A NIS2 megfelelés nem ér véget az első audit után

A kibertérben bekövetkező incidensek ma már nem csupán informatikai problémát jelentenek. Azonnali és súlyos fizikai, valamint pénzügyi hatást gyakorolhatnak a vállalatok alaptevékenységére. Egy jól célzott támadás akár termelésleállást, szolgáltatáskiesést vagy jelentős üzleti kárt is okozhat.

A NIS2 (Network and Information Security 2) az Európai Unió kiberbiztonsági irányelve, amelynek célja, hogy egységesen magas szintű kiberbiztonságot biztosítson az uniós tagállamokban működő szervezetek számára.

Az irányelv jelentősen kiterjeszti a szabályozás hatókörét és különös hangsúlyt helyez azokra a szervezetekre, amelyek

• kritikus infrastruktúrát üzemeltetnek, vagy
• alapvető, gazdasági és társadalmi szempontból nélkülözhetetlen szolgáltatásokat nyújtanak.

A NIS2 nem csupán technológiai intézkedéseket ír elő, hanem átfogó, kockázat alapú, szervezeti szintű kiberbiztonsági működést vár el. Ennek keretében a szervezeteknek többek között az alábbi területeken kell megfelelniük:

• Szabályozott információbiztonsági környezet kialakítása: Egyértelmű belső szabályozások, felelősségek és folyamatok mentén működő kockázatmenedzsment keretrendszer.
• Kockázatok tudatos azonosítása és kezelése: A fenyegetések folyamatos felmérése, priorizálása és rendszeres felülvizsgálata, kockázatelemzések végzése, sérülékenységek feltárása és javítása.
• Szervezeti és technikai védelmi intézkedések bevezetése és megerősítése: A megfelelő kontrollok kialakítása az IT és OT rendszerek védelme érdekében.
• Incidenskezelési és üzletmenet-folytonossági képességek fejlesztése: Gyors reagálás és helyreállítás biztosítása kibertámadás esetén, bejelentési kötelezettség az NBSZ-NKI felé.
• Beszállítói láncok biztonságának felügyelete: A külső partnerek és szolgáltatók kockázatainak felmérése, kezelése és monitorozása. A törvényeknek megfelelő szerződéses tartalom biztosítása.

A NIS2 irányelv magyarországi bevezetése 2024-ben kezdődött meg, a felügyeleti szerepkört az Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el a piaci szereplők esetében, az NBSZ-NKI a kormányzati és nemzeti kiberbiztonsági feladatokban, valamint incidenskezelésben vesz részt.

A hazai szabályozási környezet kialakítása több jogszabályon keresztül történt meg, amelyek együttesen alapjaiban formálják át a vállalatok kiberbiztonsági működését.

Magyarországon a NIS2 követelményeit az alábbi jogszabályok implementálják:

• 2024. évi LXIX. törvény a kiberbiztonsági tanúsításról és felügyeletről
• 7/2024. (VI. 24.) MK rendelet a végrehajtási szabályokról
• 418/2024. (XII. 23.) Korm. rendelet a részletes működési keretekről

E jogszabályok együtt egy komplex, kötelező érvényű megfelelési rendszert hoznak létre az érintett szervezetek számára.

A NIS2 szabályozás a kormányzati és állami szféra mellett számos piaci szereplőt is közvetlenül érint.

Az irányelv hatálya alá tartoznak azok a szervezetek, amelyek:

• legalább 50 főt foglalkoztatnak, vagy
• éves nettó árbevételük meghaladja a 10 millió eurót,
• és a meghatározott szektorok valamelyikében működnek.

A releváns ágazatok listáját a 7/2024. (VI. 24.) MK rendelet melléklete tartalmazza, amely többek között lefedi a gyártást, energetikát, logisztikát, IT szolgáltatásokat és egyéb kritikus iparágakat.

Fontos kiemelni, hogy a NIS2 hatása nem áll meg a közvetlenül érintett szervezeteknél.

Az érintett vállalatok beszállítói és partnerei egyre gyakrabban kerülnek bevonásra biztonsági értékelésekbe, megfelelőségi elvárásoknak kell megfelelniük, szerződéses kötelezettségek formájában találkoznak a NIS2 követelményeivel. Ez azt jelenti, hogy sok olyan cég is érintetté válik a gyakorlatban, amely formálisan nem tartozik a szabályozás hatálya alá.

Igen, a 2024. évi LXIX. törvény Magyarország kiberbiztonságáról 1. §‑ában meghatározott elektronikus információs rendszer fogalma kifejezetten magában foglal minden olyan digitális adatkezelést végző és kiber‑fizikai működést megvalósító rendszert, így az ipari vezérlések és egyéb OT megoldások is e körbe sorolandók.

A 7/2024. MK rendelet szigorúan megköveteli a szervezetektől, hogy a kiberbiztonsági elvárásaikat szerződéses keretek között érvényesítsék a közreműködőikkel szemben. Nem elegendő egy általános klauzula a szerződésben arról, hogy a partner "betartja a kiberbiztonsági előírásokat". A megrendelőnek konkrét technikai és eljárási garanciákat kell követelnie. Amikor egy szervezet új szoftverrendszert szerez be, a fejlesztőnek kötelezően, dedikáltan közre kell működnie például a Rendszerbiztonsági Terv (RBT) kidolgozásában.

A szervezetek EIR-jeinek többsége saját irányítás, felügyelet és üzemeltetés alatt áll, azonban előfordulhatnak olyan rendszerek is, amelyek felett a szervezet nem rendelkezik teljes körű kontrollal. Ebbe a kategóriába azok az információs rendszerek tartoznak, amelyek irányítását, fejlesztését, üzemeltetését, fel­ügyeletét vagy alapvető infrastruktúráját nem maga a szervezet, hanem külső szolgáltató vagy állami szerv biztosítja. Ilyenek például a külső felhőszolgáltatók által nyújtott, szerve­zeten kívül üzemeltetett Software-as-a-Service (SaaS) alkalmazások vagy az elektronikus közszolgáltatásokhoz kapcsolódó, a kormányzat által központilag biztosított infokommunikációs rendszerk.

Ezeket a rendszereket az EIR-nyilvántartásban nem saját rendelkezési jog alatt állóként kell szerepeltetni, figyelembe véve, hogy a szervezet felelőssége ezek eseté­ben korlátozott, ugyanakkor a használatukból eredő kockázatok kezeléséről továbbra is gondoskodni szükséges.

Azon szervezetek vonatkozásában, amelyeknek nem áll rendelkezésében elektronikus információs rendszer nem tudják elvégezni az auditot az elektronikus információs rendszerek vonatkozásában azonban az egyéb követelmények tekintetében (például szervezeti követelmények szabályzatok kialakítása, oktatások, fizikai biztonság, stb meg kell felelni a vonatkozó védelmi intézkedéseknek és ezt bizonyítandó az auditkötelezettség is fennáll.

Bár az elvi lehetősége fennáll annak, hogy egy szervezet rendelkezésében nincs elektronikus információs rendszer, a hatóság tapasztalatai alapján ez rendkívül ritka, kivételes esetekben fordulhat elő.

Amennyiben a szervezet akár csak egy olyan eszközzel rendelkezik, amely egy szoftver segítségével képes digitális adatok feldolgozására, tárolására vagy továbbítására, az megalapozza az elektronikus információs rendszer létét így azt vagy azokat a 7/2024. (VI. 24.) MK rendeletben foglaltak szerint biztonsági osztályba kell sorolni és az ennek megfelelő követelményeket teljesíteni szükséges.