezelési kötelezettségét, és célzott kiberbiztonsági intézkedéseket követel meg. A NIS2 az eddigieknél szigorúbb bírságokat és büntetéseket helyez kilátásba a szabályokat be nem tartó érintettekkel szemben.

Kikre vonatkozik a NIS-2 (NIS2)?
Olyan közép és nagyvállaltokra akik az alábbi szektorok valamelyikében tevékenykednek, és több mint 50 főt foglalkoztatnak, valamit 10 millió eurónál nagyobb az éves árbevételük.

A szabályokat nem kell alkalmazni a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozásokra, kivéve, ha az érintett szervezet elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltatást nyújtó szolgáltató, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltató (rájuk viszont méretkorlát nélkül érvényes a szabályozás).

Az érintett szektorok, NIS2 kötelezettek:

• Közigazgatás
• Energetika (villamos energia, távfűtés, hűtés, kőolaj, földgáz, hidrogén)
• Közlekedés (légi-, vasúti-, közúti-, vízi-, és tömegközlekedés)
• Egészségügy
• Ivóvíz, szennyvíz
• Hírközlési szolgáltatás
• Digitális infrastruktúra
• Kihelyezett IKT szolgáltatások
• Űralapú szolgáltatás
• Postai és futárszolgálatok
• Élelmiszer előállítása, feldolgozása és forgalmazása
• Hulladékgazdálkodás
• Vegyszerek előállítása és forgalmazása
• Gyártás
• Digitális szolgáltatók (pl. Online piactér, keresőszolgáltató, domain szolgáltató)
• Kutatás
• Pénzügyi szektor
• (Honvédelmi szektor)

Milyen elvárásokat tartalmaz a NIS-2 (NIS2)?

• A szervezetek és a rendszerek vonatkozásában az életciklusuk egészében sokkal szélesebb körben kell kockázatarányos védelmi intézkedéseket megvalósítani, mint eddig.
• A védelmi intézkedéseket a szervezet egészére és az elektronikus információs rendszerek (pl. levelező rendszer, webszerver, adattároló szakrendszer) tekintetében kell megvalósítani.
• Kiemelt feladat továbbá az incidensek megelőzése, kezelése, hatásának csökkentése, olyan intézkedések bevezetése, melyek ezt a célt szolgálják.
• A NIS2 kiterjeszti az incidensbejelentési kötelezettséget a teljes fent felsorolt ügyfélkör tekintetében.
• Az ügyfelekről és a rendszereikről nyilvántartást kell vezetni a hatóságoknak.
• A kockázatarányos védelmi intézkedéseket a hatóságok meghatározott időközönként ellenőrzik, vagy szervezetek harmadik felet bíznak meg ezzel.
• A vezetők az alábbi feladatok előtt állnak:
  o    Biztonságért felelős személyt kell kijelölni
  o    Szervezeti szabályozásokat el kell végezni
  o    Tudatosító oktatásokat kell tartani és a tudást szinten kell tartani
• A fenyegetésekkel és sérülékenységekkel kapcsolatos információk megosztásának ösztönzése szintén lényegese eleme a szabályozásnak, melynek célja a reakcióképesség szervezetek közötti javítása.

Hol kell bejelenteni egy incidenst?
A Nemzetbiztonsági Szakszolgálat (Nemzeti Kibervédelmi Intézet) keretén belül működő nemzeti CSIRT részére kell bejelenteni az incidenst.

Kihez kell fordulnia hatosági tekintetben?
A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) került hatóságként kijelölésre, a szektorokra a 2023. évi XXIII. a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvény valamint egyéb rendeletek rendelkezési vonatkoznak (Kibertantv.)

KI lehet kiberbiztonságért felelős személy?
A hatálya alá tartozó ügyfelek esetén a jelenlegi jogszabályi környezet alapján képzettséghez és kompetenciához nem kötött a szerepkör

Az új Ibtv. tervezete szerint a szerepkör releváns kompetenciához és tapasztalathoz kötött.

Milyen konkrét lépéseket kell tenni?
A hatálya alá tartozó ügyfelek esetén kérelmet kell benyújtani az SZTFH felé a nyilvántartásba vételről, meg kell kezdeniük a fent is részletezett elvárásoknak való megfelelést (pl, rendszerek felmérése, védelmi intézkedések meghatározása, felelős kijelölése, auditra való felkészülés és az audit ütemezése, felügyeleti díj kifizetése stb.)

Az új Ibtv. tervezete alapján az ügyfélkörnek folytatni kell a már korábban megkezdett tevékenységet: felül kell vizsgálni a rendszerek besorolását (biztonsági igények megállapítását, osztályba sorolását), és a rendszerek esetében meg kell majd valósítani az új kontrollokat.

Milyen szabványnak vagy hazai jogszabálynak kell megfelelni? Milyen új kontrollokat kell bevezetni?
A Kibertantv. és az új Ibtv közös követelményrendszert fog meghatározni miniszteri rendelet formájában, amely a jelenleg hatályos 41/2015-ös BM rendeletet hivatott leváltani. Az új követelményrendszer az NIST 800-53 rev. 5 hazai viszonyokra történő adaptációja, a korábbi rendelet egyszerűsítése, a jelenlegi kontrollcsalád frissítése, aktualizálása. Annak a szervezetnek, aki korábban már a 41/2015-ös BM rendeletnek való megfeleléssel foglalkozott (pl. az új Ibtv. hatálya alá tartozó szervezetek döntő többsége), jelentősen egyszerűbb feladata lesz az új kontrollok megállapítása tekintetében, mint annak a szereplőnek, aki most kerül a szabályozás hatálya alá.

Mikortól kell megfelelni a NIS-2 (NIS2) követelményeknek?
Az új Ibtv. ügyfeleinek a tervek szerint 2024 október 18-tól a jelenlegi elvárásrendszerről fokozatosan kell áttérni az új elvárásrendszerre.

Kik végzik a NIS-2 (NIS2) ellenőrzést?
A ügyfelei esetén kétévente az SZTFH által vezetett auditori jegyzékben szereplő szervezetek végzik el az ellenőrzési tevékenységet.

Az új ügyfelek esetén az ellenőrzést a hatóság saját apparátussal oldja meg, ezért az ellenőrzésekre kapacitás függvényében, kockázatértékelést követően rendszeres időközönként (legfeljebb 2-3 évenként) kerül sor.

Milyen következményei vannak a törvénynek való nem-megfelelésnek?
Jelenleg a jogszabályokban nem látszik az, hogy a NIS2-ben meghatározott szankciók alól mentesülne az erre hivatkozó ügyfél. A NIS2 alapján a bírság összegének maximuma a kiemelten kockázatos ügyfelek esetén legalább 10 000 000 EUR, és legalább éves árbevétel 2%-a.

• Tovább