A Kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban Kibertan.tv) megalkotásával megkezdődött a NIS2 rendelet hazai jogrendszerbe történő átültetése. A törvény szerint kockázatos és kiemelten kockázatos ágazatokban működő közepes és nagyméretű szolgáltatóknak és szervezeteknek az alábbi feladatokat kell, többek között, a táblázatban megjelölt határidőre teljesíteniük.
Bár a törvény végrehajtási rendeletei továbbra sem születettek meg, a felkészülés már elkezdhető a kibertan.tv. hatálya alá tartozó szervezeteknél tekintettel arra, hogy a törvény újabb pontjai 2024. január 1-ével életbe lépnek.
| Követelmény | Határidő |
| Elektronikus információs rendszerek biztonságáért felelős (IBF) kapcsolattartó személy kinevezése, feladat és felelősségi körének meghatározása | 2024. január 1-jén lép hatályba az előírás |
| Adatkörök és elektronikus információs rendszerek felhasználóira vonatkozó szabályok meghatározása és nyilvántartásba vétele | |
| Szervezet munkatársai rendszeres információbiztonsági képzése és ismereteinek szinten tartása | |
| A polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott szempontrendszer alapján az informatikai rendszerek biztonsági osztályokba sorolása | |
| Alapleltárak , nyilvántartások felvétele | |
| Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a követelményeknek a közreműködő esetében is teljesülniük kell és érintett szervezet vezetője köteles gondoskodni arról, hogy a jogszabály szerinti követelményeket a közreműködő tekintetében szerződésbe foglalják | |
| Törvényben meghatározott adatok megküldése az SZTFH részére nyilvántartásba vétel érdekében | 2024. június 30-ig |
| Egyes biztonsági osztályok – alap, jelentős és magas – esetében előírt, konkrét védelmi intézkedések alkalmazása(polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározottak szerint) | 2024. október 18-tól kell alkalmazni |
| SZTFH kiberbiztonsági felügyeleti tevékenységéért az SZTFH elnökének rendeletében foglaltak alapján meghatározott mértékű kiberbiztonsági felügyeleti díj megfizetése | 2024. október 18-án lép hatályba |
| Az elektronikus információs rendszerben olyan biztonsági esemény történt vagy annak közvetlen bekövetkezése fenyeget a szervezet köteles haladéktalanul az eseménykezelő központ részére, a Kormány rendeletében részletezettek szerint bejelentés megtétele | |
| Kiberbiztonsági követelményeknek való megfelelés bizonyítására kétévente a tevékenység végzésére jogosult, független auditor által kiberbiztonsági audit végeztetése | Első alkalommal 2025. december 31-ig |
Milyen ágazatokat érint?
| Kiemelten kockázatos ágazatok | Kockázatos ágazatok |
| Energetika | Postai és futárszolgálatok |
| Közlekedés | Élelmiszer előállítása, feldolgozása és forgalmazása |
| Egészségügy | Hulladékgazdálkodás |
| Ivóvíz, szennyvíz | Vegyszerek előállítása és forgalmazása |
| Hírközlési szolgáltatás | Gyártás |
| Digitális infrastruktúra | Digitális szolgáltatók |
| Kihelyezett IKT szolgáltatások | Kutatás |
| Űralapú szolgáltatás |
Az érintett szervezet fenti kötelezettségeinek teljesítését az Szabályozott Tevékenységek Felügyeleti Hatósága (továbbiakban: SZTFH) ellenőrzi, aki jogosult az érintett szervezettől bekérni és megismerni:
- A biztonsági osztályba sorolás, valamint a biztonsági intézkedések megfelelőségét alátámasztó dokumentumokat,
- a belső informatikai biztonsági vizsgálat végrehajtásáról készült dokumentumot, és
- bármely egyéb adatot, információt, dokumentumot a felügyeleti feladatok elvégzése céljából.
A tervezet szerint ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult:
- Figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,
- határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint
- a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.
Ha a fenti intézkedések alkalmazása ellenére az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.
Törvény szerinti megfelelés lehetséges költségei:
- Az SZFTH-nak fizetendő felügyeleti díj,
- két évente kötelezően elvégzendő audit díja,
- a felkészülés költségei, szakértői és alkalmazotti költségek,
- folyamatos költségként kell tekinteni a felkészülés után megszülető Információbiztonsági Irányítási Rendszer fenntartási költségeire.
Költségcsökkentő tényező lehet a törvény által meghatározott elektronikus információs rendszerek biztonságáért felelős (IBF) személy megfelelő képzettsége és tapasztalata. Hiszünk benne, hogy csak komoly szakmai felkészültséggel rendelkező IBF irányításával remélhető a sikeres felkészülés és a kötelező auditokon a tömeges nem megfelelőségek elkerülése.
Miben tud a PRAUDIT segíteni?
A PRAUDIT szakértői csapata a kibertan.tv-nek történő teljes körű megfelelésig tartó út minden szakaszában támogatást tud nyújtani ügyfeleinek, egészen az elektronikus információs rendszerek biztonságáért felelős szerepkör kiszervezés keretében történő ellátásától, az informatikai rendszerek biztonsági osztályokba sorolásán át, az SZTFH eljárásokban történő személyes támogatásig. Szakértőink támogatást tudnak nyújtani a jelenlegi szabályozó környezet átdolgozásában, illetve az új kontroll folyamatok, szabályozók és minta dokumentumok elkészítésében.
- Nem-megfelelőségek, fenyegető tényezők és sebezhetőségek azonosítása,
- rendszerek biztonsági osztályokba sorolása,
- a biztonsági felelős szerepkör kiszervezés keretében,
- üzletmenet folytonosság tervezése, működési kockázatok elemzése és folytonossági tervek elkészítése,
- SZTFH eljárásokban történő személyes támogatás,
- jelenlegi szabályozó környezet átdolgozása, új kontroll folyamatok, szabályok kialakítása,
- szabályzatok, eljárásrendek és minta dokumentumok elkészítése.
További információkért, kérjük vegye fel a kapcsolatot velünk:
Pataki-Vízi Linda dr. Kőmíves Balázs
linda.vizi@praudit.hu balazs.komives@praudit.hu
PR-AUDIT Kft.
A PR-AUDIT Professzionális Informatikai Kft. a hazai információbiztonsági piac megkerülhetetlen szereplője 2003 óta. A PR-AUDIT széleskörű auditori tapasztalattal rendelkező, informatikai, műszaki és jogi végzettségű szakemberekből áll, akik diplomájukon felül különböző minősítésekkel rendelkeznek. Minden átfogó audit projektünkön a különböző szakértelmet igénylő szakterületi részeken az erre szakosodott kolléga dolgozik.
Cégünk hosszú évek óta végez információbiztonsági, informatikai átvilágításokat és célauditokat, IT biztonsági kockázatelemzéseket és alakít ki átfogó szabályozó környezetet. Etikus hacker csapatunk évente több száz betörési tesztet, sérülékenységi vizsgálatot, alkalmazásbiztonsági auditot és forráskód elemzést végez. Ügyfeleink a kis cégektől a nagy multinacionális cégekig minden szegmensből évek óta visszatérő partnereink.