Fejléc

NIS2 – Kibertantv. státusz és Roadmap

Szerző ikon Tóth Tamás

Dátum ikon 2024.06.14

EURO ONE NIS2 care


NIS2 irányelv és a magyar Kibertantv.:

  • Az EURO ONE a NIS2 irányelv tervezeti szakaszától kezdve figyelemmel kísérte a NIS2 irányelvet implementáló magyar szabályozás alakulását.
  • 2023 májusában az Országgyűlés megalkotta a -t (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről), amellyel az EU-s irányelvet implementálták a magyar jogrendbe.
  • A megalkotása óta két fontos mérföldkő történt:
    • Az év végén megjelent az SZTFH 23/2023. rendelete, ami az érintett szervezetek nyilvántartásba vételi eljárását rendezte.
    • Az érintett szervezeteknek egy Cégkapus űrlapon kell megadni az SZTFH rendeletében meghatározott
  • A következő fontos határidő június 30-a, amely az érintett szervezetek nyilvántartásba vételére való jelentkezés határideje.


EURO ONE megfelelési cselekvési terv:

  • Az EURO ONE szakértői megalkották a NIS2-Kibertantv. szerinti magasszintű megfelelési cselekvési tervet és annak egyes lépéseit. 
  • A cselekvési terv részletei nem kerültek megosztásra, ezért további információk szükségesek a teljes körű összefoglaló elkészítéséhez.


NIS2 irányelv és a magyar jogszabályok:

  • január 31-én megjelent egy fontos rendelettervezet, amely a Miniszterelnöki Kabinetirodához tartozik.
  • A rendelettervezet tartalmazza a Kibertan megfeleléshez szükséges kockázatkezelési keretrendszer elvárásait és a védelmi intézkedés katalógust, beleértve az alkalmazandó kontrollokat és a biztonsági osztályba sorolás szempontjait.
  • Fontos megjegyezni, hogy a rendelettervezet még változhat, de az iparági hírek szerint nagy változásokra már nem kell számítani.


Megválaszolatlan kérdések és további lépések:

  • A rendeletet a jogalkotónak el kell fogadnia, ami alapvető előfeltétel a felkészüléshez.
  • Az elektronikus információs rendszereket különböző biztonsági osztályba kell sorolni, amely meghatározza az alkalmazandó védelmi intézkedéseket.
  • Az EURO ONE tanácsadói a évi L. törvény alapján ismert „OVI táblához hasonló osztályba soroló táblázatra számítanak a hatóságtól.
  • A kétévente esedékes auditok végrehajtásához auditorok listájának összeállítása folyamatban van, és a szervezeteknek 2024 év végéig szerződést kell kötniük az auditorokkal.
  • Iparági hírek szerint audit módszertan is készül, amelyet követniük kell majd az auditoroknak, és meghatározza, hogy az egyes védelmi intézkedéseknél milyen elemeket és hogyan kell vizsgálniuk.


Kockázatkezelési Keretrendszer:

  • A tervezet előírja a kockázatkezelési keretrendszer kialakítását, amely nem azonos az ISO27001 szabványon alapuló információbiztonsági irányítási rendszerrel, de számos hasonlóságokat mutat vele.
  • A keretrendszerben meg kell határozni a szervezeten belüli szerepköröket és felelősségeket, valamint az elektronikus információs rendszereket és azok részleteit.
  • Ezek keretében a tervezet részletezi az üzleti célok, folyamatok és adatkörök meghatározását, továbbá a kockázatmenedzsment és biztonsági értékelési stratégiák kidolgozását.


Biztonsági Osztályba Sorolás és Védelmi Intézkedések:

  • Minden elektronikus információs rendszert biztonsági osztályba kell sorolni, ami alapján a védelmi intézkedéseket kell kiválasztani.
  • A tervezet rugalmasságot biztosít bizonyos keretek között a védelmi intézkedésektől való eltérésre, de ennek alaki és tartalmi követelményei
  • A védelmi intézkedéseket nem csak be kell vezetni és alkalmazni, hanem rendszeres időközönként értékelni is kell.


Folyamatos Felügyelet és Auditálás:

  • A keretrendszer kiépülése után folyamatos felügyelet szükséges az információbiztonságot érintő változások kezelésére.
  • Kontroll tesztelés vagy belső audit szükséges az intézkedések hatékonyságának ellenőrzésére.
  • A NIST 800-53 Rev. 5 szabvány követelményeit vették át, amelyek egy az egyben megegyeznek a védelmi intézkedés kategóriákkal.


További Lépések

A kapcsolódó NIST szabványok, guideline-ok és egyéb nemzetközi jó gyakorlatok felhasználhatók a felkészülés során, sőt ezek használatát kifejezetten javasoljuk.

Biztonsági Osztályok:

  • Az alap biztonsági osztály esetén 164 védelmi intézkedést kell alkalmazni.
  • A jelentős biztonsági osztály esetén már 302 védelmi intézkedés szükséges, ami majdnem kétszerese az alap szintnek.
  • A magas biztonsági osztály esetén 389 kontrollt kell alkalmazni, ami jelentős adminisztratív terhet jelent.
  • A legtöbb szervezetnél várhatóan nem lesz magasabb biztonsági osztályú rendszer a jelentősnél.


Megfelelési Terv:

  • A megfelelési terv lépéseit két fő részre lehet osztani:
  • A megfelelési terv nem “one size fits all” típus, tehát minden szervezet esetében más átfutási időkkel kell számolni.
  • A hatósági regisztráció a Cégkapun keresztül pár kattintással elvégezhető, feltéve, hogy minden szükséges információ rendelkezésre áll.
  • A gap elemzés ideális esetben két hét alatt elvégezhető, de ez változhat az ügyfél rendelkezésre állásától függően.
  • A védelmi intézkedések bevezetése és alkalmazása 2024 folyamán ajánlott, de ez nagy nehézségekbe ütközhet azoknál a szervezeteknél, akik korábban nem voltak információbiztonsági szempontból szabályozva.


Gap Elemzés:

  • A gap elemzés az első lépés, amely segít a szervezetnek felmérni a jogszabályi megfelelési szintjét és gyakorlati védelmi szintjét.
  • Az elemzés során a jelentős biztonsági osztályhoz tartozó kontrollokat és a kockázatkezelési keretrendszer elemeit értékeljük.
  • A jelentős biztonsági osztályba tartozó kontrollok a leggyakoribbak, de a magas biztonsági osztályokat is fel lehet mérni igény szerint.
  • Kihívások:
  • A védelmi intézkedéseket elektronikus információs rendszer szinten kell értelmezni, ami eltéréseket okozhat a rendszerek között.
  • Bizonyos védelmi intézkedéseket nem lehet csak egy rendszer szintjén elemezni, hanem az egész szervezetre vonatkozóan kell értékelni.
  • A követelmények nagyon részletesen vannak meghatározva, ami előny, de a részletességi szintek eltérhetnek más szabványoktól, mint az ISO27001.
  • Kockázatelemzés:
  • A gap elemzés eredményeit kockázatelemzésbe lehet csatornázni.
  • A kockázatkezelési módszertan nemzetközi szabványokon alapul, mint az ISO 27005 és a NIST SP 800-30, de ezeket a tapasztalatok alapján alakítju
  • A 302 követelményben előírások vannak a kockázatok felmérésére és kezelésére


A főbb kihívások és lépések:

  • Gap Elemzés: A jogszabályi megfelelés és a védelmi szint felmérése, ahol a piros cellák jelzik a legnagyobb kockázatokat és hiányosságokat.
  • Kockázatelemzés: A gap elemzés eredményeinek integrálása a kockázatkezelési folyamatba, ahol a kockázatokat objektíven és szisztematikusan kell értékelni.

A fent említett lépések és kihívások kezelése érdekében fontos egy átfogó cselekvési terv kidolgozása, amely figyelembe veszi a szervezet egyedi igényeit és erőforrásait. A sikeres megvalósítás érdekében ajánlott szakértői tanácsadók bevonása, akik segíthetnek a folyamatok optimalizálásában és a megfelelés biztosításában.
Az információbiztonsági szabályozás kidolgozása, a gap elemzés, a kockázatelemzés és a védelmi intézkedések bevezetése mind kritikus lépések a megfelelési folyamatban. Különösen fontos a szervezeti kontextus és a specifikus követelmények megértése, valamint a prioritások helyes meghatározása a kockázatok kezelésében.
Az EURO ONE integrált megközelítése, amely magában foglalja a tanácsadói kompetenciákat és a rendszerintegrációs képességeket, egyértelmű előnyt jelenthet a szervezetek számára. A GRC szoftveres támogatás és a projektmenedzsment eszközök használata pedig további segítséget nyújthat a szervezeteknek a megfelelési követelmények teljesítésében.