Ha a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriába soroltak egy céget, akkor az mindenképpen a 7/2024-es MK rendelet szerinti ”magas” biztonsági osztályba sorolást is jelent egyben?

Nem feltétlenül. A 7/2024. (I. 31.) Korm. rendelet szerinti „magas” biztonsági osztályba sorolás nem automatikus következménye annak, hogy egy cég a NIS 2 irányelv alapján a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek” kategóriájába tartozik. Bár van összefüggés a két besorolás között, a magas biztonsági osztályba sorolás konkrét feltételeit a rendelet határozza meg.

Miért nem automatikus a besorolás?

  1. Különböző szempontrendszerek:
    A NIS 2 irányelv a hálózati és információs rendszerek biztonságára fókuszál, míg a 7/2024-es kormányrendelet a létfontosságú rendszerek és létesítmények védelmének magyarországi szabályozását részletezi. Bár a kettő összefügg, a magas biztonsági osztályba sorolás egyedi kockázatelemzéstől és specifikus kritériumok teljesülésétől függ.
  2. Kockázatelemzés alapú besorolás:
    A rendelet alapján a létfontosságú rendszerelemek vagy szolgáltatások biztonsági osztályba sorolása az adott rendszer kockázati szintjének felmérésén alapul. Ezt befolyásolhatja:
    • Az adott rendszer jelentősége (pl. hatása az ellátásbiztonságra vagy a közbiztonságra).
    • A potenciális károk mértéke egy esetleges kiesés vagy támadás esetén.
    • A rendszer fenyegetettsége és sebezhetősége.
  3. Egyedi elbírálás:
    A besorolást a létfontosságú rendszerelemek kijelölését végző hatóság vagy szerv végzi. Ez azt jelenti, hogy a cég ágazati besorolása mellett a konkrét rendszerek és szolgáltatások jellemzőit is figyelembe veszik.

Mikor kerülhet a cég magas biztonsági osztályba?

  • Ha a cég által működtetett rendszerek vagy szolgáltatások olyan létfontosságú rendszerelemnek minősülnek, amelyek megszakadása vagy kiesése jelentős hatással lenne a közszolgáltatásokra, a nemzetbiztonságra vagy a gazdaság működésére.
  • Ha a rendszer kockázatelemzése alapján a hatóság magas biztonsági osztályba sorolja azt.

Hogyan befolyásolja a magas osztályba sorolás a felkészülést?

  • Szigorúbb védelmi követelmények vonatkoznak a rendszerekre, beleértve a fizikai, logikai és szervezeti védelmi intézkedéseket.
  • Részletesebb kockázatkezelési dokumentáció és rendszeres audit szükséges.
  • Több erőforrást kell biztosítani a kiberbiztonsági szabályok betartására.

Összegzés

Egy cég besorolása a NIS 2 irányelv szerinti „kiemelten kockázatos ágazatok” kategóriájába nem automatikusan jelenti a 7/2024-es kormányrendelet szerinti „magas” biztonsági osztályba sorolást. A végső besorolás az adott szervezet rendszereinek és szolgáltatásainak sajátos kockázati tényezőitől függ, amelyet a hatóság egyedi eljárás során határoz meg. Érdemes ezért előre egyeztetni az illetékes hatóságokkal és elvégezni a szükséges kockázatelemzést.