Ha a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriába soroltak egy céget, akkor az mindenképpen a 7/2024-es MK rendelet szerinti ”magas” biztonsági osztályba sorolást is jelent egyben?
Nem feltétlenül. A 7/2024. (I. 31.) Korm. rendelet szerinti „magas” biztonsági osztályba sorolás nem automatikus következménye annak, hogy egy cég a NIS 2 irányelv alapján a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriájába tartozik. Bár van összefüggés a két besorolás között, a magas biztonsági osztályba sorolás konkrét feltételeit a rendelet határozza meg.
Miért nem automatikus a besorolás?
- Különböző szempontrendszerek:
A NIS 2 irányelv a hálózati és információs rendszerek biztonságára fókuszál, míg a 7/2024-es kormányrendelet a létfontosságú rendszerek és létesítmények védelmének magyarországi szabályozását részletezi. Bár a kettő összefügg, a magas biztonsági osztályba sorolás egyedi kockázatelemzéstől és specifikus kritériumok teljesülésétől függ. - Kockázatelemzés alapú besorolás:
A rendelet alapján a létfontosságú rendszerelemek vagy szolgáltatások biztonsági osztályba sorolása az adott rendszer kockázati szintjének felmérésén alapul. Ezt befolyásolhatja: - Az adott rendszer jelentősége (pl. hatása az ellátásbiztonságra vagy a közbiztonságra).
- A potenciális károk mértéke egy esetleges kiesés vagy támadás esetén.
- A rendszer fenyegetettsége és sebezhetősége.
- Egyedi elbírálás:
A besorolást a létfontosságú rendszerelemek kijelölését végző hatóság vagy szerv végzi. Ez azt jelenti, hogy a cég ágazati besorolása mellett a konkrét rendszerek és szolgáltatások jellemzőit is figyelembe veszik.
Mikor kerülhet a cég magas biztonsági osztályba?
- Ha a cég által működtetett rendszerek vagy szolgáltatások olyan létfontosságú rendszerelemnek minősülnek, amelyek megszakadása vagy kiesése jelentős hatással lenne a közszolgáltatásokra, a nemzetbiztonságra vagy a gazdaság működésére.
- Ha a rendszer kockázatelemzése alapján a hatóság magas biztonsági osztályba sorolja azt.
Hogyan befolyásolja a magas osztályba sorolás a felkészülést?
- Szigorúbb védelmi követelmények vonatkoznak a rendszerekre, beleértve a fizikai, logikai és szervezeti védelmi intézkedéseket.
- Részletesebb kockázatkezelési dokumentáció és rendszeres audit szükséges.
- Több erőforrást kell biztosítani a kiberbiztonsági szabályok betartására.
Összegzés
Egy cég besorolása a NIS 2 irányelv szerinti „kiemelten kockázatos ágazatok” kategóriájába nem automatikusan jelenti a 7/2024-es kormányrendelet szerinti „magas” biztonsági osztályba sorolást. A végső besorolás az adott szervezet rendszereinek és szolgáltatásainak sajátos kockázati tényezőitől függ, amelyet a hatóság egyedi eljárás során határoz meg. Érdemes ezért előre egyeztetni az illetékes hatóságokkal és elvégezni a szükséges kockázatelemzést.
nuce.hu