Az Európai Unió az egyre gyakoribbá váló kiberfenyegetések miatt 2022-ben megfogalmazta a NIS2 kiberbiztonsági irányelvet, a korábbi EU 2016/1148 NIS (Network and Information Security Directive) folytatásaként.
Az irányelv egységes uniós követelményként írja elő a magas szintű kiberbiztonsági védettségi szint elérését a gazdaság működése szempontjából fontos szervezetek számára, korszerű védelmi intézkedések és technológia bevezetésével, alkalmazásával, valamint a incidensek bejelentési kötelezettségének szigorításával. Az irányelv egyértelmű célja a kibertámadások és más fenyegetések megelőzése, a már bekövetkezett támadások negatív hatásainak csökkentése, valamint a tagállamok összehangolt együttműködésével egy egységes „védelmi háló” felépítése.
A fenti célokhoz igazodva az egyes tagországok lokális törvényekkel és rendeletekkel határozzák meg a részleteket. Magyarországon a NIS2 követelményeinek való megfelelést a Kibertan Törvény, azaz a 2023. évi XXIII. Törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről), valamint a Miniszterelnöki Kabinetirodát vezető miniszter (továbbiakban MK) rendelete a (biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről) szabályozza.
A kritikus infrastruktúrák tekintetében négyes hatósági felügyelet valósul meg a Szabályozott Tevékenységek Felügyeleti Hatóságával (SZTFH) közösen:
- cégek:
Kockázatos ágazatok: csak SZTFH
Kiemelten kockázatos: SZTFH és NBSZ közös felügyelet - az önkormányzati hivatalok, a közigazgatási szervek és a kritikus infrastruktúrák alapvető szolgáltatásban közreműködő rendszereinek, valamint a többségi állami befolyás alatt álló szervezetek felügyelete a Nemzetbiztonsági Szakszolgálathoz (NBSZ),
- a honvédelmi célú rendszerek felügyelete a Katonai Nemzetbiztonsági Szakszolgálathoz (KNBSZ),
- a pénzügyi szervezetek felügyelete a Magyar Nemzeti Bankhoz (MNB) is tartozik.
A Kibertan Törvény szerinti ágazatokban működő szervezetek felügyelete tehát az SZTFH hatáskörébe is tartozik: ők látják el a hatósági ellenőrzéseken túl a kiberbiztonsági tanúsítás és felügyelet hatósági feladatait, valamint az érintett szervezetek nyilvántartásba vételét.
Forrás: NKI
Magyarországon több ezer középvállalkozást és nagyvállalatot érint a NIS2 követelményrendszere. Az érintett szervezetek a kiberfenyegetések által okozható károk mértékével arányos módon kötelesek gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének biztonságáról. A védelemnek ki kell terjednie
- a) a szervezet információbiztonsági irányítási rendszerére,
- b) az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
- c) a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
- d) a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
- e) az üzletmenet folytonosság biztosítására és
- f) az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.
Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a fenti követelményeknek a közreműködő (partner, beszállító, szolgáltató stb.) esetében is teljesülniük kell.
Az érintett szervezet vezetője
- a) meghatározza az elektronikus információs rendszerek biztonságáért felelős személy feladatait és felelősségi körét,
- b) meghatározza az elektronikus információs rendszerek felhasználóira vonatkozó szabályokat, és
- c) gondoskodik a szervezet munkatársai rendszeres információbiztonsági képzéséről és ismereteinek szinten tartásáról.