Cím: Budapest, X. Maglódi út 16.      I        Tel: +3612215419       I       E-mail: 5n-kft@5n.hu

Kategória: Szakmai cikkek

NIS2 Irányelv

 

Az irányelv célja a kiberbiztonság szintjének növelése az egész EU-ban, egységes biztonsági szint biztosítása, valamint a kritikus infrastruktúrák védelmének javítása. Az érintett szervezeteknek nemcsak a saját infrastruktúrájuk védelmét kell biztosítani, hanem a velük kapcsolatban álló ellátási láncokét is. A NIS2 előírja, hogy a tagállamoknak ösztönözniük kell minden olyan innovatív technológia alkalmazását, ideértve a mesterséges intelligenciát is, amelynek használata javíthatná a kibertámadások észlelését és megelőzését, lehetővé téve, hogy az erőforrásokat hatékonyabban lehessen a kibertámadásokkal szembeni védekezésre fordítani.

A NIS2 tanúsítási tevékenység célja az, hogy az állampolgárok és a vállalkozások által megvásárolható, igénybe vehető infokommunikációs eszközök és szolgáltatások esetében garantálni lehessen a kiberbiztonság folyamatosan fejlődő követelményeinek való megfelelést. A tanúsítványban foglalt információk birtokában a fogyasztó szabadon eldöntheti, hogy milyen erős kiberbiztonsági képességgel bíró terméket kíván megvásárolni és használni a jövőben. 

Oka, hogy a kibertámadások fokozódása olyan informatikai környezetet teremtett, ahol megfelelő IT biztonság nélkül a gazdálkodó szervezetek súlyos károkat és veszteségeket szenvedhetnek el. A magyar KKV szektor ebben különösen érintett, mivel a szervezetek jelentős hányadánál az IT biztonság elkeserítően gyenge, a vállalatvezetők nem veszik komolyan a rendszereik sérülékenységéből fakadó kiber-fenyegetettséget.

A T-Kom biztonsági szakembere szerint egy zsarolóvírus utáni helyreállítás közvetlen költségeiből 5-10 évig lehet üzemeltetni egy olyan kockázatarányos védelmi rendszert, ami nagy valószínűséggel megakadályozta volna a támadást. Ha a közvetett költségeket is nézzük (bírságok, adatvesztés, adathalászat következményei, compilance) akkor ez a szám nagyságrendekkel emelkedhet. A NIS2 célja a kockázat és felelősség-kiszervezés. 

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: (Kibertan.tv.) kiberbiztonsági felügyeleti jogkörrel ruházta fel az Szabályozott Tevékenységek Felügyeleti Hatóságát SZTFH (https://sztfh.hu/) azon a vállalatok, szervezetek vonatkozásában, amelyek a társadalom és a gazdaság működése szempontjából alapvető szolgáltatásokat, illetve a digitalizáció fejlődése miatt nélkülözhetetlen infrastrukturális szolgáltatásokat nyújtanak.

A NIS1 –hez képest jelentős különbség, hogy eddig nagyjából 15 ágazatot érintett, a mostani 30 ágazattal szemben. Az érintett szervezeteknél kiemelt figyelmet kap majd a folyamatos hatósági ellenőrzés, továbbá kétévente kötelező lesz az auditorok által végzett biztonsági osztályba sorolás. Jelentős változás még, hogy az incidenseket 24 órán belül jelenteni kell a hatóság felé. A szankciók a jelentős (ismételhető) pénzbírságoktól egészen az ügyvezető eltiltásáig fokozódhatnak.  A NIS2-re történő felkészülés ideje és költsége cégmérettől és felkészültségtől függően változhat, de mindenképpen egy hosszabb folyamatra kell felkészülni, mely nem hónapokban mérhető. 

Kiemelten kritikus ágazatok (alapvető szervezetek):

  • energia (villamos, távfűtés és -hűtés, kőolaj, földgáz, hidrogén)
  • szállítás, közlekedési infrastruktúrát üzemeltető vagy biztosító vállalkozások (légi, vízi, vasúti, közúti, tömegközlekedés)
  • banki és pénzügyi szolgáltatások (pénzügyi piaci infrastruktúrák)
  • egészségügy (1997. évi CLIV. egészségügyi törvény szerint: laboratóriumok, vérkészlet kezelők, gyógyszerek kutatásával / fejlesztésével / gyártásával / kereskedelmével foglalkozó szervezetek, illetve az orvostechnikai eszközöket gyártó szervezetek)
  • ivóvíz, szennyvíz (2011. évi CCIX. törvény szerint a víziközmű szolgáltatók)
  • digitális infrastruktúra szolgáltatók (többek között az internetszolgáltatók, felhőszolgáltatók, adatközpontok, elektronikus aláírásokkal foglalkozó bizalmi szolgáltatók és elektronikus hírközlő szolgáltatók, keresőmotorokat biztosító szolgáltatók, online piacterek, közösségimédia-szolgáltatási platformok, hírközlés, DNS-szolgáltatók, legfelső szintű domain név nyilvántartók)
  • közigazgatás
  • kihelyezett IKT szolgáltatások (IKT = infó kommunikációs technológia)
  • világűr, űripar

Egyéb kritikus ágazat (fontos szervezetek):

  • postai és futárszolgáltatások (2012. évi CLIX. törvény szerint postai szolgáltató)
  • hulladékgazdálkodás (2012. évi CLXXXV. törvény szerint hulladékgazdálkodást végző szervezet)
  • vegyszerek gyártása, -előállítása és -forgalmazása
  • élelmiszer előállítás, -feldolgozás, -forgalmazás (2008. évi XLVI. törvény szerint érintett szervezetek)
  • meghatározott termékek gyártói (orvostechnikai és diagnosztikai eszközök, számítógépek, gépjárművek és pótkocsik, illetve egyéb szállítóeszközök, elektronika eszközök, optikai termékek, villamos berendezések, cement – mész – gipsz gyártás, máshova nem sorolt gépek és berendezések gyártása)
  • digitális szolgáltatások
  • kutatóhelyek

Az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE szerint a NIS2 hatálya alá tartozik minden olyan szervezet, amely a 2003/361/EK bizottsági ajánlás (5) mellékletének 2. cikke szerint középvállalkozásnak minősül, vagy meghaladja az említett cikk (1) bekezdésében a középvállalkozásokra vonatkozóan előírt küszöbértékeket.

Az érintett ágazati vállalatok és szervezetek közép és nagyvállalat méretűek, 50 fő foglalkoztatott felett és 10 millió euro éves árbevétel fölöttiek. Ez vagylagos, nem kell mindkettőnek érvényesülnie. A szervezetek minősítése a Kkvtv. 5. § (3) szerint történik. A hatóság kijelölheti ezeknek a cégeknek a beszállítóit és közreműködőit is, akik infokommunikációs szolgáltatást nyújtanak az érintett gazdálkodó szervezeteknek. 

Határidők:

2024. január 1-től

  • nyilvántartásba vételi kötelezettség (az a szervezet, mely 2024. január 1. előtt megkezdte tevékenységét ezen kötelezettségét 2024. június 30-ig kell teljesítse, minden más szervezet esetén a Kibertan.tv. 26. § (2) bekezdés szerinti 30 napos határidő áll rendelkezésére)
  • elektronikus információs rendszereit biztonsági osztályba kell sorolja (polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendelete folyamatban

2024. október 18-tól

  • elektronikus információs rendszereit biztonsági osztályának megfelelő védelmi intézkedések alkalmazása
  • felügyeleti díj fizetési kötelezettség (részletszabályozás folyamatban)

2024. december 31-ig

  • szerződéskötés az érintett szervezet által választott auditorral

2025. december 31-ig

  • az első kiberbiztonsági audit lefolytatása

 Határidőkhöz kapcsolódó teendők:

 

2024. június 30-ig

 Érintett szervezet vagyok-e?

https://sztfh.hu/downloads/kiberbiztonsag/eszkoztar/SZTFH_erintett_tajekoztato.pdf

 Amennyiben a szervezet érintett, kezdeményezni kell a kiberbiztonsági nyilvántartásba vételt.

https://sztfh.hu/downloads/kiberbiztonsag/eszkoztar/SZTFH_nyilv%C3%A1ntartas_tajekoztato.pdf

 

A nyilvántartáshoz kapcsolódóan, azt megelőzően az alábbi feladatokat kell elvégezni:

Ki kell jelölni a szervezetben a területért felelős személyt (vagy megbízni egy külső szolgáltatót). (egyértelmű szerződéses viszony, pontos munkaköri meghatározással). 

Nyilvántartásba vétel: 

A 3-5 pontokban meghatározott információk összeállítása után a magyaorszag.hu SZTFH 420 „Érintett szervezet nyilvántartásba vételére irányuló kérelem” beadásával.

Törvény:

2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonság felügyeletéről (Kibertan tv.)
https://net.jogtar.hu/jogszabaly?docid=a2300023.tv

 

Jogszabályi háttér (Végrehajtási rendeletek):

23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról

10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
https://njt.hu/jogszabaly/2023-10-20-8K

305/2023. (VII. 11.) Korm. rendelet a a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól
https://net.jogtar.hu/jogszabaly?docid=a2300305.kor

Az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 irányelve

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet

A Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló 15/2023. (VII. 31.) SZTFH rendelet

A kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló 305/2023. (VII. 11.) Korm. Rendelet

Az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. Rendelet

Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény

 A kibervédelmi tevékenységre irányadó több jogszabály kodifikálása jelenleg is folyamatban van. Így például a Kibertan tv. végrehajtására kiadott miniszteri rendelet sem került még kiadásra.  

 

Kibertan tv 8. Alapvető követelmények 


19. § (1) Az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.

(2) Az (1) bekezdés szerinti biztonság magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti

a) a tárolt, továbbított vagy feldolgozott adatok, információk, vagy

b) az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások

bizalmaságát, sértetlenségét és rendelkezésre állását.

(3) A (2) bekezdésben meghatározott védelemnek ki kell terjednie:

a)      az információbiztonsági irányítás rendszerére,

b)      az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,

c)       a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,

d)      a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,

e)      az üzletmenet folytonosság biztosítására és

f)       az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

19. § (4) Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a (3) bekezdés szerinti követelményeknek a közreműködő esetében is teljesülniük kell.

19. § (5) Az érintett szervezet vezetője köteles gondoskodni arról, hogy az (1)–(3) bekezdés szerinti követelményeket a (4) bekezdés szerinti közreműködő tekintetében szerződésbe foglalják.

20. § (1) Az érintett szervezet köteles az elektronikus információs rendszereket, valamint az azon tárolt, továbbított vagy feldolgozott adatokat a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott szempontrendszer alapján biztonsági osztályba sorolni.

(2) A biztonsági osztályba sorolás eredményeként a bizalmasság, a sértetlenség, a rendelkezésre állás sérülésének kockázata alapján „alap”, „jelentős” vagy „magas” biztonsági osztályt kell alkalmazni.

(3) Az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben határozza meg.

(4) A 19. § (1)–(4) bekezdésében meghatározott egyes követelményeknek való megfelelés igazolására – ha rendelkezésre áll – európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat alkalmazható.

(5) Az SZTFH elnökének rendeletében meghatározott érintett szervezetek kötelesek az európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított, az SZTFH elnökének rendeletében meghatározott IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot használni.

Ugyanennek a törvénynek a 38. §  kimondja, hogy: „Hatályát veszti az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény”

 

2013. évi L. törvény

az állami és önkormányzati szervek elektronikus információbiztonságáról * 

14b. *  elektronikus információs rendszer: * 

a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlő hálózat;

b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi; vagy

c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok;

15. elektronikus információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos;

4. Az elektronikus információs rendszerek biztonsági osztályba sorolása
7. § (1) Annak érdekében, hogy az e törvény hatálya alá tartozó elektronikus információs rendszerek, valamint az azokban kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, az elektronikus információs rendszereket be kell sorolni egy-egy biztonsági osztályba a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából.

(2) A biztonsági osztályba sorolás alkalmával – az érintett elektronikus információs rendszer vagy az általa kezelt adat bizalmasságának, sértetlenségének vagy rendelkezésre állásának kockázata alapján – 1-től 5-ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi előírásokkal együtt.

5. Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje
9. § (1) A kockázatokkal arányos, költséghatékony védelem kialakítása érdekében a szervezetet az elektronikus információs rendszerek védelmére való felkészültsége alapján a szervezetnek biztonsági szintekbe kell sorolni a jogszabályban meghatározott szempontok szerint.

(2) *  Az elektronikus információs rendszer

a) fejlesztését végző,

b) üzemeltetését végző,

c) üzemeltetéséért felelős vagy

d) információbiztonságáért felelős

szervezeti egységek az elektronikus információs rendszerek védelmére való felkészültségük alapján a szervezettől eltérő biztonsági szintekbe sorolhatók jogszabályban meghatározott szempontok szerint.