2023-ban hatályba lépett a magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS2 irányelv), mely megköveteli a nagyobb szereplőktől, hogy vegyék komolyan a kiberbiztonsági kockázatokat és ültessék gyakorlatba azokat az eljárásokat, amelyekkel megelőzhetők és kezelhetők az efféle támadások.

Mely ágazatokra vonatkozik a törvény?

Két csoportra oszlanak azok az ágazatok – kockázatos és kiemelten kockázatos -, amelyekre a hatálya kiterjed. Az alábbi területeken működő szervezetek és szolgáltatók elektronikus információs rendszereire kell alkalmazni a törvényben foglaltakat.

Kiemelten kockázatos ágazatok:

  • Energetika (Villamos energia, Távfűtés és hűtés, Kőolaj, Földgáz, Hidrogén)
  • Közlekedés (Légi közlekedés, Vasúti közlekedés, Közúti közlekedés, Vízi közlekedés, Tömegközlekedés)
  • Egészségügy
  • Ivóvíz, szennyvíz (Vízközmű szolgáltatás)
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra
  • Kihelyezett IKT (információs és kommunikációs technológia) szolgáltatások
  • Űralapú szolgáltatás

A kockázatos ágazatok pedig az alábbiak:

  • Postai és futárszolgálatok
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek előállítása és forgalmazása
  • Gyártás (Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, Számítógép, elektronikai, optikai termék gyártása, Villamos berendezések gyártása, Máshova nem sorolt gépek és berendezések gyártása, Gépjárművek, pótkocsik és félpótkocsik gyártása, Egyéb szállítóeszközök gyártása, Cement-, gipsz-, mészgyártás)
  • Digitális szolgáltatók

Mik a teendők ezekben az ágazatokban?

A fenti ágazatokban működő szervezeteknek gondoskodniuk kell az elektronikus információs rendszereik és azok fizikai környezetének a biztonságáról, a kiberfenyegetések által okozható károk mértékével arányos módon. Ez magában kell, hogy foglalja az adatok, valamint az elektronikus információs rendszerek révén elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

A védelem sokrétűen értelmezendő, hiszen ki kell, hogy terjedjen:

  • az információbiztonsági irányítás rendszerére,
  • az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
  • a kockázatok csökkentésére irányuló intézkedések alkalmazására,
  • a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
  • az üzletmenet folytonosság biztosítására, illetve
  • az elektronikus információs rendszerek, valamint az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, üzemeltetésére.

Ki kell jelölni az elektronikus információs rendszerek biztonságáért felelős személyt, és meghatározni a feladatait, felelősségi körét. Ugyanígy meghatározandóak az érintett rendszerek felhasználóira vonatkozó szabályok, és gondoskodni kell a munkatársak rendszeres információbiztonsági képzéséről is.

Az elektronikus információs rendszereket és az azokon tárolt adatokat meghatározott szempontrendszer alapján biztonsági osztályba kell sorolni. Az egyes osztályokban (alap, jelentős vagy magas) alkalmazandó konkrét védelmi intézkedéseket pedig a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter által hozott rendelet szerint szükséges megtenni.

A domainnevekről a legfelső szintű domainnév-nyilvántartónak központi nyilvántartást kell vezetnie, ami tartalmazza a domainnevet, a regisztráció dátumát, a használó nevét, kapcsolattartási adatait, a domainnevet kezelő adminisztratív kapcsolattartó nevét és adatait.

Kétévente kötelező kiberbiztonsági auditot végezni, amelyet a kiberbiztonsági követelményeknek való megfelelésről a tevékenység végzésére jogosult, független auditor folytathat le. Az audit eredményét pedig meg kell küldeni a felügyeleti szerv számára.

A kiberbiztonság felügyelete

A kockázatos ágazatokban tevékenykedő szervezetek, valamint azok elektronikus információs rendszereinek kiberbiztonsági felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága látja el. Az SZTFH hatósági ellenőrzést végezhet, valamint jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nemmegfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el.

Ha a szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem tartja be, az SZTFH jogosult figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az azokhoz kapcsolódó eljárási szabályok teljesítésére. Elrendelheti az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát. Eltilthatja a szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

Bírságot szabhat ki, ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az azokhoz kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba. Elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását a potenciális fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

A törvény kapcsán releváns határidőkről a törvény szövegéből érdemes tájékozódni.

Megalakult a Kiberkoalíció

Nem sokkal a kiberbiztonsági törvény hatálybalépését követően, 2023. május 31-én a „Híd a kibertér biztonságáért” címmel megrendezett konferencián megalakult az állami és a gazdasági felek közötti együttműködést támogató Kiberkoalíció, melynek célja, hogy nyílt szakmai fórumot teremtsen a legfőbb kiberbiztonsági kihívások megismerésére és az azokra adott válaszok kidolgozására. A Kiberkoalíció létrehozói az SZTFH, a Digitális Magyarország Ügynökség (DMÜ) valamint az információs és kommunikációs technológiai (IKT) szektor egyes szereplői.

A kiberkockázat továbbra sem csak informatikai kérdés

Ahogy már korábban is felhívtuk rá a figyelmet, a kiberkockázat nem csak informatikai kérdéskör, bár a frissen elfogadott törvény is elsősorban ezt az oldalát szabályozza. Fontos azonban hangsúlyozni, hogy a törvényben megjelenik a kiberkockázat-kezelés fogalomköre és a kockázatcsökkentés igénye.

Maga az SZTFH is azt az az álláspontot képviseli, hogy „a cégeknek két típusa van: amelyeket már ért kibertámadás és amelyeket támadás fog érni.” A mi megfogalmazásunkban ez így hangzik: nem az a kérdés, hogy egy kiberbiztonsági incidens bekövetkezik-e, hanem csupán az, hogy mikor.

Lényeges, hogy a lehető legtöbb intézkedést megtegyük annak érdekében, hogy a kiberincidenst elhárítsuk, de teljes mértékben megelőzni képtelenség. Ezért a szükséges IT intézkedések, valamint a törvény által előírt fontos és szükséges lépések megtétele mellett nem szabad elfeledkezni a cyber biztosításról sem. A kiberbiztosítás a már bekövetkezett károkat hivatott enyhíteni, és segít minél hamarabb helyreállítani a megszokott üzletmenetet.

 

2024. december 31-ig Magyarországon is teljesíteni kell a kibervédelmi követelményeket, így a meghatározott cégeknek 2024. június 30-ig kötelezően be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH).

 

A törvény értelmében az alábbi határidők vonatkoznak az érintett szervezetekre:

 

2024. január 1-től:

  • nyilvántartásba vételi kötelezettség (az a szervezet, mely 2024. január 1. előtt megkezdte tevékenységét ezen kötelezettségét 2024. június 30-ig kell teljesítse, minden más szervezet esetén a Kibertan.tv. 26. § (2) bekezdés szerinti 30 napos határidő áll rendelkezésére)
  • elektronikus információs rendszereit biztonsági osztályba kell sorolja (polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendelete folyamatban

 

2024. október 18-tól:

  • elektronikus információs rendszereit biztonsági osztályának megfelelő védelmi intézkedések alkalmazása
  • felügyeleti díj fizetési kötelezettség (részletszabályozás folyamatban)

 

2024. december 31-ig

  • szerződéskötés az érintett szervezet által választott auditorral

 

Az SZTFH Kiberbiztonsági Igazgatósága a témában több hasznos tájékoztató anyagot is közzétett honlapján, melyekben bemutatják a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvényt, ismertetik az érintett szervezetek körét, illetve bemutatják a nyilvántartásba vétel folyamatát. A közzétett dokumentumokat csatoltan is megküldöm szíves megismerés céljából.

 

Továbbá szíves figyelmébe ajánljuk az SZTFH, Spotify-on elérhető Minden Kiberül című podcast sorozatát, mely felhívja a figyelmet a kiberbiztonsági veszélyekre úgy, hogy közben hasznos tippekkel, jó tanácsokkal és megtörtént esetekkel hozza közelebb a kiberteret.

Forrás: Orbán Éva, a Marsh Kft. és MKIK