Már csak néhány nap a kötelező határidőig! (X)

Ha ön cégvezető, már csak néhány napja maradt: június 30-ig mindenképpen be kell jelentkeznie a hatóságnál, ha vállalata az új kiberbiztonsági szabályozás hatálya alá esik. Még ma ellenőrizze az azonositsdmagad.hu weboldalon, hogy van-e teendője!

Az informatikai biztonság kérdése minden eltelt nappal egyre fontosabb szinte valamennyi vállalat és a közszféra számára is. Látjuk, halljuk a híradásokat; rosszindulatú vagy ellenséges szervezetek, hatalmak miként használják ki rendszereink sebezhetőségét, hogy jogtalan előnyhöz jussanak, vagy rosszabb esetben akár teljesen tönkre tegyék üzletmenetünket. Minden szervezetben meg kell hozni tehát azokat a döntéseket, amelyek garanciát nyújthatnak arra, hogy a kockázat, az esetleges támadások által okozott károk mértéke a minimálisra szoruljon vissza.

Az Európai Unió - ezt a szükségszerűséget felismerve - közös cselekvést határozott el, egységes cselekvést javasolva a területén belül tevékenykedő valamennyi olyan szervezet részére, amelyek alapvető fontosságú, kritikus szolgáltatást nyújtanak a  polgároknak. A NIS2 rövidítéssel (Network and Information Systems Directive) jelölt irányelv kijelöli az érintett vállalatok csoportját, és leírja a szükséges biztonsági intézkedéseket és szervezeti fejlesztéseket számukra.
A NIS2 irányelv tartalmának kötelező erejű törvénybe kódolása a nemzeti parlamentek feladata volt, és ezt Magyarország törvényhozása el is végezte, a 2023. évi XXIII. törvény, ismertebb nevén a Kibertan. törvény elfogadásával.

A NIS2 irányelv hatálya széles körű, és nemcsak bizonyos kritikus ágazati közép- és nagyvállalatokra terjed ki, hanem azok alvállalkozóira, szállítóláncaira, kisvállalkozásaira és közvetetten más iparági szereplőkre is.

Az irányelv célja, hogy az ezen ágazatokban működő vállalkozások magas szintű biztonsági intézkedéseket hajtsanak végre informatikai rendszereik és hálózataik védelme érdekében. Ez az intézkedés kritikus a nemzeti és európai gazdasági és infrastrukturális ökoszisztéma biztonságának fenntartásához.

Implementáció Magyarországon

Az Európai Unió által kiadott NIS2 irányelv egyes tételeit Magyarországon a már említett Kibertan. törvény formájában fogadta el a Parlament, amelyet kapcsolódó végrehajtási rendeletek egészítenek ki. Ezek a jogszabályok konkrét lépéseket és követelményeket írnak elő a magyar vállalatok számára az informatikai és hálózati biztonság javítása érdekében.

E folyamat első fázisa zárul június 30-án, ez a véghatárideje annak, hogy az érintett vállalatok  bejelentkezzenek a Szabályozott Tevékenységek Felügyeleti Hatóságánál, a törvény ugyanis ezt az állami szervezetet jelölte ki a folyamat felügyeletére.

A bejelentéssel párhuzamosan egy úgynevezett GAP-analízist is kell végezniük a bejelentkező vállalatoknak, amelynek eredményeképp a cég besorolható a törvény által meghatározott biztonsági osztályok valamelyikébe. Mindhárom osztály más-más biztonsági intézkedéseket ír elő a vállalat információs rendszerei és belső protokolljai számára.

A bejelentkezésben tájékoztatni kell arról is a hatóságot, hogy kit jelölt ki a vállalat vezetése belső informatikai biztonsági felelősnek (IBF). Az IBF felel a továbbiakban az informatikai rendszerek biztonsága érdekében hozott intézkedések meghozataláért, így célszerű, hogy magasan képzett, nagy tapasztalattal rendelkező szakember töltse be ezt a szerepkört, aki nincs semmilyen kapcsolatban az informatikai rendszerek üzemeltetését végző stábbal.

További rendelkezések

A törvény és a hozzá kapcsolódó rendeletek részletesen szabályozzák még a következő témákat:

- Biztonsági követelmények: Az érintett szervezeteknek meg kell felelniük bizonyos alapvető biztonsági követelményeknek, amelyek magukban foglalják az adatvédelmi intézkedéseket, a rendszerintegritás biztosítását, valamint a hálózati és információs rendszerek rendelkezésre állását.

- Riasztási és bejelentési kötelezettségek: A törvény előírja az érintett szervezetek számára, hogy bizonyos típusú biztonsági incidenseket haladéktalanul jelentsenek a Nemzeti Kiberbiztonsági Hatóságnak.

- Részletek az auditálási kötelezettségről: A törvény alapján a vállalatoknak rendszeres kiberbiztonsági auditálásokat kell végezniük, amelyeket akkreditált auditáló cégek hajtanak végre, hogy biztosítsák a jogszabályi megfelelőséget.

- Végrehajtási és ellenőrzési mechanizmusok: A törvény lehetőséget biztosít a hatóságok számára, hogy ellenőrizzék a szervezetek megfelelőségét, és szankciókat alkalmazzanak a követelmények be nem tartása esetén.

- Folyamatos oktatás és képzés a dolgozók számára: A vállalat szervezésében minden évben bizonyos óraszámban informatikai biztonsági képzésekben kell részesíteni a munkavállalókat.

Alapvető követelmények és konkrét intézkedések a NIS2 irányelv alapján

A NIS2 irányelv célja az, hogy az érintett szervezetek kellően erős biztonsági intézkedéseket hajtsanak végre informatikai és hálózati infrastruktúrájuk védelme érdekében. Az alábbiakban részletezzük azokat a konkrét biztonsági intézkedéseket, amelyeket a szervezeteknek be kell vezetniük a NIS2 irányelv követelményeinek megfeleléséhez:

Adatvédelmi és adatbiztonsági intézkedések:

- Adattitkosítás: Az érzékeny adatok titkosítása mind tárolás, mind adattovábbítás során.

- Hozzáférés-szabályozás: A felhasználók hozzáférésének szigorú szabályozása, csak a szükséges adatokhoz és rendszerekhez való hozzáférés biztosításával.

Rendszerintegritás és hálózatbiztonság:

- Rendszeres frissítések és javítások alkalmazása: Az operációs rendszerek, alkalmazások és hálózati eszközök rendszeres frissítése a legújabb biztonsági javításokkal.

- Intrusion Detection Systems (IDS): Behatolásészlelő rendszerek telepítése, amelyek észlelik és riasztanak a potenciális biztonsági fenyegetésekre.

Biztonsági események kezelése:

- Incidensmenedzsment: A biztonsági incidensek gyors azonosítása, jelentése, kezelése és elemzése.

- Válaszintézkedések és helyreállítási tervek: Kialakított válaszintézkedések és helyreállítási tervek esetleges biztonsági incidensekre, amelyek minimalizálják a kár mértékét és gyorsan visszaállítják a rendszer működését.

Kockázatkezelés:

- Kockázatelemzés: A szervezeteknek rendszeres kockázatelemzést kell végezniük, amely felméri a potenciális biztonsági kockázatokat és fenyegetéseket.
- Kockázatcsökkentési stratégiák: Specifikus stratégiák kidolgozása a felismert kockázatok kezelésére, beleértve a technikai és szervezeti intézkedéseket.

Üzletmenet-folytonossági tervezés:

- Biztonsági mentések: Rendszeres biztonsági mentések készítése és tesztelése, hogy biztosított legyen az adatok helyreállíthatósága vészhelyzet esetén.

- Folytonossági tervek: Üzletmenet-folytonossági és katasztrófa-helyreállítási tervek készítése és rendszeres tesztelése

Kérhetek segítséget?

Természetesen. Az azonositsdmagad.hu oldalon rengeteg felmerülő kérdésre választ kaphat, és ellenőrizheti, vonatkozik-e cégére a törvény, van-e teendője. Üzemeltetője, a Mikroháló Kft. információs telefonvonallal (+36 1 5333-999) is azonnali, szóbeli segítséget tud adni a bejelentési folyamat menedzselésében, átvállalva akár a teljes lebonyolítást. Szakembergárdánk egészen kivételes; sok száz évnyi tapasztalat áll mögöttünk az informatikai biztonság területén. Emellett számos ISO minősítéssel is rendelkezünk, valamint többek között a NATO minősített beszállítói is vagyunk.

(X)

Fotó: azonositsdmagad.hu