Az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai (pl. 2013. évi L. trv. ÉS a 2023. évi XXIII. trv. „összegyúrása” a 2024. évi LXIX. törvénybe, 41/2015. BM rendelet „cseréje” a 7/2024-es MK rendeletre stb.) egy picit tisztább képet teremtettek e területen, de azért még maradtak nyitott kérdések.

Mint azt már egyik előző bejegyzésben érintettük, a kiberbiztonsági megfeleléshez, azaz a „hogyan” kérdés eldöntéséhez, két keretrendszer is létezik. Érdekesség, hogy mindkettő jogszabály, azaz kötelezően alkalmazandó.

Első lépésként a szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

Mind a 7/2024. MK rendelet („a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről”), mind az Európai Unió 2024/2690 végrehajtási rendelete („az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról”) a kiberbiztonság területén szabályozzák az elektronikus információs rendszerek biztonságát, de különböző szinteken és hatáskörökkel.

A két rendelet tehát kiegészíti egymást: a 7/2024-es MK rendelet a nemzeti szintű biztonsági osztályba sorolást és a védelmi intézkedéseket szabályozza, míg a 2024/2690-es EU végrehajtási rendelet az Uniós szintű kiberbiztonsági események kezelésére és a nemzeti hatóságok közötti együttműködésre összpontosít.

Itt is ki kell emelnünk, hogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet az érintett szervezetek számára igen jó és hasznos útmutatókat adott ki a 7/2024. MK rendelet gyakorlati alkalmazásához.

Még egy igen fontos különbség: míg az EU rendelet az EU-s 2022/2555 (NIS 2) irányelv alkalmazását segíti, ahhoz ír elő végrehajtási, alkalmazási kötelezettségeket, addig a hazai 7/2024-es MK rendelet e mellett azokra a szervezetekre is vonatkozik, akik a NIS 2 rendelet alapján esetleg nem érintettek, de például a közigazgatási ágazathoz tartozó szervezetek, bizonyos többségi állami befolyás alatt álló azon gazdálkodó szervezetek, alapvető vagy fontos szervezetként azonosított szervezetek stb.

Mik a közös pontok, és mik a különbségek?

Először is a struktúrákról.

A 7/2024-es MK rendelet mellékletében szereplő „Védelmi intézkedések katalógusa” 19 fejezetre lett bontva, összesen 914 kontrollt tartalmaz, változó kötelezettséggel az alap/jelentős/magas biztonsági osztályokra, az alábbi bontásban:

Programmenedzsment23 pont
Hozzáférés-felügyelet129 pont
Tudatosság és képzés14 pont 
Naplózás és elszámoltathatóság52 pont
Értékelés, engedélyezés és monitorozás26 pont
Konfigurációkezelés53 pont
Készenléti tervezés49 pont
Azonosítás és hitelesítés50 pont
Biztonsági események kezelése38 pont
Karbantartás25 pont
Adathordozók védelme18 pont
Fizikai és környezeti védelem49 pont
Tervezés11 pont
Személyi biztonság13 pont
Kockázatkezelés22 pont
Rendszer- és szolgáltatásbeszerzés100 pont
Rendszer- és kommunikációvédelem132 pont
Rendszer- és információsértetlenség83 pont
Ellátási lánc kockázatkezelése27 pont

A 2024/2690-es EU végrehajtási rendelet mellékletében szereplő „technikai és módszertani követelmények” 13 fejezetre lett bontva, összesen 161 kontrollt tartalmaz, de ezek a kontrollpontok sok esetben tovább lettek bontva, részletezve al-pontokra.

A hálózati és informatikai rendszerek biztonságára vonatkozó szabályzat8 pont
Kockázatkezelési szabályzat11 pont
Biztonsági esemény kezelése22 pont
Üzletmenet-folytonosság és válságkezelés14 pont
Az ellátási lánc védelme8 pont
A hálózati és információs rendszerek biztonságos beszerzése, fejlesztése és karbantartása31 pont
Szabályzat és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére3 pont
Alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés8 pont
Kriptográfia3 pont
Humánerőforrás-biztonság10 pont
Hozzáférés-ellenőrzés21 pont
Eszközgazdálkodás13 pont
Fizikai és környezeti biztonság9 pont

Ha jól megnézzük a két jogszabályban található tematikai bontást és egy picit általánosítunk a megfogalmazásokban, akkor azt látjuk, hogy a főbb kontrollok az alábbiak szerint alakulnak:

Általánosabb megnevezés7/2024-ben2024/2690-ben
Szabályozásmindegyik pont tartalmazza1. pont
Hozzáférés2. pont11. pont
Képzés3. pont8. pont
Naplózás4. pont3., 9., 11., pontban
Értékelés, felügyelet (audit)5. pont7., valamint a 2., 3., pontok,
de audit v. külső ellenőrzés nincs előírva
Konfigurációkezelés6. pont1.3. pont
Változáskezelés6.7. pont1.4. pont
Üzletmenet folytonosság (BCP/DR)7. pont4. pont
Azonosítás és hitelesítés8. pont11.5 és 11.6 pontok
Biztonsági események kezelése9. pont3. pont
Karbantartás10. pont6. pont
Adathordozók11. pont12.3. pont
Fizikai védelem12. pont13. pont
Tervezés13. pont6.2. pont
Személyi biztonság14. pont10. pont
Kockázatkezelés15. pont2., 7. pontok
Beszerzés16. pont6. pont
Rendszervédelem17. pont6.7, 6.9 pontok
Sértetlenség18. pont 
Ellátási lánc19. pont5. pont

Bár a fenti összevetés nem teljeskörű, eléggé önhatalmú és esetleg pontatlan is lehet, azért az látszik, hogy nagyjából ugyanarról beszél mindkét jogszabály, leginkább a hangsúlyok mások.

Azaz például az adathordozók kezelése és védelme az EU rendeletben egy alpont 5-6 mondattal, az MK rendeletben ez 18 pontban van részletezve, és még az alap biztonsági osztályra is 4 főbb pont 14 kontrollpontja vonatkozik. Az „azonosítás és hitelesítés” témakör az EU rendeletben mindössze két alpontja a „Hozzáférés-ellenőrzés” fejezetnek összesen 8 pontban taglalva, az MK rendeletben viszont ez külön fejezet, ötven pontba foglalva, úgy, hogy az alap biztonsági osztályra 36 kontrollpont vonatkozik.

Az alábbiakban megpróbáljuk röviden összefoglalni a legfontosabb közös pontokat és a különbségeket:

Közös pontok:

  1. Információbiztonsági szabályzat kidolgozása és karbantartása: Mindkét jogszabály előírja, hogy a szervezeteknek rendelkezniük kell információbiztonsági szabályzattal/szabályzatokkal, amely meghatározza a biztonsági követelményeket és a védelmi intézkedéseket. Ezt a szabályzatot rendszeresen felül kell vizsgálni és frissíteni.
  2. Hozzáférés-ellenőrzési mechanizmusok: Mindkét dokumentum hangsúlyozza a hozzáférési jogosultságok megfelelő kezelését, beleértve a hozzáférési kérelmek engedélyezését megelőző ellenőrzéseket és a jogosultságok rendszeres felülvizsgálatát.
  3. Adatbányászat elleni védelem: A szervezeteknek mindkét esetben alkalmazniuk kell olyan technikákat, amelyek megelőzik és észlelik az engedély nélküli adatbányászatot a meghatározott adattárakon.

Különbségek:

  1. Biztonsági osztályok meghatározása: A 7/2024. MK rendelet részletesen definiálja a biztonsági osztályokat (alap, jelentős, magas) és az ezekhez tartozó követelményeket, míg a 2024/2690 EU rendelet inkább általános iránymutatásokat ad a biztonsági intézkedésekre vonatkozóan.
  2. Pénzügyi veszteségek meghatározása: A 2024/2690 EU rendelet részletesen leírja, hogyan kell meghatározni a biztonsági eseményekből eredő közvetlen pénzügyi veszteségeket, beleértve a különböző költségtípusokat, míg a 7/2024. MK rendelet nem tartalmaz ilyen részletes útmutatást.
  3. Nyilvánosan elérhető tartalom kezelése: A 7/2024. MK rendelet specifikus követelményeket határoz meg a nyilvánosan hozzáférhető információk kezelésére, beleértve a kijelölt személyek képzését és a tartalom rendszeres felülvizsgálatát, míg a 2024/2690 EU rendelet nem tér ki erre a témára.

Összességében tehát mindkét melléklet célja az információbiztonság erősítése, de eltérő hangsúlyokkal és részletességgel közelítik meg a témát.