A 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, jogszabályba emelte többek között az adatosztályozás kötelezettségét is.

Most az ehhez kapcsolódó fontosabb feladatokat és folyamatokat próbáljuk meg az alábbiakban dióhéjban (in nuce) áttekinteni.

Először is fontos tisztázni, hogy az adatosztályozás fogalma nem új keletű, de annak jogszabályba emelése nagyon fontos lépés. Adatosztályozás természetesen nagyon sok szempont szerint és metodikával történhet, de amit a hazai jogszabályok megfogalmaznak, azok közül a legfontosabbak az alábbiak:

1. 2024. évi LXIX. törvény Magyarország kiberbiztonságáról,

• „adatosztályozás: a szervezet által az elektronikus információs rendszerben kezelt adatok és információk biztonsági besorolása azok bizalmasságának, sértetlenségének és rendelkezésre állásának szempontjából;”
• „Az adatosztályozás során figyelembe kell venni a logikailag együtt, egységben kezelt elektronikus adatok – ideértve az adatbázist, adattárat, egyedi dokumentumot és egyéb adatállományt – együttes biztonsági igényét.”

2. 418/2024. (XII. 23.) Korm. rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról

• melléklet „Az adatosztályozás végrehajtásához irányadó szempontok”: célok meghatározása, szempontok az adatok bizalmasság szerinti besorolására, az adatok sértetlenség és rendelkezésre állás szerinti értékelésére, és a besorolás utáni legfontosabb teendőkre.

Fontos: „A nemzeti kiberbiztonsági hatóság az adatosztályozást és a biztonsági osztályba sorolást felülbírálhatja, és indokolt esetben magasabb vagy alacsonyabb szintű besorolást is megállapíthat.”

Itt is ki kell emelnünk: minden szervezet más, mindenhol más típusú adatokat kezelnek, rengeteg különböző struktúrában mind technikailag (adatbázisok, nem strukturált adatok, célrendszerek, OT, felhő, stb.), mind szervezetileg (felelősségek, adatgazdák, stb.). Ennek figyelembevételével az alábbiakban megpróbáljuk összefoglalni, hogy nézhet ki az adatosztályozás folyamata, és mik lehetnek a legfontosabb szempontok.

1. Azonosítás és leltárkészítés

• Az összes szervezeti adat azonosítása.
• Adatforrások, rendszerek és adatfolyamok feltérképezése.

2. Osztályozási kritériumok meghatározása

Az adatok osztályozása általában a következő tényezők alapján történik:

• Bizalmasság: Az adatok nyilvánosságra kerülése milyen hatással lehet a szervezetre vagy érintettekre?
• Integritás: Milyen hatással lenne az adatok módosítása vagy megváltoztatása?
• Rendelkezésre állás: Milyen következményei lennének az adatok elvesztésének vagy elérhetetlenné válásának?
• Jogszabályi megfelelés: Milyen jogi vagy szabályozási követelmények vonatkoznak az adatra (pl. GDPR, iparági szabályok)?
• Érzékenység: Az adat tartalmaz-e bizalmas vagy személyes információt?

3. Adatok kategorizálása

A szervezetek gyakran a következő kategóriákat használják az adatok védelmi szintjének meghatározására:

• Nyilvános adatok: Bárki számára elérhető adatok (pl. weboldalak, sajtóközlemények).
• Belső használatra szánt adatok: Csak a szervezet belső munkatársai számára elérhetők (pl. üzleti tervekre vonatkozó információk).
• Bizalmas adatok: Korlátozott hozzáféréssel rendelkező, érzékeny adatok (pl. ügyféladatok, pénzügyi adatok).
• Kritikus/erősen bizalmas adatok: Olyan adatok, amelyek nyilvánosságra kerülése súlyos károkat okozhat (pl. egészségügyi adatok, szerződések, belső fejlesztési dokumentáció, kutatási adatok).

4. Védelmi intézkedések hozzárendelése

Az osztályozás után minden adatkategóriához megfelelő védelmi intézkedéseket kell hozzárendelni:

• Hozzáférés-szabályozás: Ki férhet hozzá az adatokhoz?
• Titkosítás: Adatok tárolása és továbbítása során alkalmazott védelem.
• Biztonsági mentések: Adatok helyreállíthatóságának biztosítása.
• Monitorozás és naplózás: Gyanús tevékenységek észlelése.

5. Folyamatos ellenőrzés és frissítés

Az osztályozást rendszeresen felül kell vizsgálni, és frissíteni kell a változó üzleti és szabályozási környezethez igazodva.

2. Szempontok az adatosztályozás során

Az adatosztályozás során érdemes a következő szempontokat is figyelembe venni:

• Szabályozási megfelelés: Az adatkezelési szabályzatnak összhangban kell lennie a kibertörvény, a NIS2 előírásaival és egyéb vonatkozó jogszabályokkal.
• Kockázatalapú megközelítés: Az adatok értéke és a kockázatok alapján kell meghatározni a védelmi szinteket.
• Incidenskezelés: Az adatvesztési vagy támadási forgatókönyvek elemzése és az ehhez szükséges védelem kialakítása.
• Hozzáférés-kezelés: Biztosítani kell, hogy csak a megfelelő személyek férhessenek hozzá az adatokhoz.
• Adathozzáférési naplózás: A felhasználói tevékenységek nyomon követése, hogy az esetleges incidenseket vissza lehessen vezetni.

Összegzés

Az adatosztályozás egy strukturált folyamat, amely segít az adatok biztonsági védelmének megfelelő kialakításában. Az adatok osztályozását az üzleti kockázatok, a jogszabályi követelmények és az adat érzékenysége alapján kell elvégezni, majd ehhez megfelelő védelmi intézkedéseket rendelni. A folyamatos felülvizsgálat és aktualizálás pedig biztosítja, hogy az adatosztályozási rendszer hatékonyan működjön, a változó környezetben is.

 www.nuce.hu

A NIS2 és főleg a kibertörvény megjelenése óta elég sok beszélgetésen találkozunk, elég sok „észrevétellel”. Az alábbiakban a leggyakoribb kérdések, érvek közül nézünk végig néhányat. Csak dióhéjban (in nuce).

„Biztos, hogy a kibertörvény ránk is vonatkozik?”

Ez talán a leggyakrabb felvetés, és sok helyen felmerül. Minden (hatósági) segítség ellenére, nem mindig egyszerű eldönteni a kérdést. Ráadásul a felkészüléssel járó ráfordítások mind az erőforrások mind a költségek tekintetében, valamint az auditok várható költségei nagyon alapos megfontolást igényelnek.

Azt azért el lehet mondani, hogy ha már egyáltalán felmerült ez a kérdés, akkor könnyen lehet, hogy valóban a törvény hatálya alá tartozunk…

Természetesen az is opció, hogy a NIS2 keretrendszerét, kontrolljait mindenképpen érdemes használni a szervezetek informatikai fejlesztéseiben, akkor is, ha a jogszabály nem vonatkozik valakire. Legfeljebb nem annyira szűkös határidővel kell mindent megvalósítani, és főleg nem kötelező auditáltatni…

„Van ISO minősítésünk, mi rendben vagyunk, felkészültünk.”

Ez így ebben a formában nem teljesen igaz. Az természetesen igen sokat segít, ha valakinek van ISO minősítése, akár például az információbiztonságra vonatkozó ISO 27001-es. Egyrészt ez azt jelenti, hogy a szervezet gondolkodásába, folyamataiba már beivódott a szabálykövetés, a pontos dokumentálás, a megfelelések/auditok rendszere. Ráadásul ilyenkor az informatika is feltehetően jól szabályozott keretek között működik. Ugyanakkor a NIS2 irányelv (EU 2022/2555 irányelve az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről,…) 21. cikkében („A kiberbiztonsági kockázatkezelési intézkedések”) jelzi ezek használhatóságát: „Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, valamint a végrehajtás költségeit,…”. Ráadásul az irányelv preambulumának 79. pontja nevesíti is az ISO 27000-et.

Az ISO önkéntes, és a NIS2 kötelezően alkalmazandó jellege mellett vannak természetesen egyéb különbségek, eltérések, nem is kevés. Csak néhány példa erejéig: az ISO rendszerhez képest a NIS2, illetve a hazai kibertörvény rendelkezései jóval konkrétabbak, pontosabb feladatokat, kontrollokat írnak elő, konkrét szektorokat, iparágakat neveznek meg kötelezettként, pontos incidens-bejelentési határidőket határoznak meg, hangsúlyosan kitérnek a beszállítókra is, hatósági ellenőrzéseket és szankciókat tesznek lehetővé, vagy például rendszeres kockázatértékelést írnak elő.

Mindenesetre az ISO, vagy más szabvány igen jó alapot jelent a felkészülés indításához, feltehetően jóval kevesebb munkát igényel majd a NIS2-re való felkészülés, mint egy ilyen meglévő rendszer nélkül.

„Nincs még hatósági metodika az elektronikus információs rendszerek biztonsági osztályba sorolására. Addig nem tudunk semmit sem elkezdeni…”

Egyrészt azért elég sok mindent el lehet kezdeni a biztonsági osztályba sorolás nélkül is, hogy mást ne mondjunk egy kockázatelemzést is el lehetne végezni. Az sem kis feladat… Másrészt a biztonsági osztályba sorolás hatósági metodikájáról a jogszabály (7/2024. MK rendelet, 1. melléklet, 2.1.2. pont) azt mondja, hogy „Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg. A besorolást, amelyet a szervezet vezetője hagy jóvá, hatáselemzés alapján kell elvégezni. Az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság ajánlásként hatáselemzési módszertanokat ad ki. Ha a szervezet saját hatáselemzési módszertannal nem rendelkezik, az így kiadott ajánlást köteles használni.” Tehát: HA a szervezet rendelkezik saját hatáselemzési módszertannal, akkor nyugodtan elkezdheti a biztonsági osztályba sorolást.

„Nekünk csak egy elektronikus információs rendszerünk van, és az is „alap” biztonsági osztály…”

Ezek a kérdések ugye az audit díjának megállapításánál elég komoly árkülönbségeket jelenthetnek. 1/2025. SZTFH rendelet, 3. melléklet: „A kiberbiztonsági audit – általános forgalmi adó nélkül számított – legmagasabb díja az 1.1., 1.2. és az 1.3. pont szerinti szorzószámok, valamint 1 750 000 forint szorzataként előálló összeg.”

• 1: A szervezet előző üzleti évi nettó árbevétele
• 2: A szervezet elektronikus információs rendszereinek (EIR) darabszáma
• 3: A szervezet elektronikus információs rendszereinek biztonsági osztálya

Azaz, ha például a szervezet előző üzleti évi nettó árbevétele 11 milliárd Ft, akkor ez adott, mérleg leadva, ezzel nem tud a szervezet mit kezdeni (ez esetben a 11 mlrd Ft-hoz tartozó szorzószám a 2,5).

Amivel próbálkoznak a szervezetek, az az EIR-ek darabszáma. A leggyakoribb az „itt minden egy rendszerben fut”. Ezzel az a gond, hogy ezt esetleg majd az auditor másként látja… Ez mondjuk még a kisebbik probléma, mert öt darab EIR-ig a szorzószám egyes, azaz mindegy, hogy egy vagy akár öt EIR-ünk van, a szorzószám egyes. Hat és tizenöt EIR között már pl. 2,5, 16 EIR felett 4 a szorzószám.

Vagy a biztonsági osztályba sorolás. „Nálunk nincsenek annyira fontos EIR-ek, mi mindent (azt az egyet…) „alap” biztonsági osztályba soroltunk.” Mert hogy az „alap” biztonsági osztály szorzószáma egyes. Ezzel ugyanaz a gond, mint az előbb. Az auditornak esetleg más lesz a véleménye. Ráadásul ezt a besorolást érintett hatóság is vizsgálni fogja! 418/2024. évi Kormányrendelet 30.§ szerint: „Az elektronikus információs rendszerek biztonsági osztályba sorolásának vizsgálata a nemzeti kiberbiztonsági hatóságnak megküldött információk alapján, jogszabályban meghatározott szempontok szerint történik.” „A nemzeti kiberbiztonsági hatóság a szervezet által megállapított biztonsági osztályt felülbírálhatja és indokolással magasabb biztonsági osztályba sorolást is megállapíthat.”

Az SZTFH rendelet szerint: „ha a szervezet valamennyi elektronikus információs rendszerének biztonsági osztálya „alap” biztonsági osztály, a szorzószám 1.Ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „jelentős” biztonsági osztály, a szorzószám 3, ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „magas” biztonsági osztály, a szorzószám 5.”

Tehát mennyi lehet az SZTFH rendelet szerint a kiberbiztonsági audit legmagasabb díja a fenti példa-árbevétellel számolva?

• A számunkra kedvező matek esetén: 1.750.000 x 2,5 x 1 x 1 = 4.375.000,-Ft+ÁFA
• A valósághoz közelebbi állapot esetén (pl. 6db EIR, amiből egy „jelentős”) 1.750.000 x 2,5 x2,5 x 3 = 32.812.500,-Ft+ÁFA.

Hát… Valóban nem mindegy…

A szervezetek döntéshozóinak mások a prioritásai.

Ez is természetes, és jogos. Akikre a kibertörvény NIS2 része vonatkozik, azok elég nagy szervezetek, a vezetőik abból a pozícióból gondolkodnak már hosszú évek óta. Azaz: „mi nem egy két fős Bt vagyunk, elég nagyok vagyunk, ráérünk, megoldjuk valahogy, a hatóság is „enyhébben kezel””,… Ez igaz, de mind a felkészítők, mind az auditorok is csak ilyen nagy cégekkel dolgoznak, csak ilyenekkel találkoznak, ez a piac csak ilyen nagy szervezetekből áll. Mindenki „nagy”, kiemelt, VIP vezető,…

 Ugyanakkor fontos lenne látni azt is, hogy a kibertörvény elég egyértelműen a „szervezet vezetőjére” ró igen sok feladatot. Ezek egy részét természetesen nem ő fogja elvégezni, de a felelősség az övé. 2024. évi LXIX. törvény 30. § (3): „Ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget, a nemzeti kiberbiztonsági hatóság az eset összes körülményének mérlegelésével kormányrendeletben meghatározott mértékű bírsággal sújthatja, ismételt jogsértés esetén sújtani köteles.” A hivatkozott kormányrendelet a 418/2024. Kormányrendelet, ahol a 42.§ foglalkozik a Kiberbiztonsági bírságokkal. A 3. mellékletben elég részletesen le vannak írva a mulasztások és a kapcsolódó bírságok, de csak egy példa egy kategóriában a legmagasabb összegre: „ha a szervezet alapvető szervezetnek minősül 10 millió eurónak megfelelő forintösszeg vagy, ha ez magasabb a szervezet előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő összeg”.

Ráadásul a Kormányrendelet 44.§ (4) szerint: „A bírság megfizetése nem mentesít a büntetőjogi, valamint a polgári jogi felelősség, valamint a bírság kiszabására okot adó körülmény megszüntetésének kötelezettsége alól.”

Ide kapcsolódik még egy-két „apróság”: 42.§ (4): „Ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget, a nemzeti kiberbiztonsági hatóság 15 millió forintig terjedő bírsággal sújthatja, illetve ismételt jogsértés esetén sújtja.” Azaz, személy szerint a szervezet vezetője is kaphat pénzbírságot.

ÉS az információbiztonsági felügyelő (2024. évi LXIX. törvény 30. §): „Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a biztonsági hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, a kiberbiztonsági hatóság… jogosult … a szervezet költségére információbiztonsági felügyelőt kirendelni.”

Na, ez az, amit senki sem szeretne… Az információbiztonsági felügyelőnek igen komoly jogosultságai vannak, például jogosult „azonnali intézkedést javasolni az érintett szervezet vezetőjének a közvetlen fenyegetés elhárításához (működés korlátozása, leállítása)”.

Még egyszer: a jelenlegi gazdasági körülmények között teljesen jogos a szervezetek vezetőinek az a priorizálása, hogy először a túlélés (árbevétel, piacszerzés, stb.), és minden más csak utána következhet. Ugyanakkor a kibertörvény és „környéke” - bár senki sem a „nulláról indul” - szintén elég sok feladatot ró az érintettekre. És nincs rá sem túl sok idő, sem túl sok erőforrás.

 www.nuce.hu

A szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

A napokban jelent meg az SZTFH 1/2025-ös rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról, valamint a 2/2025-ös SZTFH rendelet a kiberbiztonsági felügyeleti díjról.

Mivel az 1/2025-ös rendelet írja le az auditori és a hatósági ellenőrzések metodikáját, így ez igen fontos „iránymutatás” a kibertörvény (2024. évi LXIX. trv.), illetve a kapcsolódó végrehajtási rendelet (7/2024. MK rendelet) alkalmazásához.

Az alábbiakban megpróbáljuk dióhéjban (in nuce) összefoglalni az első benyomásainkat.

Pozitív:

• A rendeletben szereplő audit metodika igen részletes, alapos és korrekt. Természetesen lehet másként is auditálni, bizonyítékokat gyűjteni, felmérni egy-egy szervezetet, de az 1/2025-ös egy kodifikált, hatósági rendelet, ami teljes mértékben használható, nagyon is megfelel a kiberbiztonsági törvény céljainak.

Kérdéses:

• Erőforrás: bár időközben a hatóság több céget engedett az auditori körbe, de pont a fenti igen jó és részletes audit metodika miatt erősen kétséges, hogy 2025 december végéig ezek a cégek az érintett szervezeteket a fenti metodika alapján korrektül le tudják ellenőrizni.
• Automatizálás: jelenleg is vannak auditálást támogató szoftverek, mind belső fejlesztésűek, mind „dobozosak”. A CAAT és a CAATT elég régi fogalmak ebben a szakmában… Ezek természetesen segíteni fognak a munkában, de ha a rendelet azt írja elő, hogy „kötelezően alkalmazandó interjú”, vagy „kötelezően alkalmazandó teszt”, akkor azt annak megfelelően kell elvégezni. Azaz például, mivel az SZTFH rendelet auditori módszertani leírása megkülönbözteti az interjút és a személyes interjút, a helyszíni és a távoli interjút (5. melléklet, 1.2.2 pont), így ott pl. lehet a „felhőben” feltett kérdésekre/kérdőívekre online is válaszolni.
• Az audit alanyok jellemzően nem annyira szeretik, ha külsősök (akár auditorok) saját munkájukat megkönnyítendő, saját (audit) szoftvereket telepítenének a cégek rendszereire. Tehát ez jellemzően kézimunka lesz. Nagyjából 3800-4000 szervezetnél…
• Az audit egyik lényeges eleme, hogy bármilyen metodika esetén az auditor tapasztalata és professzionalizmusa erősen befolyásolja az audit menetét. Tehát például az interjúztatás során egy-egy kérdésre adott válasz esetén mennyire lesz alapos az ellenőrzés, milyen mértékig megy tovább azon a kontrollponton. Mennyire akarja az auditor gyorsan és hatékonyan lezárni a kérdőívet/ügyfelet, vagy mennyire tartja fontosnak a megbízó valós érdekét, alaposabban feltárni a hiányosságot, segíteni a kiberbiztonság valódi fejlesztését.

Hogy néz ki a folyamat a gyakorlatban?

Például az incidenskezelés esetében.

A kibertörvény (2024. évi LXIX. trv) annyit mond, hogy (70. § (1)) „Kiberbiztonsági incidens bekövetkezése esetén a szervezet intézkedik az érintett kiberbiztonsági incidens kezelése érdekében.”

A kapcsolódó rendelet (7/2024. MK rendelet) már egy picit részletesebb. A 2. melléklet (Védelmi intézkedések katalógusa) 9.pontja (Biztonsági események kezelése) 38 pontban részletezi a különböző biztonsági osztályba sorolt rendszerekre vonatkozó kontrollokat. Ennek 9.9 pontja a „Biztonsági események kezelése”, amely szerint a szervezet „biztonsági eseménykezelési képességet alakít ki”, „összehangolja a biztonsági eseménykezelési tevékenységeket az üzletmenet-folytonossági tervezési tevékenységekkel”, „beépíti a folyamatos biztonsági eseménykezelési tevékenységekből származó tanulságokat a biztonsági eseménykezelési eljárásokba, képzésbe és tesztelésbe”, és „biztosítja, hogy a biztonsági eseménykezelési tevékenységek összehasonlíthatók és kiszámíthatók legyenek a szervezeten belül”.

A fenti feladatokat az 1/2025 SZTFH rendelet 6. mellékletében felsorolt „a kiberbiztonsági audit során alkalmazandó vizsgálati módszerek” 207. pontja szerint

• szervezeti szinten kell ellenőrizni (tehát nem elektronikus információs rendszer - EIR szinten),
• kötelező az interjúztatáson erre rákérdezni,
• kötelező erre vonatkozó tesztet is alkalmazni a tényleges és az elvárt működés összehasonlítására (ez lehet akár automatizált is),
• ez egy „biztosító” típusú ellenőrzés, és
• „az értékelésből nem kizárható”.

A rendelet 7. melléklete segít a „követelménycsoportok értékelése” tekintetében is. A biztonsági események kezelése esetében ezek az alábbiak:

• az események kezelésére az eseménykezelési tervvel összhangban lévő eseménykezelési képességek kerültek kialakításra
• az eseménykezelési képesség az eseményekre való felkészülést is magában foglalja
• az eseménykezelési képesség magában foglalja az események észlelését és elemzését
• az eseménykezelési képesség magában foglalja az események elszigetelését
• az eseménykezelési képesség magában foglalja az események felszámolását
• az eseménykezelési képesség magában foglalja a helyreállítást
• az eseménykezelési tevékenységeket összehangolták az üzletmenet-folytonossági tervezési tevékenységekkel
• a folyamatban lévő eseménykezelési tevékenységekből levont tanulságokat beépítik az eseménykezelési eljárásokba, a képzésbe és a tesztelésbe
• a beépített tanulságokból eredő változtatásokat annak megfelelően hajtják végre
• az eseménykezelési tevékenységek összehasonlíthatóak és kiszámíthatóak az egész szervezeten belül.

Költségek

Az auditra való felkészülés természetesen egy külön történet, az tényleg minden cégnél más és más, minden szervezet más „érettségi szinten” van, máshonnan indul, más (esetleges) hiányosságokat kell pótolnia.

A kiberbiztonsági audit legmagasabb díját viszont a rendelet 3. melléklete tartalmazza. Ebben meghatároztak egy alap „szorzószámot”, ez nettó 1 750 000 forint, valamint három változó szorzószámot, ami alapján az audit díjat kell kalkulálni. Ezek a paraméterek a szervezet előző üzleti évi nettó árbevétele, a szervezet elektronikus információs rendszereinek (EIR) darabszáma, valamint a szervezet elektronikus információs rendszereinek biztonsági osztálya.

Néhány példa:

• „Alfa” cég:
  • előző üzleti évi nettó árbevétele 250 millió Ft           szorzószám: 0,9
  • egyetlen rendszere esik a törvény hatálya alá,         szorzószám: 1
  • ezt a rendszert „alap” biztonsági osztályba sorolták szorzószám: 1

A fentiek alapján az „Alfa” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 0,9*1*1*1.750.000Ft = 1.575.000,- Ft

• „Béta” cég:
  • előző üzleti évi nettó árbevétele 27.5 milliárd Ft            szorzószám: 3
  • hat rendszere esik a törvény hatálya alá,                       szorzószám: 2,5
  • van egy „magas” biztonsági osztályba sorolt rendszere szorzószám: 5

A fentiek alapján a „Béta” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 3*2,5*5*1.750.000Ft = 65.625.000,- Ft

• „Gamma” cég:
  • előző üzleti évi nettó árbevétele 27.5 milliárd Ft               szorzószám: 3
  • öt rendszere esik a törvény hatálya alá,                           szorzószám: 1
  • van egy „jelentős” biztonsági osztályba sorolt rendszere szorzószám: 3

A fentiek alapján a „Gamma” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 3*1*3*1.750.000Ft = 15.750.000,- Ft

Összegezve: ismételten azt javasoljuk minden érintettnek, hogy vegyék nagyon komolyan a felkészülést, adott esetben igen sok munkával járhat, sok időt és erőforrást igényel, és nincs rá sem sok idő, sem sok valódi szakember.

www.nuce.hu

Első lépésként a szokásos felelősségkizárás:

Mint azt már egyik előző bejegyzésben érintettük, az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai alkalmával született 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, több jogszabály „összegyúrásával” jött létre.

Most a kapcsolódó fontosabb (tényleg csak a fontosabb!) feladatokat és határidőket próbáljuk meg az alábbiakban dióhéjban (in nuce) áttekinteni.

nuce.hu

Első lépésként a szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

Mint azt már egyik előző bejegyzésben érintettük, az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai alkalmával született 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, több jogszabály „összegyúrásával” jött létre. Pontosabban, a jogalkotó szándéka az volt, hogy egy törvény vonatkozzon az információs társadalmát érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklésére és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítására.

Azaz, a 2013. évi L. törvényben ide sorolt szervezetekre, és a NIS 2 rendelet honosítására/átültetésére készült 2023. évi XXIII. törvényben definiált szolgáltatókra és szervezetekre.

A 2024. évi LXIX. törvény első fejezete elég hosszasan és részletesen fejtegeti a törvény hatályát, itt most megpróbáljuk ezt egy picit tömöríteni:

1. Közigazgatási ágazathoz tartozó szervezetek
   • a központi államigazgatási szerv, a Kormány kivételével,
   • a Sándor-palota,
   • az Országgyűlés Hivatala,
   • az Alkotmánybíróság Hivatala,
   • az Országos Bírósági Hivatal és a bíróságok,
   • az ügyészségek,
   • az Alapvető Jogok Biztosának Hivatala,
   • az Állami Számvevőszék,
   • a Magyar Nemzeti Bank,
   • a Magyar Honvédség,
   • a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai,
   • a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
   • a települések képviselő-testületének hivatalai,
   • a központi szolgáltató,
   • a központi rendszer felett rendelkezési jogot gyakorló szervezet.
2. A kritikus szervezetek ellenálló képességéről szóló törvény alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák, valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák, az előző pont szerinti minősülése az irányadó.
3. Többségi állami befolyás alatt álló gazdálkodó szervezetek, amelyek meghaladják a középvállalkozásokra* vonatkozó küszöbértékeket,
4. Alapvető vagy fontos szervezetek (nemzeti kiberbiztonsági hatóság, vagy a honvédelmi kiberbiztonsági hatóság által azonosítva)
5. Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, amelyek legalább középvállalkozásoknak* minősülnek, vagy meghaladják annak küszöbértékét, (a törvény 2. mellékletében felsorolva, (energetika, közlekedés, egészségügy, ivóvíz, szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT szolgáltatások, űralapú szolgáltatás)
6. Kockázatos ágazatokban működő szolgáltatók és szervezetek amelyek legalább középvállalkozásoknak* minősülnek, vagy meghaladják annak küszöbértékét, (a törvény 3. mellékletében felsorolva, (postai és futárszolgálatok, élelmiszer előállítása, feldolgozása és forgalmazása, hulladékgazdálkodás, vegyszerek előállítása és forgalmazása, orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógép, elektronikai, optikai termék gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, cement-, mész-, gipszgyártás, digitális szolgáltatók (pl: online-piactér szolgáltató/webshop), kutatás)
7. Méretüktől függetlenül az előző két pontban felsorolt szervezetekre, ha a szervezet
   • elektronikus hírközlési szolgáltató,
   • bizalmi szolgáltató,
   • DNS-szolgáltató,
   • legfelső szintű doménnév-nyilvántartó vagy
   • doménnév-regisztrációt végző szolgáltató, valamint
   • a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.

* A középvállalkozásokra vonatkozó kérdésben a Kkvtv. (2004. évi XXXIV. törvény) az irányadó: „3.§ (2) A KKV kategórián belül kisvállalkozásnak minősül az a vállalkozás, amelynek a) összes foglalkoztatotti létszáma 50 főnél kevesebb, és b) éves nettó árbevétele vagy mérlegfőösszege legfeljebb 10 millió eurónak megfelelő forintösszeg.”

Tehát pl. a 2013. évi L. törvényben felsorolt szervezetek nagyjából megegyeznek a fenti 1. pontban felsorolt szervezetekkel, némi apró módosítással:

2013 L. törvény megfogalmazása:

• a fővárosi és vármegyei kormányhivatalokra,
• a helyi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra,

2024. évi LXIX. törvény megfogalmazása:

• a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai,
• a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
• a települések képviselő-testületének hivatalai,

Valamint két új kategória, amelyek nem szerepeltek a 2013 L. törvényben:

• a központi szolgáltató,
• a központi rendszer felett rendelkezési jogot gyakorló szervezet.

Az, hogy egy adott szervezet a jogszabály hatálya alá tartozik-e vagy sem, azt minden szervezetnek magának kell eldöntenie. A kijelölt hatóságok ebben természetesen tudnak segíteni, az SZTFH oldalán például van egy rövid segédanyag is erről.

Természetesen, aki a 2013. évi L. törvény szerint már szerepelt a hatósági nyilvántartásban, annak a már bejelentett adatokat nem kell ismételten bejelenteni, azokat a nemzeti kiberbiztonsági hatóság a meglévő nyilvántartás részeként kezeli.

Tehát nem kell bejelenteni a szervezetet, az elektronikus információs rendszer biztonságáért felelős személy adatait, nem kell beküldeni ismét pl. az információbiztonsági szabályzatot. DE: eddig nem volt előírva, így bejelentve sem, például az adatosztályozás, vagy „a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolása”. Ezekre viszont vannak határidők.

8. §,(4) d) „…az e törvény hatálya alá kerülését követő…d) 120 napon belül – ha releváns – elvégzi a 9. § szerinti adatosztályozást,”
9. §,(4) f) „180 napon belül – a 6. § szerinti kockázatmenedzsment keretrendszer létrehozatalával együttesen – elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását”
10. „85.§ (1) Ha az 1. § (1) bekezdés a) pontja szerinti szervezet, … e törvény hatálybalépését megelőzően az Ibtv. hatálya alá tartozott, és már teljesítette az elektronikus információs rendszerei biztonsági osztályához ott előírt követelményeket, az informatikáért felelős miniszter rendeletében előírt új védelmi intézkedések kivitelezésére e törvény hatálybalépésétől számított 1 év áll rendelkezésére.”

A fenti pontok alkalmazása szempontjából az e törvény hatálya alá kerülés időpontja „a hatály alá kerülést eredményező jogállást megalapozó jogi aktus hatálybalépésének napja”.

A 2024. évi LXIX. törvény 2025 január 3.-tól hatályos.

Voltak „suttogások”, félinformációk, pletykák az audit határidő változásáról is, de a jogszabályban publikált dátum nem változott: a NIS 2 -re kötelezett (alapvetően a törvény 2. és 3. melléklet szerinti szervezet, amely 2025. január 1-je előtt megkezdte működését), az első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni (89.§, (2) pont).

www.nuce.hu

Az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai (pl. 2013. évi L. trv. ÉS a 2023. évi XXIII. trv. „összegyúrása” a 2024. évi LXIX. törvénybe, 41/2015. BM rendelet „cseréje” a 7/2024-es MK rendeletre stb.) egy picit tisztább képet teremtettek e területen, de azért még maradtak nyitott kérdések.

Mint azt már egyik előző bejegyzésben érintettük, a kiberbiztonsági megfeleléshez, azaz a „hogyan” kérdés eldöntéséhez, két keretrendszer is létezik. Érdekesség, hogy mindkettő jogszabály, azaz kötelezően alkalmazandó.

Első lépésként a szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

Mind a 7/2024. MK rendelet („a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről”), mind az Európai Unió 2024/2690 végrehajtási rendelete („az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról”) a kiberbiztonság területén szabályozzák az elektronikus információs rendszerek biztonságát, de különböző szinteken és hatáskörökkel.

A két rendelet tehát kiegészíti egymást: a 7/2024-es MK rendelet a nemzeti szintű biztonsági osztályba sorolást és a védelmi intézkedéseket szabályozza, míg a 2024/2690-es EU végrehajtási rendelet az Uniós szintű kiberbiztonsági események kezelésére és a nemzeti hatóságok közötti együttműködésre összpontosít.

Itt is ki kell emelnünk, hogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet az érintett szervezetek számára igen jó és hasznos útmutatókat adott ki a 7/2024. MK rendelet gyakorlati alkalmazásához.

Még egy igen fontos különbség: míg az EU rendelet az EU-s 2022/2555 (NIS 2) irányelv alkalmazását segíti, ahhoz ír elő végrehajtási, alkalmazási kötelezettségeket, addig a hazai 7/2024-es MK rendelet e mellett azokra a szervezetekre is vonatkozik, akik a NIS 2 rendelet alapján esetleg nem érintettek, de például a közigazgatási ágazathoz tartozó szervezetek, bizonyos többségi állami befolyás alatt álló azon gazdálkodó szervezetek, alapvető vagy fontos szervezetként azonosított szervezetek stb.

Mik a közös pontok, és mik a különbségek?

Először is a struktúrákról.

A 7/2024-es MK rendelet mellékletében szereplő „Védelmi intézkedések katalógusa” 19 fejezetre lett bontva, összesen 914 kontrollt tartalmaz, változó kötelezettséggel az alap/jelentős/magas biztonsági osztályokra, az alábbi bontásban:

A 2024/2690-es EU végrehajtási rendelet mellékletében szereplő „technikai és módszertani követelmények” 13 fejezetre lett bontva, összesen 161 kontrollt tartalmaz, de ezek a kontrollpontok sok esetben tovább lettek bontva, részletezve al-pontokra.

Ha jól megnézzük a két jogszabályban található tematikai bontást és egy picit általánosítunk a megfogalmazásokban, akkor azt látjuk, hogy a főbb kontrollok az alábbiak szerint alakulnak:

Bár a fenti összevetés nem teljeskörű, eléggé önhatalmú és esetleg pontatlan is lehet, azért az látszik, hogy nagyjából ugyanarról beszél mindkét jogszabály, leginkább a hangsúlyok mások.

Azaz például az adathordozók kezelése és védelme az EU rendeletben egy alpont 5-6 mondattal, az MK rendeletben ez 18 pontban van részletezve, és még az alap biztonsági osztályra is 4 főbb pont 14 kontrollpontja vonatkozik. Az „azonosítás és hitelesítés” témakör az EU rendeletben mindössze két alpontja a „Hozzáférés-ellenőrzés” fejezetnek összesen 8 pontban taglalva, az MK rendeletben viszont ez külön fejezet, ötven pontba foglalva, úgy, hogy az alap biztonsági osztályra 36 kontrollpont vonatkozik.

Az alábbiakban megpróbáljuk röviden összefoglalni a legfontosabb közös pontokat és a különbségeket:

Közös pontok:

1. Információbiztonsági szabályzat kidolgozása és karbantartása: Mindkét jogszabály előírja, hogy a szervezeteknek rendelkezniük kell információbiztonsági szabályzattal/szabályzatokkal, amely meghatározza a biztonsági követelményeket és a védelmi intézkedéseket. Ezt a szabályzatot rendszeresen felül kell vizsgálni és frissíteni.
2. Hozzáférés-ellenőrzési mechanizmusok: Mindkét dokumentum hangsúlyozza a hozzáférési jogosultságok megfelelő kezelését, beleértve a hozzáférési kérelmek engedélyezését megelőző ellenőrzéseket és a jogosultságok rendszeres felülvizsgálatát.
3. Adatbányászat elleni védelem: A szervezeteknek mindkét esetben alkalmazniuk kell olyan technikákat, amelyek megelőzik és észlelik az engedély nélküli adatbányászatot a meghatározott adattárakon.

Különbségek:

1. Biztonsági osztályok meghatározása: A 7/2024. MK rendelet részletesen definiálja a biztonsági osztályokat (alap, jelentős, magas) és az ezekhez tartozó követelményeket, míg a 2024/2690 EU rendelet inkább általános iránymutatásokat ad a biztonsági intézkedésekre vonatkozóan.
2. Pénzügyi veszteségek meghatározása: A 2024/2690 EU rendelet részletesen leírja, hogyan kell meghatározni a biztonsági eseményekből eredő közvetlen pénzügyi veszteségeket, beleértve a különböző költségtípusokat, míg a 7/2024. MK rendelet nem tartalmaz ilyen részletes útmutatást.
3. Nyilvánosan elérhető tartalom kezelése: A 7/2024. MK rendelet specifikus követelményeket határoz meg a nyilvánosan hozzáférhető információk kezelésére, beleértve a kijelölt személyek képzését és a tartalom rendszeres felülvizsgálatát, míg a 2024/2690 EU rendelet nem tér ki erre a témára.

Összességében tehát mindkét melléklet célja az információbiztonság erősítése, de eltérő hangsúlyokkal és részletességgel közelítik meg a témát.

www.nuce.hu

A 2013-as ötvenes törvény hatályát vesztette, van a NIS 2, NKI-s XLS táblázat még a szintén hatályát vesztett 41/2015-ös BM rendelet alapján, kockázatkezelés és kockázatmenedzsment keretrendszer, öt biztonsági osztály helyett most alap/jelentős/magas osztályok, van ugyan 7/2024 es MK rendelet a metodikáról, de van EU-s rendelet is ugyanerről, ami rendelet, tehát teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban. Mi van??

Első lépésként némi tisztázás, felelősségkizárás: A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

A 2024-es év végén és a 2025-ös év elején néhány olyan információbiztonságot érintő jogszabály módosult, ami egyaránt érinti a 2013 L. törvény által érintett szervezeteket, és a NIS 2 által érintett szervezeteket is.

Az alábbiakban megpróbáljuk megfeleltetni a hatályát vesztett jogszabályokat, és melléjük rendelni azokat a hatályos jogszabályokat, amelyek nagyjából hasonló funkciókat, előírásokat tartalmaznak. Az alábbi gyűjtés nem teljeskörű (pl. ágazati jogszabályok is lehetnek) és a megfeleltetés sem lehet teljesen pontos.

Maradt a 26/2013 KIM_rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról, de még a 2013 L. törvényre hivatkozik.

A fenti átalakulásokra, mozgásokra néhány példa:

• A 2023. évi XXIII. törvényben szereplő melléklet a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek”-ről és a „Kockázatos ágazatokban működő szolgáltatók és szervezetek”-ről, minimális módosítással átkerült a 2024. évi LXIX. törvény mellékletei közé.
• A 41/2015-ös BM rendeletben szereplő (hatályát vesztett) metodika az elektronikus információs rendszerek biztonsági osztályba és szintbe sorolásáról teljesen átalakult, a mai kornak megfelelő lett, és a 7/2024 MK rendelet részletezi „Védelmi intézkedések katalógusa” néven.
• Az „elektronikus információs rendszer biztonságáért felelős személy” (IBF) fogalma, leírása, felelősségei, módosult és átkerült a 2013. évi L. törvényből a 2024. évi LXIX. törvénybe és a 418/2024-es Kormányrendeletbe.
• Teljesen új elemként jelent meg például a 418/2024-es Kormányrendeletben az „Az adatosztályozás végrehajtásához irányadó szempontok”.

A blog írásának pillanatában ugyan a hatóság oldalán még elérhetők a megszűnt 41/2015-ös BM rendelet alapján készült űrlapok (pl. a híres XLS táblázatok), de már elérhetők a 7/2024-es rendelethez kapcsolódó igen hasznos és jó útmutatók is.

A jogszabályoknál fontos megemlíteni, mivel gyakran kimarad a NIS2 témáknál az Európai Bizottság 2024/2690 végrehajtási rendeletét, (2024. október 17.) „az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról”.jogszabalyvaltozasok2024

Ez azért fontos, mert:

1. EU rendelet, tehát „teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban”.
2. Másrészt a 7/2024-es MK rendelethez hasonlóan szintén tartalmaz technikai és módszertani követelményeket!

A 7/2024. MK rendelet és az Európai Unió 2024/2690 végrehajtási rendelete a kiberbiztonság területén szabályozzák az elektronikus információs rendszerek biztonságát, de különböző szinteken és hatáskörökkel.

7/2024. (VI. 24.) MK rendelet:

• Célja: A 2024. évi LXIX. törvény hatálya alá tartozó szervezetek elektronikus információs rendszereinek biztonsági osztályba sorolásának és az egyes osztályokhoz tartozó konkrét védelmi intézkedések meghatározása.
• Hatálya: Magyarország területén szervezetekre vonatkozik.
• Főbb rendelkezések:
  • Az elektronikus információs rendszerek biztonsági osztályba sorolása meghatározott szempontok alapján.
  • Az egyes biztonsági osztályokhoz rendelt védelmi intézkedések leírása.
  • A kockázatelemzés és kockázatkezelés vázlatos szabályai.

Európai Unió 2024/2690 végrehajtási rendelet:

• Célja: Az Uniós szintű kiberbiztonsági szabályozás részletes szabályainak meghatározása, különösen a NIS 2 irányelv végrehajtása érdekében.
• Hatálya: Az Európai Unió tagállamaiban működő szervezetekre vonatkozik, beleértve a kritikus infrastruktúrákat és szolgáltatókat.
• Főbb rendelkezések:
  • A jelentős biztonsági események bejelentésének és kezelésének szabályai.
  • A kockázatkezelési és biztonsági intézkedések részletes előírásai.
  • A nemzeti hatóságok és az ENISA közötti együttműködés szabályai.

A két rendelet tehát kiegészíti egymást: a 7/2024-es MK rendelet a nemzeti szintű biztonsági osztályba sorolást és védelmi intézkedéseket szabályozza, míg a 2024/2690-es EU-s végrehajtási rendelet az Uniós szintű kiberbiztonsági események kezelésére és a nemzeti hatóságok közötti együttműködésre összpontosít.

www.nuce.hu

Nem feltétlenül. A 7/2024. MK rendelet szerinti „magas” biztonsági osztályba sorolás nem automatikus következménye annak, hogy egy cég a NIS 2 irányelv alapján a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriájába tartozik. Bár van összefüggés a két besorolás között, a magas biztonsági osztályba sorolás konkrét feltételeit a rendelet határozza meg.

Miért nem automatikus a besorolás?

1. Különböző szempontrendszerek:
   A NIS 2 irányelv a hálózati és információs rendszerek biztonságára fókuszál, míg a 7/2024-es MK rendelet a létfontosságú rendszerek és létesítmények védelmének magyarországi szabályozását részletezi. Bár a kettő összefügg, a magas biztonsági osztályba sorolás egyedi kockázatelemzéstől és specifikus kritériumok teljesülésétől függ.
2. Kockázatelemzés alapú besorolás:
   A rendelet alapján a létfontosságú rendszerelemek vagy szolgáltatások biztonsági osztályba sorolása az adott rendszer kockázati szintjének felmérésén alapul. Ezt befolyásolhatja:

• Az adott rendszer jelentősége (pl. hatása az ellátásbiztonságra vagy a közbiztonságra).
• A potenciális károk mértéke egy esetleges kiesés vagy támadás esetén.
• A rendszer fenyegetettsége és sebezhetősége.

Mikor kerülhet a cég magas biztonsági osztályba?

• Ha a cég által működtetett rendszerek vagy szolgáltatások olyan létfontosságú rendszerelemnek minősülnek, amelyek megszakadása vagy kiesése jelentős hatással lenne a közszolgáltatásokra, a nemzetbiztonságra vagy a gazdaság működésére.
• Ha a rendszer kockázatelemzése alapján a hatóság magas biztonsági osztályba sorolja azt.

Hogyan befolyásolja a magas osztályba sorolás a felkészülést?

• Szigorúbb védelmi követelmények vonatkoznak a rendszerekre, beleértve a fizikai, logikai és szervezeti védelmi intézkedéseket.
• Részletesebb kockázatkezelési dokumentáció és rendszeres audit szükséges.
• Több erőforrást kell biztosítani a kiberbiztonsági szabályok betartására.

Összegzés

Egy cég besorolása a NIS 2 irányelv szerinti „kiemelten kockázatos ágazatok” kategóriájába nem automatikusan jelenti a 7/2024-es MK rendelet szerinti „magas” biztonsági osztályba sorolást. A végső besorolás az adott szervezet rendszereinek és szolgáltatásainak sajátos kockázati tényezőitől függ, amelyet a hatóság egyedi eljárás során határoz meg. Érdemes ezért előre egyeztetni az illetékes hatóságokkal és elvégezni a szükséges kockázatelemzést.

nuce.hu

A NIS 2 irányelv (Network and Information Security Directive) a kibertér biztonságát célzó uniós szabályozás, amely kiemelt figyelmet fordít a létfontosságú ágazatokban működő szervezetekre. Ha egy cég a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriába tartozik, az alábbiakat jelenti és befolyásolja a felkészülés szempontjából:

Mit jelent a besorolás?

1. Létfontosságú ágazatokban való működés: Az ilyen cégek olyan szektorokban tevékenykednek, amelyek nélkülözhetetlenek a társadalom és a gazdaság működése szempontjából (pl. energia, vízellátás, közlekedés, egészségügy, pénzügyi szolgáltatások, digitális infrastruktúra).
2. Fokozott fenyegetettség: Ezek a szervezetek nagyobb kockázatot jelentenek a kiberfenyegetések célpontjaként, mivel támadásuk jelentős gazdasági, társadalmi vagy akár nemzetbiztonsági hatásokkal járhat.
3. Szigorúbb szabályozási elvárások: A NIS 2 az ilyen ágazatokban működő szervezetekre szigorúbb kötelezettségeket ró, beleértve a kockázatkezelést, incidenskezelést, jelentési kötelezettségeket és auditálást.

Hogyan befolyásolja a cég felkészülését?

1. Kibervédelmi intézkedések szigorítása: A cégnek részletesebb és erőteljesebb biztonsági intézkedéseket kell kidolgoznia, például:

• Kockázatkezelési keretrendszer létrehozása.
• Incidenskezelési terv kidolgozása és rendszeres tesztelése.
• Adatbiztonsági szabványok alkalmazása, mint például az ISO 27001.

• Fontos felkészülni a jelentések automatizált előállítására és pontos dokumentációra.

• A hatóságok rendszeresen ellenőrizhetik a szervezet megfelelőségét.
• A cégnek bizonyítania kell, hogy a kockázatkezelési intézkedései hatékonyak.

• IT-biztonsági szakértők alkalmazása.
• Megfelelő eszközök és rendszerek telepítése.
• Dolgozók képzése a kibertudatosság növelése érdekében.

Összegzés

A besorolás növeli a cég felelősségét és a rá háruló feladatokat. Ezért a felkészülésnek átfogónak kell lennie, ami magában foglalja az IT-infrastruktúra, a folyamatok és a szervezeti kultúra felülvizsgálatát és fejlesztését. Az időben történő, proaktív hozzáállás és a megfelelő szakértők bevonása elengedhetetlen a sikeres megfeleléshez.

nuce.hu

Tegyük fel, hogy a NIS 2 rendelet szerinti hiányosság-elemzés elkészült. Mi a következő lépés?

Hát, ha jó a gap elemzés, akkor annak ezt tartalmaznia kellene…

Azaz, a gap elemzést egy cselekvési tervvel lenne jó zárni, összeírva, hogy mik a feltárt hiányosságok.

Ezt a cselekvési tervet a cégvezetéssel egyeztetve lehet pontosítani, meghatározni a prioritásokat, végrehajtási ütemezést, erőforrásokat.

Az alábbi lépések következHETnek például a megfelelőség elérése és a biztonsági szint javítása érdekében:

1. Eredmények áttekintése és priorizálás

• Elemzés megbeszélése: A GAP elemzés eredményeinek prezentálása a vezetőség és érintett felek számára.
• Hiányosságok rangsorolása: A feltárt eltérések priorizálása a kockázati szintjük alapján. Fontosabbá válnak azok az eltérések, amelyek:
• Nagy kockázatot jelentenek az üzletmenetre vagy adatbiztonságra.
• Jelentős jogi vagy pénzügyi következményekkel járhatnak.
• Rövid távon javíthatók („quick win”).

2. Cselekvési terv kidolgozása

• Részletes tervezés: A GAP elemzés alapján részletes terv készítése szükséges a hiányosságok megszüntetésére. Ez magában foglalja a:
• Konkrét tevékenységeket.
• Felelősök kijelölését.
• Ütemterv meghatározását.
• Költségvetés becslését.
• Fókuszterületek: Tipikus fókuszterületek lehetnek:
• Incidenskezelési eljárások fejlesztése.
• Biztonsági szabályzatok és protokollok frissítése.
• Alkalmazottak képzése a kiberbiztonság és a NIS 2 előírások terén.
• Technológiai fejlesztések, például monitoring rendszerek telepítése.

3. Hiányosságok megszüntetése

• Technológiai fejlesztések:
• Olyan eszközök vagy eljárások alkalmazása, amelyek segítenek a hálózati és informatikai rendszerek védelmében (pl. tűzfalak, SIEM rendszerek, behatolás-észlelő eszközök).
• Rendszerarchitektúra frissítése, hogy megfeleljen a NIS 2 elvárásoknak.
• Szervezeti változtatások:
• A szervezeten belüli kiberbiztonsági tudatosság növelése.
• Világos és egyértelmű felelősségi körök és hatáskörök kijelölése, esetleges összeférhetetlenségek megállapítása, kezelése.
• Adatkezelési és incidenskezelési eljárások módosítása, fejlesztése.
• Dokumentáció és szabályzatok:
• Szabályzatok a hálózati biztonság, incidenskezelés, adatvédelem és megfelelőség terén.
• Naprakészre hozni minden kapcsolódó dokumentációt.

4. Képzés és tudatosság növelése

• Célzott képzések: képzések a munkavállalók számára az incidenskezelési protokollokról, az információbiztonsági alapelvekről és a NIS 2 előírásokról.
• Szimulációs gyakorlatok:
• kiberbiztonsági incidensek szimulációja a felkészültség tesztelésére.
• az esetleges gyengeségek azonosítása, a reakcióképesség javítása.

5. Tesztelés és ellenőrzés

• Megfelelőség ellenőrzése: a javító intézkedések hatékonyságának rendszeresen értékelése.
• belső auditok vagy független ellenőrzések.
• megfelelőségi ellenőrző listák a NIS 2 kritériumai alapján.
• Incidenskezelési tesztelés:
• az incidenskezelési tervek rendszeres tesztelése és frissítése.

6. Folyamatos nyomon követés és fejlesztés

• Kockázatértékelés folytatása: Rendszeres kockázatelemzés, hogy az újonnan felmerülő fenyegetéseket kezelni lehessen.
• Technológiai frissítések:
• Az IT infrastruktúra folyamatos fejlesztése.
• Jogszabályi változások követése: a NIS 2 irányelvhez kapcsolódó változások nyomon követése, és a kapcsolódó folyamatokat megfelelő módosítása.

7. Hivatalos jelentés és hatósági kapcsolattartás

• Jelentési kötelezettségek: felkészülés a NIS 2 irányelv által előírt incidensjelentési kötelezettségekre, kommunikációs csomagok kidolgozása.
• Kapcsolattartás a hatóságokkal:
• Kapcsolattartás a releváns szabályozó hatóságokkal (NKI, SZTFH, NAIH, stb.).
• Felkészülés a kapcsolódó auditokra és ellenőrzésekre.

Nagyjából ezek a lépések biztosítják, hogy a szervezet nemcsak megfeleljen a NIS 2 rendelet előírásainak, hanem képes legyen folyamatosan fenntartani a magas szintű kiberbiztonsági állapotot.

nuce.hu