Fejléc

Megjelent a NIS2 irányelvet nemzeti jogba átültető jogszabálytervezet

Szerző ikon Tóth Tamás

Dátum ikon 2023.04.11

Jogszabálytervezet benyújtása és a felügyeleti hatóság

A Miniszterelnöki Kabinetiroda az előző cikk megjelenése után csaknem két héttel 2023. februárban benyújtotta a Kiberbiztonsági tanúsításról és felügyeletről szóló törvénytervezetet (T/3314. törvényjavaslat: A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) a Parlament számára, így új fejleményekről számolhatunk be.
A jogszabálytervezet egyszerre kívánja átültetni az Európai Parlament és a Tanács (EU) 2019/881 rendeletét (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról (Cybersecurity Act), valamint a NIS2 irányelvet.
A jogszabálytervezet a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelölte ki kiberbiztonsági felügyeleti hatóságként. A hatóságnak rendkívül szerteágazó tevékenységei vannak, hozzájuk tartozik a szerencsejáték felügyelet, dohányügyi felügyelet, felszámolói és bírósági végrehajtói felügyeleti terület, bányászati felügyeleti tevékenység és a földtani tevékenység is.

Jogszabálytervezet hatálya

A jogszabálytervezet 1. és 2. mellékletében vannak felsorolva a magas kockázatú ágazatokban működő szolgáltatók és szervezetek, illetve a jelentős kockázatú ágazatokban működő szolgáltatók és szervezetek, amelyek hálózati és információs rendszereire alkalmazni kell a követelményeket. Ez egybevág a korábbi cikkekben is bemutatott, irányelvben meghatározott szervezeti körrel.
A jogszabálytervezet is tartalmazza az irányelv által meghatározott „kedvezményt” miszerint az elvárások nem vonatkoznak mikro- és kisvállalkozásokra, mert esetükben gyakran aránytalan költségekkel járna a követelmények teljesítése. Azonban nem mindenki lélegezhet fel közülük, hiszen az elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók, DNS-szolgáltatást nyújtó szolgáltatók, legfelső szintű domainnév-nyilvántartók és a domainnév regisztrációt végző szolgáltatók továbbra is a szabályozás alá tartoznak. Úgy gondolom, hogy ez a felsorolt szolgáltatók tevékenységi köreit átgondolva teljesen érthető.

Alkalmazandó követelmények és osztályba sorolás

A jogszabálytervezet természetesen magában foglalja a sokak által ismert kiberfenyegetések által okozható károk mértékével arányos védekezés elvét, bizalmasság – sértetlenség – rendelkezésre állás védelmét,  hálózati és információs rendszerei és azok fizikai környezetének biztonságának biztosítását.

Az előírások szerint a védelemnek ki kell terjednie a(z):

  • információbiztonsági irányítás rendszerére,
  • hálózati és információs rendszerek kockázatainak feltárására és kezelésére,
  • kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • biztonsági incidensek megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére, az üzletmenet folytonosság biztosítására és
  • hálózati és információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, üzemeltetésére.


A jogszabálytervezet által elvárt védelmi intézkedések szűkebb körűek, mint az irányelv 21. cikkében felsorolt – és sokat hivatkozott – kiberbiztonsági kockázatkezelési intézkedések:

  • kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
  • eseménykezelés;
  • üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés;
  • az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
  • biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
  • szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
  • alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
  • a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
  • humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
  • adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.


Ha csak szűken nézve a jogszabálytervezet által felsorolt védelmi intézkedések alapján akarja valamelyik szervezet kidolgozni, mappelni a saját kontrolljait, akkor nem lesz egyszerű dolga, mivel sok konkrétum hiányzik. Ez azonban nem ritka, hiszen törvényi szinten ez a szint megszokott és a részletes előírásokat egy alsóbb szintű szabályozásban szokás meghatározni.

A szervezetek vezetőinek

  • ki kell jelölniük az elektronikus információs rendszerek biztonságáért felelős személyt és meg kell határozni feladatait és felelősségi körét (IBF, CISO),
  • meg kell határozni az elektronikus információs rendszerek felhasználóira vonatkozó szabályokat (ami véleményem szerint nem azonos az információbiztonsági szabályzattal),
  • gondoskodniuk kell a szervezet munkatársainak rendszeres információbiztonsági képzéséről és ismereteinek szinten tartásáról (vagyis tudatosító programot és oktatásokat kell szervezni és végrehajtani).


A jogszabálytervezet hatálya alá tartozó szervezeteknek a hálózati és információs rendszereiket, valamint az azokon tárolt, továbbított vagy feldolgozott adatokat is biztonsági osztályba kell sorolni. Ez sokaknak ismerős lehet az Ibtv. kapcsán. Jelen esetben viszont különálló osztályba sorolási kritériumok lesznek meghatározva: a bizalmasság, a sértetlenség, a rendelkezésre állás sérülésének kockázata alapján „alap”, „jelentős” vagy „magas” biztonsági osztályokat kell majd alkalmazni. A biztonsági osztályok részletei jelenleg még nem nyilvánosak, azokat majd egy SZTFH elnöki rendelet fogja tartalmazni. Ez logikailag összefügg majd az alkalmazandó védelmi intézkedésekkel, mert azok körét és mélységét a biztonsági osztályoktól fogják meghatározni. Ezeket is egy SZTFH elnöki rendelet fogja tartalmazni.

Az ellátási láncok védelme kiemelkedő fontosságú, erre a SolarWinds elleni támadás is rámutatott. A támadásban a SolarWinds mellett több ezer szervezet volt érintett, köztük az Egyesült Államok kormánya is. Az irányelvvel összhangban a jogszabálytervezet is előírja, hogy a hálózati és információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködő harmadik feleknek is teljesíteni kell a követelményeket és ezt az adott tevékenységre vonatkozó szerződésbe is bele kell foglalni, amiért az érintett szervezet vezetője felel.

Biztonsági incidensek bejelentése

Ha a szabályozás hatálya alá eső szervezet rendszerében olyan biztonsági incidens történt vagy annak közvetlen bekövetkezése fenyeget, amely az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz vagy jelentős vagyoni, vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára, akkor azt be kell jelentenie.
A jogszabálytervezet szerint a biztonsági incidenseket az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény szerinti eseménykezelő központ részére a Kormány rendeletében részletezettek szerint bejelentést tenni.
Ezt konkrétumokra fordítva a bejelentést vélhetően az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. Rendelet előírásai alapján (8. §-12.§) a Nemzeti Kibervédelmi Intézet számára kell megtenni.

Hatósági felügyelet

A jogszabálytervezet az SZTFH-t jelölte ki a szabályozás hatálya alá eső szervezetek kiberbiztonsági felügyeleti szerveként. A felügyelet részletes tartalmát majd SZTFH elnöki rendeletben fogják kidolgozni, de több fontos tényezőt már jelenleg is megismerhetünk.
A közigazgatási felügyelet fogalma tágabb az ellenőrzésnél annyiban, hogy a felügyelet egyrészt magában foglalja az ellenőrzés fogalmát, az ellenőrzési jogkört és ellenőrzési eszközöket. Másrészt az ellenőrzési jogosítványokon túlmenően tartalmazza – az ellenőrzés eredményétől függően – a beavatkozás eszközeit, a különböző típusú jogi és nem jogi következmények alkalmazásának jogát is.

Az SZTFH kiberbiztonsági felügyeleti jogkörében jogosult dokumentumokat bekérni a biztonsági követelményekre, osztályba sorolásra vonatkozóan, hatósági ellenőrzést végezhet, akár rendkívüli auditot is elrendelhet és természetesen bírságot is kiszabhat.
Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól, ami jelentős reputációs károkat okozhat a szabálytalan szervezetnek. Az SZTFH végső esetben eltilthatja az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.
További érdekesség, hogy a szabályozás hatálya alá tartozó szervezetnek felügyeleti díjat kell fizetnie az SZTFH részére, ami a szervezet előző üzleti évi nettó árbevételének legfeljebb 0,15 százaléka.

Kötelező audit

A jogszabálytervezet előírja, hogy az érintett szervezetnek 2 évente auditáltatnia kell magát arra vonatkozóan, hogy megfelel-e a rá vonatkozó kiberbiztonsági követelményeknek. Ez az audit nem hatósági ellenőrzés, hanem független vizsgálat, amit csak az SZTFH által nyilvántartott, független auditorok végezhetnek el. Az auditoroknak rendelkezniük kell a feladat ellátásához szükséges szakértelemmel és infrastrukturális feltételekkel, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti sérülékenységvizsgálat lefolytatására is jogosult gazdálkodó szervezetnek kell lenniük. További követelményeket és az audit legmagasabb díját szintén SZTFH elnöki rendelet fogja meghatározni.

Az auditok az alábbiakra terjednek ki, azok mélysége függ az érintett szervezet biztonsági osztályától:

  • belső informatikai biztonsági és távoli sérülékenységvizsgálat, valamint „jelentős” vagy „magas” biztonsági osztály esetén behatolásvizsgálat,
  • kriptográfiai megfelelőségvizsgálat, valamint
  • „jelentős” vagy „magas” biztonsági osztály esetén a kritikus biztonsági funkciókat végző egyedileg fejlesztett szoftverek biztonsági forráskód-vizsgálata.


Az auditor a vizsgálat lefolytatása után haladéktalanul egyaránt megküldi az érintett szervezet és az SZTFH részére és hivatalosan jelezni kell, ha a szervezet folyamatos működését súlyosan veszélyezteti vagy bűncselekmény elkövetésére, jogszabály megsértésére vagy az érintett szervezet belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlelnek.

Konklúzió  – Hogyan tovább?

A benyújtott és hivatkozott törvényjavaslat számos új információt tartalmaz, amelyek valószínűleg nem fognak jelentősen változni. A teljeskörű megfeleléshez szükséges információk – pl. biztonsági osztályok tartalma, részletes biztonsági követelmények – viszont még nem állnak rendelkezésre, mivel azokat a sokszor hivatkozott SZTFH elnöki rendeletben fogják konkretizálni. A hatóság oldaláról célszerű lenne praktikus, informatív útmutatókat készíteni a szabályozás hatálya alá tartozó szervezetek számára, hogy könnyebben eligazodjanak a paragrafusok, követelmények, határidők közt.
A tervek szerint a jogszabálytervezet részben a kihirdetést követő 8. napon, a követelményekre vonatkozó részek pedig 2024. január 1-től lépnének hatályba. Az auditra, hatósági felügyeleti intézkedésekre vonatkozó részek 2024. október 18-tól lépnének hatályba, ami összhangban van a NIS2 irányelv 2024. október 17-i nemzeti jogba való átültetésére vonatkozó határidőjével.

A szabályozás hatálya alá tartozó szervezeteknek azt javasoljuk, hogy kísérjék figyelemmel a jogszabály kihirdetését és indítsanak projektet a szabályozásnak való megfelelés értékelésére, elérésére. A felkészült szervezeteknek végre kell hajtaniuk a biztonsági osztályba sorolást, felül kell vizsgálni és ki kell egészíteni az információbiztonsági szabályozásukat.
A kevésbé felkészült szervezeteknek ki kell jelölniük a biztonságért felelős személyt, ki kell dolgozniuk a szabályozásukat, információbiztonsági tudatosító kampányokat kell kidolgozniuk és végrehajtaniuk, valamint be kell vezetni a többi alkalmazandó kontrollt.

A sikeres felkészüléshez az alábbi kapcsolódó cikkeimet javaslom:


Források:

T/3314. törvényjavaslat: A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
Gyurita E. Rita — Hulkó Gábor — Józsa Fábián — Lapsánszky András — Varga Zs. András A közigazgatási hatósági eljárásjog jogintézményei, Dialóg Campus Kiadó, Budapest, 2019.