Kiberbiztonsági „hogyan?”
A NIS 2 rendelet hazai és EU-s keretrendszereinek összehasonlítása
Az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai (pl. 2013. évi L. trv. ÉS a 2023. évi XXIII. trv. „összegyúrása” a 2024. évi LXIX. törvénybe, 41/2015. BM rendelet „cseréje” a 7/2024-es MK rendeletre stb.) egy picit tisztább képet teremtettek e területen, de azért még maradtak nyitott kérdések.
Mint azt már egyik előző bejegyzésben érintettük, a kiberbiztonsági megfeleléshez, azaz a „hogyan” kérdés eldöntéséhez, két keretrendszer is létezik. Érdekesség, hogy mindkettő jogszabály, azaz kötelezően alkalmazandó.
Első lépésként a szokásos felelősségkizárás:
A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.
Mind a 7/2024. MK rendelet („a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről”), mind az Európai Unió 2024/2690 végrehajtási rendelete („az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról”) a kiberbiztonság területén szabályozzák az elektronikus információs rendszerek biztonságát, de különböző szinteken és hatáskörökkel.
A két rendelet tehát kiegészíti egymást: a 7/2024-es MK rendelet a nemzeti szintű biztonsági osztályba sorolást és a védelmi intézkedéseket szabályozza, míg a 2024/2690-es EU végrehajtási rendelet az Uniós szintű kiberbiztonsági események kezelésére és a nemzeti hatóságok közötti együttműködésre összpontosít.
Itt is ki kell emelnünk, hogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet az érintett szervezetek számára igen jó és hasznos útmutatókat adott ki a 7/2024. MK rendelet gyakorlati alkalmazásához.
Még egy igen fontos különbség: míg az EU rendelet az EU-s 2022/2555 (NIS 2) irányelv alkalmazását segíti, ahhoz ír elő végrehajtási, alkalmazási kötelezettségeket, addig a hazai 7/2024-es MK rendelet e mellett azokra a szervezetekre is vonatkozik, akik a NIS 2 rendelet alapján esetleg nem érintettek, de például a közigazgatási ágazathoz tartozó szervezetek, bizonyos többségi állami befolyás alatt álló azon gazdálkodó szervezetek, alapvető vagy fontos szervezetként azonosított szervezetek stb.
Mik a közös pontok, és mik a különbségek?
Először is a struktúrákról.
A 7/2024-es MK rendelet mellékletében szereplő „Védelmi intézkedések katalógusa” 19 fejezetre lett bontva, összesen 914 kontrollt tartalmaz, változó kötelezettséggel az alap/jelentős/magas biztonsági osztályokra, az alábbi bontásban:
|
1. Programmenedzsment |
23 pont |
|
2. Hozzáférés-felügyelet |
129 pont |
|
3. Tudatosság és képzés |
14 pont |
|
4. Naplózás és elszámoltathatóság |
52 pont |
|
5. Értékelés, engedélyezés és monitorozás |
26 pont |
|
6. Konfigurációkezelés |
53 pont |
|
7. Készenléti tervezés |
49 pont |
|
8. Azonosítás és hitelesítés |
50 pont |
|
9. Biztonsági események kezelése |
38 pont |
|
10. Karbantartás |
25 pont |
|
11. Adathordozók védelme |
18 pont |
|
12. Fizikai és környezeti védelem |
49 pont |
|
13. Tervezés |
11 pont |
|
14. Személyi biztonság |
13 pont |
|
15. Kockázatkezelés |
22 pont |
|
16. Rendszer- és szolgáltatásbeszerzés |
100 pont |
|
17. Rendszer- és kommunikációvédelem |
132 pont |
|
18. Rendszer- és információsértetlenség |
83 pont |
|
19. Ellátási lánc kockázatkezelése |
27 pont |
A 2024/2690-es EU végrehajtási rendelet mellékletében szereplő „technikai és módszertani követelmények” 13 fejezetre lett bontva, összesen 161 kontrollt tartalmaz, de ezek a kontrollpontok sok esetben tovább lettek bontva, részletezve al-pontokra.
|
1. A hálózati és informatikai rendszerek biztonságára vonatkozó szabályzat |
8 pont |
|
2. Kockázatkezelési szabályzat |
11 pont |
|
3. Biztonsági esemény kezelése |
22 pont |
|
4. Üzletmenet-folytonosság és válságkezelés |
14 pont |
|
5. Az ellátási lánc védelme |
8 pont |
|
6. A hálózati és információs rendszerek biztonságos beszerzése, fejlesztése és karbantartása |
31 pont |
|
7. Szabályzat és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére |
3 pont |
|
8. Alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés |
8 pont |
|
9. Kriptográfia |
3 pont |
|
10. Humánerőforrás-biztonság |
10 pont |
|
11. Hozzáférés-ellenőrzés |
21 pont |
|
12. Eszközgazdálkodás |
13 pont |
|
13. Fizikai és környezeti biztonság |
9 pont |
Ha jól megnézzük a két jogszabályban található tematikai bontást és egy picit általánosítunk a megfogalmazásokban, akkor azt látjuk, hogy a főbb kontrollok az alábbiak szerint alakulnak:
|
Általánosabb megnevezés |
7/2024-ben |
2024/2690-ben |
|
Szabályozás |
mindegyik pont tartalmazza |
1. pont |
|
Hozzáférés |
2. pont |
11. pont |
|
Képzés |
3. pont |
8. pont |
|
Naplózás |
4. pont |
3., 9., 11., pontban |
|
Értékelés, felügyelet (audit) |
5. pont |
7., valamint a 2., 3., pontok, |
|
Konfigurációkezelés |
6. pont |
1.3. pont |
|
Változáskezelés |
6.7. pont |
1.4. pont |
|
Üzletmenet folytonosság (BCP/DR) |
7. pont |
4. pont |
|
Azonosítás és hitelesítés |
8. pont |
11.5 és 11.6 pontok |
|
Biztonsági események kezelése |
9. pont |
3. pont |
|
Karbantartás |
10. pont |
6. pont |
|
Adathordozók |
11. pont |
12.3. pont |
|
Fizikai védelem |
12. pont |
13. pont |
|
Tervezés |
13. pont |
6.2. pont |
|
Személyi biztonság |
14. pont |
10. pont |
|
Kockázatkezelés |
15. pont |
2., 7. pontok |
|
Beszerzés |
16. pont |
6. pont |
|
Rendszervédelem |
17. pont |
6.7, 6.9 pontok |
|
Sértetlenség |
18. pont |
|
|
Ellátási lánc |
19. pont |
5. pont |
Bár a fenti összevetés nem teljeskörű, eléggé önhatalmú és esetleg pontatlan is lehet, azért az látszik, hogy nagyjából ugyanarról beszél mindkét jogszabály, leginkább a hangsúlyok mások.
Azaz például az adathordozók kezelése és védelme az EU rendeletben egy alpont 5-6 mondattal, az MK rendeletben ez 18 pontban van részletezve, és még az alap biztonsági osztályra is 4 főbb pont 14 kontrollpontja vonatkozik. Az „azonosítás és hitelesítés” témakör az EU rendeletben mindössze két alpontja a „Hozzáférés-ellenőrzés” fejezetnek összesen 8 pontban taglalva, az MK rendeletben viszont ez külön fejezet, ötven pontba foglalva, úgy, hogy az alap biztonsági osztályra 36 kontrollpont vonatkozik.
Az alábbiakban megpróbáljuk röviden összefoglalni a legfontosabb közös pontokat és a különbségeket:
Közös pontok:
- Információbiztonsági szabályzat kidolgozása és karbantartása: Mindkét jogszabály előírja, hogy a szervezeteknek rendelkezniük kell információbiztonsági szabályzattal/szabályzatokkal, amely meghatározza a biztonsági követelményeket és a védelmi intézkedéseket. Ezt a szabályzatot rendszeresen felül kell vizsgálni és frissíteni.
- Hozzáférés-ellenőrzési mechanizmusok: Mindkét dokumentum hangsúlyozza a hozzáférési jogosultságok megfelelő kezelését, beleértve a hozzáférési kérelmek engedélyezését megelőző ellenőrzéseket és a jogosultságok rendszeres felülvizsgálatát.
- Adatbányászat elleni védelem: A szervezeteknek mindkét esetben alkalmazniuk kell olyan technikákat, amelyek megelőzik és észlelik az engedély nélküli adatbányászatot a meghatározott adattárakon.
Különbségek:
- Biztonsági osztályok meghatározása: A 7/2024. MK rendelet részletesen definiálja a biztonsági osztályokat (alap, jelentős, magas) és az ezekhez tartozó követelményeket, míg a 2024/2690 EU rendelet inkább általános iránymutatásokat ad a biztonsági intézkedésekre vonatkozóan.
- Pénzügyi veszteségek meghatározása: A 2024/2690 EU rendelet részletesen leírja, hogyan kell meghatározni a biztonsági eseményekből eredő közvetlen pénzügyi veszteségeket, beleértve a különböző költségtípusokat, míg a 7/2024. MK rendelet nem tartalmaz ilyen részletes útmutatást.
- Nyilvánosan elérhető tartalom kezelése: A 7/2024. MK rendelet specifikus követelményeket határoz meg a nyilvánosan hozzáférhető információk kezelésére, beleértve a kijelölt személyek képzését és a tartalom rendszeres felülvizsgálatát, míg a 2024/2690 EU rendelet nem tér ki erre a témára.
Összességében tehát mindkét melléklet célja az információbiztonság erősítése, de eltérő hangsúlyokkal és részletességgel közelítik meg a témát.
www.nuce.hu
