„A Magyar Közlöny tegnapi (68.) számában két olyan rendelet is megjelent, amelyet már nagyon vártak a magyar információbiztonsági ipar szereplői. Mindkettő a NIS2 szabályozáshoz kapcsolódik, az egyik az auditorokkal szemben támasztott követelményekről, a másik az információs rendszerek biztonsági osztályba sorolásáról szól – még éppen időben, mert az első fontos határidő június 30-án lejár.
Az első rendeletet az SZTFH elnöke jegyzi, minthogy az SZTFH lesz az a hatóság, amely az a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását végzi. A jogszabály szerint minden auditor cégnek rendelkeznie kell:
- két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
- információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
- a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
- törlési eljárásrenddel.
Bizonyos feltételek attól függnek, hogy az auditor a tevékenységet milyen biztonsági osztályba sorolt rendszerekre kívánja végezni. Az „alap” biztonsági osztály esetén legalább két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség. A „jelentős” biztonsági osztály esetén tíz szakértő, 50 millió forintos felelősségbiztosítás és 15 referencia a minimum.
A jogszabály szövegéből első olvasatra úgy látszik, hogy az Alkotmányvédelmi Hivatal által kiállított úgynevezett telephelybiztonsági tanúsítványt (tbt-t) csak a „jelentős” és „magas” biztonsági osztály esetén kell bemutatnia az auditornak – nekik viszont öt évre visszamenően kell rendelkezniük ezzel. Az általunk megkérdezett szakértők szerint azonban erről nincs szó: minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a tbt. Jelenleg mintegy kéttucatniy vállalat szerepel ebben a nyilvántartásban, de korántsem biztos, hogy mindegyik NIS2 auditor is akar lenni. Pedig jó lenne, hogy minél nagyobb számú auditor végezhessen tevékenységet – korábban ugyanis gyakorlatilag minden szakértő annak a félelmének adott hangot, hogy egész egyszerűen nem lesz elegendő szakember és idő a szükséges auditok végrehajtására a kijelölt határidőig, 2025. december 31-ig.
Talán még inkább várt jogszabály volt a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szóló, a Miniszterelnöki Kabinetirodát vezető miniszter által kiadott rendelet. Ennek szövegét már januárban társadalmi vitára bocsátották, az hónapokkal ezelőtt le is zárult, és azóta a szakmában mindenki tűkön ülve várta, hogy megjelenjen a végleges szöveg – addig ugyanis nem lehet a ténylegesen feltárni a hiányosságokat, intézkedési terveket kidolgozni és megvalósítani azokat.
A rendelet 2. melléklete több mint száz oldalon sorolva a következő kategóriákat határozza meg a védelmi intézkedésekhez:
- programmenedzsment
- hozzáférés-felügyelet
- tudatosság és képzés
- naplózás és elszámoltathatóság
- értékelés, engedélyezés és monitorozás
- konfigurációkezelés
- készenléti tervezés
- azonosítás és hitelesítés
- biztonsági események kezelése
- karbantartás
- adathordozók védelme
- fizikai és környezeti védelem
- tervezés
- személyi biztonság
- kockázatkezelés
- rendszer- és szolgáltatásbeszerzés
- rendszer és kommunikációvédelem
- rendszer- és információsértetlenség
- ellátási lánc kockázatkezelése
Az SZTFH a két rendelet megjelenéséhez kapcsolódó közleményében hangsúlyozza, hogy már csak alig pár napjuk maradt a NIS2 szabályozásban érintett magyarországi vállalatoknak arra, hogy a Kibertan.tv szerinti nyilvántartásba vételi kötelezettségüknek eleget tegyenek. Ezt június 30-ig kezdeményezhetik az érintettek az SZTFH-nál, ezt követően csak az arányos szankcionálást követően tudják pótolni elmaradásukat. Sok cég volt, amelyik azért végezte el a regisztrációt, mert hiányolta a részletszabályokat – erre többé nem lehet hivatkozni, de a cselekvésre már csak pár nap maradt.
„Össztársadalmi érdek a magasabb szintű kiberbiztonság. A törvény előírásait nem kötelező teherként szükséges megélni, hiszen általánosságban is fontos, a jogszabály hatálya alá tartozó cégek, szervezetek számára pedig egyenesen elemi érdek a biztonságtudatos működés. Ezáltal ugyanis nagyobb eséllyel előzhetőek meg, illetve háríthatóak el a milliós, vagy akár százmilliós károkozással fenyegető kibertámadások, amelyek közvetve vagy közvetlenül az ügyfélkörre is veszélyt jelenthetnek” – mondta Dr. Nagy László, az SZTFH elnöke.”
Forrás:
Tisztult a köd a NIS2 körül; Schopp Attila; IT Business; 2024. június 25.
7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről; Nemzeti Jogszabálytár
A Szabályozott Tevékenységek Felügyeleti Hatósága elnökének 7/2024. (VI. 24.) SZTFH rendelete a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről; Magyar Közlöny; 2024. évi 68. szám; 2024. június 24.; 4196-4200. o. (PDF)
7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről; Nemzeti Jogszabálytár
A Miniszterelnöki Kabinetirodát vezető miniszter 7/2024. (VI. 24.) MK rendelete a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről; Magyar Közlöny; 2024. évi 68. szám; 2024. június 24.; 4201-4314. o. (PDF)