A szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

A napokban jelent meg az SZTFH 1/2025-ös rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról, valamint a 2/2025-ös SZTFH rendelet a kiberbiztonsági felügyeleti díjról.

Mivel az 1/2025-ös rendelet írja le az auditori és a hatósági ellenőrzések metodikáját, így ez igen fontos „iránymutatás” a kibertörvény (2024. évi LXIX. trv.), illetve a kapcsolódó végrehajtási rendelet (7/2024. MK rendelet) alkalmazásához.

Az alábbiakban megpróbáljuk dióhéjban (in nuce) összefoglalni az első benyomásainkat.

Pozitív:

• A rendeletben szereplő audit metodika igen részletes, alapos és korrekt. Természetesen lehet másként is auditálni, bizonyítékokat gyűjteni, felmérni egy-egy szervezetet, de az 1/2025-ös egy kodifikált, hatósági rendelet, ami teljes mértékben használható, nagyon is megfelel a kiberbiztonsági törvény céljainak.

Kérdéses:

• Erőforrás: bár időközben a hatóság több céget engedett az auditori körbe, de pont a fenti igen jó és részletes audit metodika miatt erősen kétséges, hogy 2025 december végéig ezek a cégek az érintett szervezeteket a fenti metodika alapján korrektül le tudják ellenőrizni.
• Automatizálás: jelenleg is vannak auditálást támogató szoftverek, mind belső fejlesztésűek, mind „dobozosak”. A CAAT és a CAATT elég régi fogalmak ebben a szakmában… Ezek természetesen segíteni fognak a munkában, de ha a rendelet azt írja elő, hogy „kötelezően alkalmazandó interjú”, vagy „kötelezően alkalmazandó teszt”, akkor azt annak megfelelően kell elvégezni. Azaz például, mivel az SZTFH rendelet auditori módszertani leírása megkülönbözteti az interjút és a személyes interjút, a helyszíni és a távoli interjút (5. melléklet, 1.2.2 pont), így ott pl. lehet a „felhőben” feltett kérdésekre/kérdőívekre online is válaszolni.
• Az audit alanyok jellemzően nem annyira szeretik, ha külsősök (akár auditorok) saját munkájukat megkönnyítendő, saját (audit) szoftvereket telepítenének a cégek rendszereire. Tehát ez jellemzően kézimunka lesz. Nagyjából 3800-4000 szervezetnél…
• Az audit egyik lényeges eleme, hogy bármilyen metodika esetén az auditor tapasztalata és professzionalizmusa erősen befolyásolja az audit menetét. Tehát például az interjúztatás során egy-egy kérdésre adott válasz esetén mennyire lesz alapos az ellenőrzés, milyen mértékig megy tovább azon a kontrollponton. Mennyire akarja az auditor gyorsan és hatékonyan lezárni a kérdőívet/ügyfelet, vagy mennyire tartja fontosnak a megbízó valós érdekét, alaposabban feltárni a hiányosságot, segíteni a kiberbiztonság valódi fejlesztését.

Hogy néz ki a folyamat a gyakorlatban?

Például az incidenskezelés esetében.

A kibertörvény (2024. évi LXIX. trv) annyit mond, hogy (70. § (1)) „Kiberbiztonsági incidens bekövetkezése esetén a szervezet intézkedik az érintett kiberbiztonsági incidens kezelése érdekében.”

A kapcsolódó rendelet (7/2024. MK rendelet) már egy picit részletesebb. A 2. melléklet (Védelmi intézkedések katalógusa) 9.pontja (Biztonsági események kezelése) 38 pontban részletezi a különböző biztonsági osztályba sorolt rendszerekre vonatkozó kontrollokat. Ennek 9.9 pontja a „Biztonsági események kezelése”, amely szerint a szervezet „biztonsági eseménykezelési képességet alakít ki”, „összehangolja a biztonsági eseménykezelési tevékenységeket az üzletmenet-folytonossági tervezési tevékenységekkel”, „beépíti a folyamatos biztonsági eseménykezelési tevékenységekből származó tanulságokat a biztonsági eseménykezelési eljárásokba, képzésbe és tesztelésbe”, és „biztosítja, hogy a biztonsági eseménykezelési tevékenységek összehasonlíthatók és kiszámíthatók legyenek a szervezeten belül”.

A fenti feladatokat az 1/2025 SZTFH rendelet 6. mellékletében felsorolt „a kiberbiztonsági audit során alkalmazandó vizsgálati módszerek” 207. pontja szerint

• szervezeti szinten kell ellenőrizni (tehát nem elektronikus információs rendszer - EIR szinten),
• kötelező az interjúztatáson erre rákérdezni,
• kötelező erre vonatkozó tesztet is alkalmazni a tényleges és az elvárt működés összehasonlítására (ez lehet akár automatizált is),
• ez egy „biztosító” típusú ellenőrzés, és
• „az értékelésből nem kizárható”.

A rendelet 7. melléklete segít a „követelménycsoportok értékelése” tekintetében is. A biztonsági események kezelése esetében ezek az alábbiak:

• az események kezelésére az eseménykezelési tervvel összhangban lévő eseménykezelési képességek kerültek kialakításra
• az eseménykezelési képesség az eseményekre való felkészülést is magában foglalja
• az eseménykezelési képesség magában foglalja az események észlelését és elemzését
• az eseménykezelési képesség magában foglalja az események elszigetelését
• az eseménykezelési képesség magában foglalja az események felszámolását
• az eseménykezelési képesség magában foglalja a helyreállítást
• az eseménykezelési tevékenységeket összehangolták az üzletmenet-folytonossági tervezési tevékenységekkel
• a folyamatban lévő eseménykezelési tevékenységekből levont tanulságokat beépítik az eseménykezelési eljárásokba, a képzésbe és a tesztelésbe
• a beépített tanulságokból eredő változtatásokat annak megfelelően hajtják végre
• az eseménykezelési tevékenységek összehasonlíthatóak és kiszámíthatóak az egész szervezeten belül.

Költségek

Az auditra való felkészülés természetesen egy külön történet, az tényleg minden cégnél más és más, minden szervezet más „érettségi szinten” van, máshonnan indul, más (esetleges) hiányosságokat kell pótolnia.

A kiberbiztonsági audit legmagasabb díját viszont a rendelet 3. melléklete tartalmazza. Ebben meghatároztak egy alap „szorzószámot”, ez nettó 1 750 000 forint, valamint három változó szorzószámot, ami alapján az audit díjat kell kalkulálni. Ezek a paraméterek a szervezet előző üzleti évi nettó árbevétele, a szervezet elektronikus információs rendszereinek (EIR) darabszáma, valamint a szervezet elektronikus információs rendszereinek biztonsági osztálya.

Néhány példa:

• „Alfa” cég:
  • előző üzleti évi nettó árbevétele 250 millió Ft           szorzószám: 0,9
  • egyetlen rendszere esik a törvény hatálya alá,         szorzószám: 1
  • ezt a rendszert „alap” biztonsági osztályba sorolták szorzószám: 1

A fentiek alapján az „Alfa” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 0,9*1*1*1.750.000Ft = 1.575.000,- Ft

• „Béta” cég:
  • előző üzleti évi nettó árbevétele 27.5 milliárd Ft            szorzószám: 3
  • hat rendszere esik a törvény hatálya alá,                       szorzószám: 2,5
  • van egy „magas” biztonsági osztályba sorolt rendszere szorzószám: 5

A fentiek alapján a „Béta” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 3*2,5*5*1.750.000Ft = 65.625.000,- Ft

• „Gamma” cég:
  • előző üzleti évi nettó árbevétele 27.5 milliárd Ft               szorzószám: 3
  • öt rendszere esik a törvény hatálya alá,                           szorzószám: 1
  • van egy „jelentős” biztonsági osztályba sorolt rendszere szorzószám: 3

A fentiek alapján a „Gamma” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 3*1*3*1.750.000Ft = 15.750.000,- Ft

Összegezve: ismételten azt javasoljuk minden érintettnek, hogy vegyék nagyon komolyan a felkészülést, adott esetben igen sok munkával járhat, sok időt és erőforrást igényel, és nincs rá sem sok idő, sem sok valódi szakember.

www.nuce.hu

Első lépésként a szokásos felelősségkizárás:

Mint azt már egyik előző bejegyzésben érintettük, az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai alkalmával született 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, több jogszabály „összegyúrásával” jött létre.

Most a kapcsolódó fontosabb (tényleg csak a fontosabb!) feladatokat és határidőket próbáljuk meg az alábbiakban dióhéjban (in nuce) áttekinteni.

nuce.hu

Első lépésként a szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

Mint azt már egyik előző bejegyzésben érintettük, az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai alkalmával született 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, több jogszabály „összegyúrásával” jött létre. Pontosabban, a jogalkotó szándéka az volt, hogy egy törvény vonatkozzon az információs társadalmát érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklésére és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítására.

Azaz, a 2013. évi L. törvényben ide sorolt szervezetekre, és a NIS 2 rendelet honosítására/átültetésére készült 2023. évi XXIII. törvényben definiált szolgáltatókra és szervezetekre.

A 2024. évi LXIX. törvény első fejezete elég hosszasan és részletesen fejtegeti a törvény hatályát, itt most megpróbáljuk ezt egy picit tömöríteni:

1. Közigazgatási ágazathoz tartozó szervezetek
   • a központi államigazgatási szerv, a Kormány kivételével,
   • a Sándor-palota,
   • az Országgyűlés Hivatala,
   • az Alkotmánybíróság Hivatala,
   • az Országos Bírósági Hivatal és a bíróságok,
   • az ügyészségek,
   • az Alapvető Jogok Biztosának Hivatala,
   • az Állami Számvevőszék,
   • a Magyar Nemzeti Bank,
   • a Magyar Honvédség,
   • a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai,
   • a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
   • a települések képviselő-testületének hivatalai,
   • a központi szolgáltató,
   • a központi rendszer felett rendelkezési jogot gyakorló szervezet.
2. A kritikus szervezetek ellenálló képességéről szóló törvény alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák, valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák, az előző pont szerinti minősülése az irányadó.
3. Többségi állami befolyás alatt álló gazdálkodó szervezetek, amelyek meghaladják a középvállalkozásokra* vonatkozó küszöbértékeket,
4. Alapvető vagy fontos szervezetek (nemzeti kiberbiztonsági hatóság, vagy a honvédelmi kiberbiztonsági hatóság által azonosítva)
5. Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, amelyek legalább középvállalkozásoknak* minősülnek, vagy meghaladják annak küszöbértékét, (a törvény 2. mellékletében felsorolva, (energetika, közlekedés, egészségügy, ivóvíz, szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT szolgáltatások, űralapú szolgáltatás)
6. Kockázatos ágazatokban működő szolgáltatók és szervezetek amelyek legalább középvállalkozásoknak* minősülnek, vagy meghaladják annak küszöbértékét, (a törvény 3. mellékletében felsorolva, (postai és futárszolgálatok, élelmiszer előállítása, feldolgozása és forgalmazása, hulladékgazdálkodás, vegyszerek előállítása és forgalmazása, orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógép, elektronikai, optikai termék gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, cement-, mész-, gipszgyártás, digitális szolgáltatók (pl: online-piactér szolgáltató/webshop), kutatás)
7. Méretüktől függetlenül az előző két pontban felsorolt szervezetekre, ha a szervezet
   • elektronikus hírközlési szolgáltató,
   • bizalmi szolgáltató,
   • DNS-szolgáltató,
   • legfelső szintű doménnév-nyilvántartó vagy
   • doménnév-regisztrációt végző szolgáltató, valamint
   • a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.

* A középvállalkozásokra vonatkozó kérdésben a Kkvtv. (2004. évi XXXIV. törvény) az irányadó: „3.§ (2) A KKV kategórián belül kisvállalkozásnak minősül az a vállalkozás, amelynek a) összes foglalkoztatotti létszáma 50 főnél kevesebb, és b) éves nettó árbevétele vagy mérlegfőösszege legfeljebb 10 millió eurónak megfelelő forintösszeg.”

Tehát pl. a 2013. évi L. törvényben felsorolt szervezetek nagyjából megegyeznek a fenti 1. pontban felsorolt szervezetekkel, némi apró módosítással:

2013 L. törvény megfogalmazása:

• a fővárosi és vármegyei kormányhivatalokra,
• a helyi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra,

2024. évi LXIX. törvény megfogalmazása:

• a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai,
• a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
• a települések képviselő-testületének hivatalai,

Valamint két új kategória, amelyek nem szerepeltek a 2013 L. törvényben:

• a központi szolgáltató,
• a központi rendszer felett rendelkezési jogot gyakorló szervezet.

Az, hogy egy adott szervezet a jogszabály hatálya alá tartozik-e vagy sem, azt minden szervezetnek magának kell eldöntenie. A kijelölt hatóságok ebben természetesen tudnak segíteni, az SZTFH oldalán például van egy rövid segédanyag is erről.

Természetesen, aki a 2013. évi L. törvény szerint már szerepelt a hatósági nyilvántartásban, annak a már bejelentett adatokat nem kell ismételten bejelenteni, azokat a nemzeti kiberbiztonsági hatóság a meglévő nyilvántartás részeként kezeli.

Tehát nem kell bejelenteni a szervezetet, az elektronikus információs rendszer biztonságáért felelős személy adatait, nem kell beküldeni ismét pl. az információbiztonsági szabályzatot. DE: eddig nem volt előírva, így bejelentve sem, például az adatosztályozás, vagy „a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolása”. Ezekre viszont vannak határidők.

8. §,(4) d) „…az e törvény hatálya alá kerülését követő…d) 120 napon belül – ha releváns – elvégzi a 9. § szerinti adatosztályozást,”
9. §,(4) f) „180 napon belül – a 6. § szerinti kockázatmenedzsment keretrendszer létrehozatalával együttesen – elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását”
10. „85.§ (1) Ha az 1. § (1) bekezdés a) pontja szerinti szervezet, … e törvény hatálybalépését megelőzően az Ibtv. hatálya alá tartozott, és már teljesítette az elektronikus információs rendszerei biztonsági osztályához ott előírt követelményeket, az informatikáért felelős miniszter rendeletében előírt új védelmi intézkedések kivitelezésére e törvény hatálybalépésétől számított 1 év áll rendelkezésére.”

A fenti pontok alkalmazása szempontjából az e törvény hatálya alá kerülés időpontja „a hatály alá kerülést eredményező jogállást megalapozó jogi aktus hatálybalépésének napja”.

A 2024. évi LXIX. törvény 2025 január 3.-tól hatályos.

Voltak „suttogások”, félinformációk, pletykák az audit határidő változásáról is, de a jogszabályban publikált dátum nem változott: a NIS 2 -re kötelezett (alapvetően a törvény 2. és 3. melléklet szerinti szervezet, amely 2025. január 1-je előtt megkezdte működését), az első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni (89.§, (2) pont).

www.nuce.hu

Az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai (pl. 2013. évi L. trv. ÉS a 2023. évi XXIII. trv. „összegyúrása” a 2024. évi LXIX. törvénybe, 41/2015. BM rendelet „cseréje” a 7/2024-es MK rendeletre stb.) egy picit tisztább képet teremtettek e területen, de azért még maradtak nyitott kérdések.

Mint azt már egyik előző bejegyzésben érintettük, a kiberbiztonsági megfeleléshez, azaz a „hogyan” kérdés eldöntéséhez, két keretrendszer is létezik. Érdekesség, hogy mindkettő jogszabály, azaz kötelezően alkalmazandó.

Első lépésként a szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

Mind a 7/2024. MK rendelet („a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről”), mind az Európai Unió 2024/2690 végrehajtási rendelete („az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról”) a kiberbiztonság területén szabályozzák az elektronikus információs rendszerek biztonságát, de különböző szinteken és hatáskörökkel.

A két rendelet tehát kiegészíti egymást: a 7/2024-es MK rendelet a nemzeti szintű biztonsági osztályba sorolást és a védelmi intézkedéseket szabályozza, míg a 2024/2690-es EU végrehajtási rendelet az Uniós szintű kiberbiztonsági események kezelésére és a nemzeti hatóságok közötti együttműködésre összpontosít.

Itt is ki kell emelnünk, hogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet az érintett szervezetek számára igen jó és hasznos útmutatókat adott ki a 7/2024. MK rendelet gyakorlati alkalmazásához.

Még egy igen fontos különbség: míg az EU rendelet az EU-s 2022/2555 (NIS 2) irányelv alkalmazását segíti, ahhoz ír elő végrehajtási, alkalmazási kötelezettségeket, addig a hazai 7/2024-es MK rendelet e mellett azokra a szervezetekre is vonatkozik, akik a NIS 2 rendelet alapján esetleg nem érintettek, de például a közigazgatási ágazathoz tartozó szervezetek, bizonyos többségi állami befolyás alatt álló azon gazdálkodó szervezetek, alapvető vagy fontos szervezetként azonosított szervezetek stb.

Mik a közös pontok, és mik a különbségek?

Először is a struktúrákról.

A 7/2024-es MK rendelet mellékletében szereplő „Védelmi intézkedések katalógusa” 19 fejezetre lett bontva, összesen 914 kontrollt tartalmaz, változó kötelezettséggel az alap/jelentős/magas biztonsági osztályokra, az alábbi bontásban:

A 2024/2690-es EU végrehajtási rendelet mellékletében szereplő „technikai és módszertani követelmények” 13 fejezetre lett bontva, összesen 161 kontrollt tartalmaz, de ezek a kontrollpontok sok esetben tovább lettek bontva, részletezve al-pontokra.

Ha jól megnézzük a két jogszabályban található tematikai bontást és egy picit általánosítunk a megfogalmazásokban, akkor azt látjuk, hogy a főbb kontrollok az alábbiak szerint alakulnak:

Bár a fenti összevetés nem teljeskörű, eléggé önhatalmú és esetleg pontatlan is lehet, azért az látszik, hogy nagyjából ugyanarról beszél mindkét jogszabály, leginkább a hangsúlyok mások.

Azaz például az adathordozók kezelése és védelme az EU rendeletben egy alpont 5-6 mondattal, az MK rendeletben ez 18 pontban van részletezve, és még az alap biztonsági osztályra is 4 főbb pont 14 kontrollpontja vonatkozik. Az „azonosítás és hitelesítés” témakör az EU rendeletben mindössze két alpontja a „Hozzáférés-ellenőrzés” fejezetnek összesen 8 pontban taglalva, az MK rendeletben viszont ez külön fejezet, ötven pontba foglalva, úgy, hogy az alap biztonsági osztályra 36 kontrollpont vonatkozik.

Az alábbiakban megpróbáljuk röviden összefoglalni a legfontosabb közös pontokat és a különbségeket:

Közös pontok:

1. Információbiztonsági szabályzat kidolgozása és karbantartása: Mindkét jogszabály előírja, hogy a szervezeteknek rendelkezniük kell információbiztonsági szabályzattal/szabályzatokkal, amely meghatározza a biztonsági követelményeket és a védelmi intézkedéseket. Ezt a szabályzatot rendszeresen felül kell vizsgálni és frissíteni.
2. Hozzáférés-ellenőrzési mechanizmusok: Mindkét dokumentum hangsúlyozza a hozzáférési jogosultságok megfelelő kezelését, beleértve a hozzáférési kérelmek engedélyezését megelőző ellenőrzéseket és a jogosultságok rendszeres felülvizsgálatát.
3. Adatbányászat elleni védelem: A szervezeteknek mindkét esetben alkalmazniuk kell olyan technikákat, amelyek megelőzik és észlelik az engedély nélküli adatbányászatot a meghatározott adattárakon.

Különbségek:

1. Biztonsági osztályok meghatározása: A 7/2024. MK rendelet részletesen definiálja a biztonsági osztályokat (alap, jelentős, magas) és az ezekhez tartozó követelményeket, míg a 2024/2690 EU rendelet inkább általános iránymutatásokat ad a biztonsági intézkedésekre vonatkozóan.
2. Pénzügyi veszteségek meghatározása: A 2024/2690 EU rendelet részletesen leírja, hogyan kell meghatározni a biztonsági eseményekből eredő közvetlen pénzügyi veszteségeket, beleértve a különböző költségtípusokat, míg a 7/2024. MK rendelet nem tartalmaz ilyen részletes útmutatást.
3. Nyilvánosan elérhető tartalom kezelése: A 7/2024. MK rendelet specifikus követelményeket határoz meg a nyilvánosan hozzáférhető információk kezelésére, beleértve a kijelölt személyek képzését és a tartalom rendszeres felülvizsgálatát, míg a 2024/2690 EU rendelet nem tér ki erre a témára.

Összességében tehát mindkét melléklet célja az információbiztonság erősítése, de eltérő hangsúlyokkal és részletességgel közelítik meg a témát.

www.nuce.hu

A 2013-as ötvenes törvény hatályát vesztette, van a NIS 2, NKI-s XLS táblázat még a szintén hatályát vesztett 41/2015-ös BM rendelet alapján, kockázatkezelés és kockázatmenedzsment keretrendszer, öt biztonsági osztály helyett most alap/jelentős/magas osztályok, van ugyan 7/2024 es MK rendelet a metodikáról, de van EU-s rendelet is ugyanerről, ami rendelet, tehát teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban. Mi van??

Első lépésként némi tisztázás, felelősségkizárás: A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

A 2024-es év végén és a 2025-ös év elején néhány olyan információbiztonságot érintő jogszabály módosult, ami egyaránt érinti a 2013 L. törvény által érintett szervezeteket, és a NIS 2 által érintett szervezeteket is.

Az alábbiakban megpróbáljuk megfeleltetni a hatályát vesztett jogszabályokat, és melléjük rendelni azokat a hatályos jogszabályokat, amelyek nagyjából hasonló funkciókat, előírásokat tartalmaznak. Az alábbi gyűjtés nem teljeskörű (pl. ágazati jogszabályok is lehetnek) és a megfeleltetés sem lehet teljesen pontos.

Maradt a 26/2013 KIM_rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról, de még a 2013 L. törvényre hivatkozik.

A fenti átalakulásokra, mozgásokra néhány példa:

• A 2023. évi XXIII. törvényben szereplő melléklet a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek”-ről és a „Kockázatos ágazatokban működő szolgáltatók és szervezetek”-ről, minimális módosítással átkerült a 2024. évi LXIX. törvény mellékletei közé.
• A 41/2015-ös BM rendeletben szereplő (hatályát vesztett) metodika az elektronikus információs rendszerek biztonsági osztályba és szintbe sorolásáról teljesen átalakult, a mai kornak megfelelő lett, és a 7/2024 MK rendelet részletezi „Védelmi intézkedések katalógusa” néven.
• Az „elektronikus információs rendszer biztonságáért felelős személy” (IBF) fogalma, leírása, felelősségei, módosult és átkerült a 2013. évi L. törvényből a 2024. évi LXIX. törvénybe és a 418/2024-es Kormányrendeletbe.
• Teljesen új elemként jelent meg például a 418/2024-es Kormányrendeletben az „Az adatosztályozás végrehajtásához irányadó szempontok”.

A blog írásának pillanatában ugyan a hatóság oldalán még elérhetők a megszűnt 41/2015-ös BM rendelet alapján készült űrlapok (pl. a híres XLS táblázatok), de már elérhetők a 7/2024-es rendelethez kapcsolódó igen hasznos és jó útmutatók is.

A jogszabályoknál fontos megemlíteni, mivel gyakran kimarad a NIS2 témáknál az Európai Bizottság 2024/2690 végrehajtási rendeletét, (2024. október 17.) „az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról”.jogszabalyvaltozasok2024

Ez azért fontos, mert:

1. EU rendelet, tehát „teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban”.
2. Másrészt a 7/2024-es MK rendelethez hasonlóan szintén tartalmaz technikai és módszertani követelményeket!

A 7/2024. MK rendelet és az Európai Unió 2024/2690 végrehajtási rendelete a kiberbiztonság területén szabályozzák az elektronikus információs rendszerek biztonságát, de különböző szinteken és hatáskörökkel.

7/2024. (VI. 24.) MK rendelet:

• Célja: A 2024. évi LXIX. törvény hatálya alá tartozó szervezetek elektronikus információs rendszereinek biztonsági osztályba sorolásának és az egyes osztályokhoz tartozó konkrét védelmi intézkedések meghatározása.
• Hatálya: Magyarország területén szervezetekre vonatkozik.
• Főbb rendelkezések:
  • Az elektronikus információs rendszerek biztonsági osztályba sorolása meghatározott szempontok alapján.
  • Az egyes biztonsági osztályokhoz rendelt védelmi intézkedések leírása.
  • A kockázatelemzés és kockázatkezelés vázlatos szabályai.

Európai Unió 2024/2690 végrehajtási rendelet:

• Célja: Az Uniós szintű kiberbiztonsági szabályozás részletes szabályainak meghatározása, különösen a NIS 2 irányelv végrehajtása érdekében.
• Hatálya: Az Európai Unió tagállamaiban működő szervezetekre vonatkozik, beleértve a kritikus infrastruktúrákat és szolgáltatókat.
• Főbb rendelkezések:
  • A jelentős biztonsági események bejelentésének és kezelésének szabályai.
  • A kockázatkezelési és biztonsági intézkedések részletes előírásai.
  • A nemzeti hatóságok és az ENISA közötti együttműködés szabályai.

A két rendelet tehát kiegészíti egymást: a 7/2024-es MK rendelet a nemzeti szintű biztonsági osztályba sorolást és védelmi intézkedéseket szabályozza, míg a 2024/2690-es EU-s végrehajtási rendelet az Uniós szintű kiberbiztonsági események kezelésére és a nemzeti hatóságok közötti együttműködésre összpontosít.

www.nuce.hu

Nem feltétlenül. A 7/2024. MK rendelet szerinti „magas” biztonsági osztályba sorolás nem automatikus következménye annak, hogy egy cég a NIS 2 irányelv alapján a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriájába tartozik. Bár van összefüggés a két besorolás között, a magas biztonsági osztályba sorolás konkrét feltételeit a rendelet határozza meg.

Miért nem automatikus a besorolás?

1. Különböző szempontrendszerek:
   A NIS 2 irányelv a hálózati és információs rendszerek biztonságára fókuszál, míg a 7/2024-es MK rendelet a létfontosságú rendszerek és létesítmények védelmének magyarországi szabályozását részletezi. Bár a kettő összefügg, a magas biztonsági osztályba sorolás egyedi kockázatelemzéstől és specifikus kritériumok teljesülésétől függ.
2. Kockázatelemzés alapú besorolás:
   A rendelet alapján a létfontosságú rendszerelemek vagy szolgáltatások biztonsági osztályba sorolása az adott rendszer kockázati szintjének felmérésén alapul. Ezt befolyásolhatja:

• Az adott rendszer jelentősége (pl. hatása az ellátásbiztonságra vagy a közbiztonságra).
• A potenciális károk mértéke egy esetleges kiesés vagy támadás esetén.
• A rendszer fenyegetettsége és sebezhetősége.

Mikor kerülhet a cég magas biztonsági osztályba?

• Ha a cég által működtetett rendszerek vagy szolgáltatások olyan létfontosságú rendszerelemnek minősülnek, amelyek megszakadása vagy kiesése jelentős hatással lenne a közszolgáltatásokra, a nemzetbiztonságra vagy a gazdaság működésére.
• Ha a rendszer kockázatelemzése alapján a hatóság magas biztonsági osztályba sorolja azt.

Hogyan befolyásolja a magas osztályba sorolás a felkészülést?

• Szigorúbb védelmi követelmények vonatkoznak a rendszerekre, beleértve a fizikai, logikai és szervezeti védelmi intézkedéseket.
• Részletesebb kockázatkezelési dokumentáció és rendszeres audit szükséges.
• Több erőforrást kell biztosítani a kiberbiztonsági szabályok betartására.

Összegzés

Egy cég besorolása a NIS 2 irányelv szerinti „kiemelten kockázatos ágazatok” kategóriájába nem automatikusan jelenti a 7/2024-es MK rendelet szerinti „magas” biztonsági osztályba sorolást. A végső besorolás az adott szervezet rendszereinek és szolgáltatásainak sajátos kockázati tényezőitől függ, amelyet a hatóság egyedi eljárás során határoz meg. Érdemes ezért előre egyeztetni az illetékes hatóságokkal és elvégezni a szükséges kockázatelemzést.

nuce.hu

A NIS 2 irányelv (Network and Information Security Directive) a kibertér biztonságát célzó uniós szabályozás, amely kiemelt figyelmet fordít a létfontosságú ágazatokban működő szervezetekre. Ha egy cég a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriába tartozik, az alábbiakat jelenti és befolyásolja a felkészülés szempontjából:

Mit jelent a besorolás?

1. Létfontosságú ágazatokban való működés: Az ilyen cégek olyan szektorokban tevékenykednek, amelyek nélkülözhetetlenek a társadalom és a gazdaság működése szempontjából (pl. energia, vízellátás, közlekedés, egészségügy, pénzügyi szolgáltatások, digitális infrastruktúra).
2. Fokozott fenyegetettség: Ezek a szervezetek nagyobb kockázatot jelentenek a kiberfenyegetések célpontjaként, mivel támadásuk jelentős gazdasági, társadalmi vagy akár nemzetbiztonsági hatásokkal járhat.
3. Szigorúbb szabályozási elvárások: A NIS 2 az ilyen ágazatokban működő szervezetekre szigorúbb kötelezettségeket ró, beleértve a kockázatkezelést, incidenskezelést, jelentési kötelezettségeket és auditálást.

Hogyan befolyásolja a cég felkészülését?

1. Kibervédelmi intézkedések szigorítása: A cégnek részletesebb és erőteljesebb biztonsági intézkedéseket kell kidolgoznia, például:

• Kockázatkezelési keretrendszer létrehozása.
• Incidenskezelési terv kidolgozása és rendszeres tesztelése.
• Adatbiztonsági szabványok alkalmazása, mint például az ISO 27001.

• Fontos felkészülni a jelentések automatizált előállítására és pontos dokumentációra.

• A hatóságok rendszeresen ellenőrizhetik a szervezet megfelelőségét.
• A cégnek bizonyítania kell, hogy a kockázatkezelési intézkedései hatékonyak.

• IT-biztonsági szakértők alkalmazása.
• Megfelelő eszközök és rendszerek telepítése.
• Dolgozók képzése a kibertudatosság növelése érdekében.

Összegzés

A besorolás növeli a cég felelősségét és a rá háruló feladatokat. Ezért a felkészülésnek átfogónak kell lennie, ami magában foglalja az IT-infrastruktúra, a folyamatok és a szervezeti kultúra felülvizsgálatát és fejlesztését. Az időben történő, proaktív hozzáállás és a megfelelő szakértők bevonása elengedhetetlen a sikeres megfeleléshez.

nuce.hu

Tegyük fel, hogy a NIS 2 rendelet szerinti hiányosság-elemzés elkészült. Mi a következő lépés?

Hát, ha jó a gap elemzés, akkor annak ezt tartalmaznia kellene…

Azaz, a gap elemzést egy cselekvési tervvel lenne jó zárni, összeírva, hogy mik a feltárt hiányosságok.

Ezt a cselekvési tervet a cégvezetéssel egyeztetve lehet pontosítani, meghatározni a prioritásokat, végrehajtási ütemezést, erőforrásokat.

Az alábbi lépések következHETnek például a megfelelőség elérése és a biztonsági szint javítása érdekében:

1. Eredmények áttekintése és priorizálás

• Elemzés megbeszélése: A GAP elemzés eredményeinek prezentálása a vezetőség és érintett felek számára.
• Hiányosságok rangsorolása: A feltárt eltérések priorizálása a kockázati szintjük alapján. Fontosabbá válnak azok az eltérések, amelyek:
• Nagy kockázatot jelentenek az üzletmenetre vagy adatbiztonságra.
• Jelentős jogi vagy pénzügyi következményekkel járhatnak.
• Rövid távon javíthatók („quick win”).

2. Cselekvési terv kidolgozása

• Részletes tervezés: A GAP elemzés alapján részletes terv készítése szükséges a hiányosságok megszüntetésére. Ez magában foglalja a:
• Konkrét tevékenységeket.
• Felelősök kijelölését.
• Ütemterv meghatározását.
• Költségvetés becslését.
• Fókuszterületek: Tipikus fókuszterületek lehetnek:
• Incidenskezelési eljárások fejlesztése.
• Biztonsági szabályzatok és protokollok frissítése.
• Alkalmazottak képzése a kiberbiztonság és a NIS 2 előírások terén.
• Technológiai fejlesztések, például monitoring rendszerek telepítése.

3. Hiányosságok megszüntetése

• Technológiai fejlesztések:
• Olyan eszközök vagy eljárások alkalmazása, amelyek segítenek a hálózati és informatikai rendszerek védelmében (pl. tűzfalak, SIEM rendszerek, behatolás-észlelő eszközök).
• Rendszerarchitektúra frissítése, hogy megfeleljen a NIS 2 elvárásoknak.
• Szervezeti változtatások:
• A szervezeten belüli kiberbiztonsági tudatosság növelése.
• Világos és egyértelmű felelősségi körök és hatáskörök kijelölése, esetleges összeférhetetlenségek megállapítása, kezelése.
• Adatkezelési és incidenskezelési eljárások módosítása, fejlesztése.
• Dokumentáció és szabályzatok:
• Szabályzatok a hálózati biztonság, incidenskezelés, adatvédelem és megfelelőség terén.
• Naprakészre hozni minden kapcsolódó dokumentációt.

4. Képzés és tudatosság növelése

• Célzott képzések: képzések a munkavállalók számára az incidenskezelési protokollokról, az információbiztonsági alapelvekről és a NIS 2 előírásokról.
• Szimulációs gyakorlatok:
• kiberbiztonsági incidensek szimulációja a felkészültség tesztelésére.
• az esetleges gyengeségek azonosítása, a reakcióképesség javítása.

5. Tesztelés és ellenőrzés

• Megfelelőség ellenőrzése: a javító intézkedések hatékonyságának rendszeresen értékelése.
• belső auditok vagy független ellenőrzések.
• megfelelőségi ellenőrző listák a NIS 2 kritériumai alapján.
• Incidenskezelési tesztelés:
• az incidenskezelési tervek rendszeres tesztelése és frissítése.

6. Folyamatos nyomon követés és fejlesztés

• Kockázatértékelés folytatása: Rendszeres kockázatelemzés, hogy az újonnan felmerülő fenyegetéseket kezelni lehessen.
• Technológiai frissítések:
• Az IT infrastruktúra folyamatos fejlesztése.
• Jogszabályi változások követése: a NIS 2 irányelvhez kapcsolódó változások nyomon követése, és a kapcsolódó folyamatokat megfelelő módosítása.

7. Hivatalos jelentés és hatósági kapcsolattartás

• Jelentési kötelezettségek: felkészülés a NIS 2 irányelv által előírt incidensjelentési kötelezettségekre, kommunikációs csomagok kidolgozása.
• Kapcsolattartás a hatóságokkal:
• Kapcsolattartás a releváns szabályozó hatóságokkal (NKI, SZTFH, NAIH, stb.).
• Felkészülés a kapcsolódó auditokra és ellenőrzésekre.

Nagyjából ezek a lépések biztosítják, hogy a szervezet nemcsak megfeleljen a NIS 2 rendelet előírásainak, hanem képes legyen folyamatosan fenntartani a magas szintű kiberbiztonsági állapotot.

nuce.hu

Alapvetések

Az EU NIS 2 irányelvének hazai implementációja a 2023. évi XXIII. törvény „a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”. Ez a törvény előírja, hogy „Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor … által kiberbiztonsági auditot végeztetni.”  

Valamint, hogy „Az érintett szervezet köteles

23. a nyilvántartásba vételét követő 120 napon belül a 23. § (1) bekezdése szerinti kiberbiztonsági audit elvégzésére a 23. § (6) bekezdése szerinti nyilvántartásban szereplő auditorral megállapodást kötni, és
24. a 23. § (1) bekezdése szerinti kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni.”

DE: a törvény átmeneti rendelkezési között szerepel az is, hogy „30. § (5) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.”

Ezzel azért gond lesz. (Később is, de 2025 folyamán biztosan)

Ugye az audit előtt az érintett szervezeteknek, cégeknek fel is kell készülniük az auditra, ami idő (és pénz). A törvény viszonylag friss, és az elvárások részletezése a 7/2024-es MK rendeletben lett publikálva, ami 2024 június 25-én jelent meg, ettől a naptól hatályos. A törvényjavaslat ugyan már februárban publikus volt, de erre azért nem lehetett teljes mértékben alapozni…

Nyilván az érintett szervezetek mindegyike már eddig is foglalkozott kiberbiztonsággal, megpróbálta eddig is biztonságosra építeni a rendszerét a saját jól felfogott érdekei miatt, de a 7/2024-es MK rendeletet akkor is alaposan át kell mindenkinek néznie, a hiányosságokat pótolni, a dokumentációkat pontosítani.

Ezt a felkészülést jó esetben 2024 őszén már elkezdik, de már az érintettek méretei és komplexitása miatt is ez igencsak időigényes munka. Azaz, nagyon jó esetben 2025 elejétől lehetnek készen az auditra.

Ugyanakkor a hazai viszonyokat ismerve, azt is tudja mindenki, hogy az auditot minden érintett 2025 őszén szeretné elvégeztetni…

És akkor a számokról…

A hatóság becslései szerint 2500-3000 szervezet lehet érintett a NIS 2 jogszabállyal, de mint többször elmondták „senkit sem szeretnének elengedni”. Azaz, például a 2013. L. törvény által érintett szervezeteket sem…

Állítólag 2024 novemberéig már közel 4000 (3800?) szervezet vétette magát nyilvántartásba.

A nyilvántartásba kerülő szervezetek számának felső határára igen szélsőséges becslések vannak, amik akár 6-8000-es számot is elérhetik. Ha a 2013. L. törvény hatálya alá tartozó szervezeteket is ide sorolják, akkor jóóóval több.

A hatóság 2024 novemberéig nyolc cégnek engedélyezte a NIS 2 auditálás lehetőségét. Ebből egyetlen cég jogosult a „magas” biztonsági osztályba sorolt szervezetek auditálásra.

Ezeknek a cégeknek a kötelezően publikált utolsó mérlegeik szerint mintegy 650-680 alkalmazottja lehet összesen. Ebből az Ernst & Young Tanácsadó Korlátolt Felelősségű Társaság 536 alkalmazottja jelenti a legnagyobb létszámot, de ezen kollégák döntő többsége pénzügyi szakember, könyvvizsgáló. A többi regisztrált auditor teljes alkalmazotti létszámából is nyugodtan le lehet vonni a titkárnőket, jogászokat, ügyvezetőket, juniorokat, hardveres kollégákat, belső rendszergazdákat, stb. Ráadásul azon szakembereik száma, akik érdemben és korrektül le tudnak folytatni egy-egy ilyen NIS 2 auditot igencsak szűk lehet.

Jóindulattal talán 70-80 ilyen szakember lehet a nyolc auditor cégnél összesen.

Ezek az auditor cégek különben tényleg jók, komoly szakemberekkel, szakértői gárdával, és igen komoly szoftveres támogatással végzik a munkájukat. Szakmailag nagyon nehéz lenne beléjük kötni, még nemzetközi szinten is.

Vegyük most a minimális érintetti (nyilvántartásba jelentkezett) számot (!!), mondjuk „csak” 3500 szervezetet.

Ez esetben, a nyolc auditor cég, egyenként közel 450 céget kellene hogy auditáljon, ennyivel kellene szerződnie már 2024 végéig!

HA auditoronként egyenlően oszlanának el a megfelelő szakemberek, akkor cégenként 8-10 auditor kellene, hogy átvizsgáljon legfeljebb egy év alatt, cégenként durván 450 szervezetet.

HA auditoronként egyenlően oszlanának el a megbízások. De nyilván a világ nem így működik. Első lépésben rögtön az auditorok minősítési szintje is vízválasztó. A hatóság becslése szerint a regisztrált szervezetek mintegy 60%-a lesz „alap” szintű biztonsági osztályba besorolt. Ha ez igaz, akkor talán 20-25% lesz „magas” biztonsági osztályba besorolt. Azaz hét cég „osztozik” legalább 2-2500 érintett szervezeten, és egyetlen cég kellene, hogy leauditáljon 2025-ben legalább 7-800 „magas” biztonsági osztályba besorolt szervezetet.

Természetesen párhuzamosan is végezhető audit, de a közel 30 évnyi saját audit tapasztalataink után tudjuk: 2-3 cégnél többet egyszerre nem lehet felelősséggel és megfelelő odafigyeléssel vállalnia egy-egy csapatnak.

De van egy további rossz hír: ezek az auditor cégek eddig is igen jól működtek, igen komoly terheléssel, sok munkával, megrendelővel. Nem véletlenül, ezek tényleg jó és komoly cégek! Hova fogják „beilleszteni” a most hirtelen megjelenő többszáz új ügyfelet, audit munkát??

Még ha lesz is átfedés az eddigi ügyfélkörükkel: bővülhetnek, felvehetnek új alkalmazottakat? Még egyszer: olyan szakember, aki a NIS 2 rendelet szerinti auditot komolyan és felelősségteljesen el tudja végezni, megfelelő tapasztalattal rendelkezik, eleve nem sok van. Főleg nem olyan, aki munka nélküli, vagy esetleg váltani szeretne… Azaz: ez a lehetőség is igencsak korlátozott, érdemben nem változtat a terhelésen. És mi van, ha ezt a matekot az auditorok is elvégzik, és nem lesznek hajlandóak ekkora terheléssel és nyomás alatt dolgozni folyamatosan, esetleg azt mondják, hogy ez szakmailag számukra vállalhatatlan és kilépnek?

A NIS2 aggályok összesítve

2025-ben 252 munkanap lesz.

4-5-600-?? szervezetet kellene egy auditor cégnek átvilágítania nagyjából 252 munkanap alatt?

• HA tényleg lenne mondjuk mindenkinek 8-10-12 megfelelő szakembere erre a feladatra, akkor 2500-3000 „auditornap” lenne egy-egy auditor cégnek egy évben 5-600 szervezetre, és
• HA három szervezetet auditálna minden szakembere párhuzamosan, és
• HA egyenletesen oszlana el a terhelés mind megrendelői számban mind az év során, és
• HA semmi mást nem csinálnának 2025-ben (!) csak NIS 2 auditot
  • (azért ez elég sok „ha”)

akkor: tíz-tizenöt munkanaponta minden cég minden egyes szakembere három érintett szervezetet párhuzamosan

• elkezd,
• meglévő anyagokat begyűjt,
• átnéz,
• többszáz oldalnyi szabályzatokat átolvas,
• az MK rendelet követelményeivel összevet,
• a NIS2 2024/2690 végrehajtási rendeletével összevet,
• hiányosságokra/pontatlanságokra rákérdez,
• pótol,
• jelentést ír,
• ellenőriz,
• átad,
• post-audit meeting,
• lezár.

Igen, a fenti számok elég bizonytalanok, emiatt nyilván a levezetés is pontatlan, de a nagyságrendek stimmelnek, és a kérdés is jogosan vetődik fel: ezek vajon milyen minőségű vizsgálatok lesznek?

Ráadásul a fentiek azzal a feltételezéssel igazak, hogy minden érintett szervezet minden kapcsolattartója azonnal küld minden anyagot, minden kérdésre-kérésre azonnal válaszol, nincs várakozás/késedelem, a teljes 2025-ös naptári év minden munkanapjának minden perce optimálisan ki lesz használva, stb. Az év során egyetlen projektben egyetlen nap csúszás sincs… ????

Mivel a terhelés nyilván nem lesz egyenletes, ez nem lesz „standard normális eloszlású”, tehát 2025 második felétől fokozatosan fog nőni a terhelés, és ennek megfelelően tovább fog csökkenni a minőség…

 Ja, és ez "csak" az audit. Mikor és hogy fognak az érintett cégek felkészülni? Ki fog nekik segíteni?

nuce.hu

A NIS 2 felkészülés első lépéseként jellemzően a „GAP elemzést” szokták javasolni, de mi is ez pontosan?

A NIS 2 irányelv szerinti GAP elemzés egy módszertan, egy olyan munka amely segít azonosítani az adott szervezet jelenlegi megfelelőségi szintjét az Európai Unió új, kiberbiztonsági követelményeket meghatározó NIS 2 irányelvével szemben.

A GAP elemzés lényege, hogy feltárja az eltéréseket (angolul: gaps) a szervezet jelenlegi gyakorlatai és a rendelet által előírt követelmények között. Ez a folyamat előkészíti a szükséges megfelelőségi intézkedések végrehajtását.

Konkrét lépések a NIS 2 szerinti GAP elemzéshez:

1. Szervezet tevékenységi körének elemzése

• Eldönteni, hogy a szervezet a NIS 2 által érintett szektorok és szolgáltatások (pl. alapvető szolgáltatások, kritikus infrastruktúrák, digitális szolgáltatók) közé tartozik-e. Ehhez több helyen, például a hatósági oldalon is találunk segítséget.
• Azonosítani a releváns kritériumokat, például méret (KKV vagy nagyvállalat), tevékenységi kör, kockázati profil.

2. NIS 2 követelmények feltérképezése

• Az irányelv elvárásai:
• Kockázatkezelési elvárások: Biztonsági irányítás, incidenskezelés, kiberhigiénia.
• Szabályozási követelmények: Jelentési kötelezettségek, auditálás.
• Műszaki és szervezeti intézkedések: Például hálózati biztonság, adatszivárgás megelőzése, incidensérzékenység.

3. Jelenlegi állapot felmérése

• Meg kell vizsgálni a meglévő biztonsági és kockázatkezelési folyamatokat, technológiákat, és irányelveket.
• Fel kell mérni, hogy a meglévő szabályozások (pl. IBSZ, BCP/DRP, GDPR, ISO 27001) mennyire támogatják a NIS 2 megfelelést.

4. Eltérések (GAP-ek) azonosítása

• A fenti munkák után össze lehet vetni a meglévő állapotot a NIS 2 követelményekkel.
• Azonosítani kell a hiányosságokat mind technológiai, mind szervezeti szinten (pl. hiányzó biztonsági szabályzatok, nem megfelelő incidenskezelési folyamatok).

5. Kockázatelemzés

• Prioritás szerint kell osztályozni az azonosított eltéréseket a kockázati hatásuk és valószínűségük alapján.
• El kell dönteni, mely területek igényelnek azonnali beavatkozást.

6. Javító intézkedési terv kidolgozása

• Fontos egy részletes akcióterv (cselekvési terv, ütemterv stb.) kidolgozása a hiányosságok megszüntetésére:
• Felelősök kijelölése.
• Határidők meghatározása.
• Erőforrásigények kalkulálása.

7. Kommunikáció és tudatosság növelése

• Tájékoztatni kell az érintett vezetőket és csapatokat a GAP elemzés eredményeiről.
• Képzéseket kell indítani a NIS 2 elvárásokról és az új folyamatokról. Nem egyet, hanem feladatkörönként/szerepkörönként, döntési szintenként, érintettségek alapján.

8. Folyamatos nyomon követés

• Rendszeres ellenőrzéseket és felülvizsgálatokat kell végezni, hogy biztosítani lehessen a megfelelő előrehaladást.
• Folyamatos kockázatkezelési eljárásokat kell alkalmazni.
• Különös tekintettel kell lenni a folyamatokba beépíthető, kockázatokkal arányos kontrollokra és az automatizálhatóságra.

Eredmény

A GAP elemzés végén világos képet lehet kapni arról, hogy milyen hiányosságok vannak a jelenlegi gyakorlatok és a NIS 2 megfelelési követelmények között, valamint konkrét lépések listája készül, amelyek szükségesek ezek áthidalásához.

Kiegészítő javaslatok

• Érdemes külső tanácsadót bevonni, különösen akkor, ha a szervezet nem rendelkezik megfelelő belső szakértelemmel a NIS 2 megfelelés érdekében.
• Kombinálni lehet természetesen a GAP elemzést más auditokkal (pl. GDPR, ISO 27001), a szinergiák kihasználása érdekében.

nuce.hu