NIS2 öszefoglaló

A jogszabály

  1. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
  2. Az Európai Unió jogának való megfelelés

32.§

(1) Ez a törvény az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.

(2) Ez a törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

 

A követelmények

  1. A nemzeti kiberbiztonsági tanúsítási rendszerek követelményei

6.§ A nemzeti kiberbiztonsági tanúsítási rendszernek a következő biztonsági célokat kell teljesítenie:

  1. a) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan tárolással, kezeléssel, hozzáféréssel és közléssel szemben az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt,
  2. b) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan megsemmisítéssel, elvesztéssel, megváltoztatással vagy a hozzáférhetetlenséggel szemben az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt,
  3. c) annak biztosítása, hogy a feljogosított személyek, programok vagy gépek kizárólag a hozzáférési jogaik tárgyát képező adatokhoz, szolgáltatásokhoz vagy funkciókhoz férhetnek hozzá,
  4. d) az ismert függőségek és sebezhetőségek azonosítása és dokumentálása,
  5. e) annak rögzítése, hogy a feljogosított személy, program vagy gép mely időpontban és mely védendő adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy egyéb módon kezelt,
  6. f) annak ellenőrizhetővé tétele, hogy a feljogosított személy, program vagy gép mely időpontban és mely adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy egyéb módon kezelt,
  7. g) annak ellenőrzése, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok nem tartalmaznak-e ismert sebezhetőségeket,
  8. h) fizikai vagy műszaki biztonsági esemény bekövetkeztekor az adatok, a szolgáltatások és a funkciók rendelkezésre állásának, valamint az adatokhoz, a szolgáltatásokhoz és a funkciókhoz való hozzáférésnek a mihamarabbi helyreállítása,
  9. i) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok kockázatarányosan, alapértelmezetten és tervezetten biztonságosak legyenek,
  10. j) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok szoftvere és hardvere naprakész legyen, és
  11. k) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok vonatkozásában nem állnak fenn közismert sebezhetőségek, továbbá rendelkezésre állnak a biztonságos frissítésükre szolgáló mechanizmusok.

 

  1. Alapvető követelmények

19.§ (1) Az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.

 (2) Az (1) bekezdés szerinti biztonság magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti

  1. a) a tárolt, továbbított vagy feldolgozott adatok, információk, vagy
  2. b) az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások

bizalmasságát, sértetlenségét és rendelkezésre állását.

 (3) A (2) bekezdésben meghatározott védelemnek ki kell terjednie:

  1. a) az információbiztonsági irányítás rendszerére,
  2. b) az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
  3. c) a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  4. d) a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
  5. e) az üzletmenet folytonosság biztosítására és
  6. f) az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

 (4) Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a (3) bekezdés szerinti követelményeknek a közreműködő esetében is teljesülniük kell.

 (5) Az érintett szervezet vezetője köteles gondoskodni arról, hogy az (1)–(3) bekezdés szerinti követelményeket a (4) bekezdés szerinti közreműködő tekintetében szerződésbe foglalják.

EU-s követelmény

Néhány követelmény, ami még nincs hazai jogszabályban csak az EU-s (NIS2) irányelvben:

  • Incidens esetén 24 órán belüli első értesítési kötelezettség a CSIRT vagy a hatóságok felé
  • 72 órán belül esemény-bejelentési kötelezettség (támadás értékelése, súlyossága, hatása)
  • 1 hónapon belüli zárójelentés kötelezettség

Ütemezés

Ütemezés a jogszabályban:

30.§ (1) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 26. § (1) bekezdésében meghatározott adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében.

 (2) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 20. § (3) bekezdése szerinti, a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza.

 (3)

 (4) Az az érintett szervezet, amely 2024. október 18-a előtt megkezdte működését, a 26. § (3) bekezdés a) pontja szerinti kötelezettséget legkésőbb 2024. december 31-ig köteles teljesíteni.

 (5) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

26.§ (3) Az érintett szervezet köteles

  1. a) a nyilvántartásba vételét követő 120 napon belül a 23. § (1) bekezdése szerinti kiberbiztonsági audit elvégzésére a 23. § (6) bekezdése szerinti nyilvántartásban szereplő auditorral megállapodást kötni, és
  2. b) a 23. § (1) bekezdése szerinti kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni.

A Hatóság

4.§ (1) A nemzeti kiberbiztonsági tanúsító hatóság feladatait a) – a b) pont kivételével – az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) látja el

https://sztfh.hu/, Dr. Bencsik Balázs, kiberbiztonsági tanúsítási igazgató

Ütemezés

2024 január 1. – 2024 június 30.          Nyilvántartásba vétel, IBF kijelölés, biztonsági osztályba sorolás

  • a nyilvántartásba vételét követő 120 napon belül kiberbiztonsági audit elvégzésére egy auditorral megállapodást kötni
  • kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni
  1. október 18.-tól NIS2 alkalmazása a cégben
  2. december 31-ig Első kiberbiztonsági audit elvégzése