Június 24-én hatályossá vált a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan-törvény” IT-követelményrendszerét tartalmazó kormányrendelete. A NIS2 törvényhez kapcsolódó végrehajtási rendelet megjelenése egyformán jelentős lépés a jogszabállyal érintett cégek, a leendő auditorok és a tanácsadók számára is.

 A 120 oldalas dokumentum pontosan tartalmazza ugyanis azokat a követelményeket, amelyek alapján az érintett cégek felkészülése/felkészítése már elindítható, valamint a 2025-ben induló hatósági kiberbiztonsági audituk pedig megtervezhetővé válik.

Széles célcsoportnak készítettek szabályokat

A rendeletben egy olyan közös követelményjegyzékről van szó, ami a NIS2-törvény hatálya alá tartozó, közel 100 tevékenységi kör valamelyiket végző társaságra egyaránt alkalmazható kell legyen. Emiatt egy meglehetősen hosszú, általános de ugyanakkor kellően részletes anyag született.

A NIS2 hatálya alá tartozik minden olyan társaság, amely

• több mint 50 főt foglalkoztat,
• vagy több mint 10 millió euró éves árbevétellel rendelkezik és
• a stratégiai szempontból kockázatos ágazatok valamelyikében működik.

Előzetes becslések szerint mintegy 2500-3000 gazdálkodó lehet érintett közvetlenül, de közvetve ennek akár a többszöröse is kapcsolatba kerülhet ezzel az új rendelkezéssel.

Három fejezetet találunk a csomagban

A rendelet egyrészt ismertet egy kockázatmenedzsment keretrendszert, másrészt tartalmaz egy intézkedéskatalógust és egy fenyegetéskatalógust, amelyeknek bevezetésre és alkalmazásra kell kerülni a jogszabállyal érintett vállalatoknál.

A kockázatmenedzsment fejezet azokat az alapvető lépéseket tartalmazza, amelyek ahhoz szükségesek, hogy az információs rendszereket osztályokba lehessen sorolni, és nyomon lehessen követni a hozzájuk kapcsolódó biztonsági intézkedések megvalósítását. Ez a fejezet tehát a megalapozó intézkedések szabályozását jelenti. Azon cégek esetében, amelyek eddig még nem foglalkoztak mélyebben információbiztonsággal kapcsolatos kockázatkezeléssel, a fejezetet tekinthetjük egyfajta segítségnek is.

A kockázatkezelés során megszületik egy nyilvántartás a társaság által használt információs rendszerekről és minden ide bekerült rendszer besorolásra kerül a rendeletben szereplő biztonsági osztályok egyikébe (alap, jelentős, magas). Ez a három osztály, illetve maga a rendeletben szereplő kockázatmenedzsment keretrendszer is több hasonlóságot mutat már meglévő nemzetközi kockázatkezelési sztenderdekkel, ami segítheti majd az ezek közötti átjárást.

Megdöbbentően sok az elvárt biztonsági intézkedés

Az osztályba sorolás alapján kerülnek kijelölésre a rendszerekhez bevezetendő védelmi intézkedések, amelyeket a kötelező auditokon is keresni és vizsgálni fognak. Ez az “alap” védelmi osztály esetében több, mint 160, a “jelentős” esetében több, mint 300, a “magas” védelmi osztály esetében pedig már közel 400 kötelezően vizsgálandó és kontrollpontot és hozzájuk kapcsolódó intézkedést tartalmaz. Összehasonlításképen az ISO 27001 információbiztonsági szabvány 2022 évi, legutolsó verziója 93 kontrollpontot fogalmaz meg.

Ezen kívül további, mintegy 530 olyan védelmi intézkedést is szerepeltetnek a rendeletben, amelyek használata általános esetben nem kötelező, ugyanakkor ágazattól és tevékenységi köröktől függően a társaságok megvizsgálhatják azok beépítését is az információbiztonsági irányítási rendszerükbe.

A jobb átláthatóság érdekében a védelmi intézkedéseket 19 kategóriába rendezték, úgy mint például: hozzáférés-felügyelet, képzések, rendszerek felügyelete, üzletfolytonosság, biztonsági események kezelése, ellátási lánc biztonsága stb.

Minden kategória esetében elmondható, hogy a jogszabály nem csak megfelelő dokumentáltságot és világos felelősségi szerepköröket vár el az érintett társaságoktól, de szervezeti intézkedésekre és megfelelő technológiai felkészültségre is szükség lesz az auditokon való sikeres szerepléshez.

Kötelezőek, de helyettesíthetőek

A speciális esetekre is gondolva a rendelet lehetővé teszi, hogy a társaságok bizonyos esetekben eltérhessenek a kiadott védelmi intézkedés katalógusban szereplő szabályoktól. Ilyen eset lehet például, ha az alkalmazott technológia, a működési környezet a fizikai infrastruktúra vagy egy nyilvános szolgáltatásra való tekintettel nem lehet bizonyos intézkedéseket bevezetni.

A speciális esetekben a társaság saját, helyettesítő biztonsági intézkedéseket alkalmazhat, de ebben az esetben még azt is dokumentálnia kell, hogy az általa alkalmazott intézkezdések mivel jobbak, mint a rendeletben foglaltak. Ezen túlmenően gondoskodnia kell a dokumentáció rendszeresen felülvizsgálatáról, hiszen a körülmények idővel változhatnak. Helyettesítő intézkedéseket a társaságok csak saját felelősségükre és a felelős vezetőjük írásos jóváhagyásával vezethetnek be.

Fájdalmas lehet a megfelelés

A megjelent rendelet is rávilágít arra, hogy a NIS2 hatálya alá tartozó társaságok egy jelentős részének komoly kihívást fog okozni a jogszabálynak való megfelelés. Számukra a kötelező védelmi intézkedések kialakítása jelentősebb erőforrásokat és leginkább számottevő időt fog igényelni, ezért célszerű minél előbb elindítani a felkészülést annak érdekében, hogy 2025-ben esedékes első hatósági auditot sikeresen teljesíthessék.