Nyári kalandok a NIS2 világában

Hiába vagyunk túl több hőhullámon, a NIS2/Kibertantv felkészülés nyárra is tartogat tennivalókat. Az érintett cégeknél sajnos az idei melegben nincs uborkaszezon.

forrás: pexels.com

A Kibertantv-hez kapcsolódóan 2024. június 24-én két rendelet is megjelent:

• 7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
• 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről

7/2024. SZTFH rendelet

Az SZTFH rendeletben az auditorokkal szembeni elvárások szerepelnek. Ezzel a rendelettel az „átlagos” nyilvántartásba vett cégnek nincs tennivalója. Azonban fontos, mivel az auditori listára felkerülők fogják az SZTFH-nál nyilvántartásba vett cégeket auditálni. Az auditori listába július 24-től lehet jelentkezni, jelenleg még üres.

 forrás: sztfh.hu

Két fontos határidő kapcsolódik ide: 2024. december 31-ig minden érintett cégnek szerződést kell kötnie egy, a listában lévő auditorral, akinek az első auditot 2025. december 31-ig el kell végeznie.

7/2024. MK rendelet

Ez az a végrehajtási rendelet, amire már nagyon sokan vártak. Az ennek való megfelelést fogják auditálni a fenti listába kerülő auditor cégek. A legfontosabb feladat minden cégnek, hogy meg kell határoznia az osztályt, amibe az elektronikus információs rendszere (EIR) tartozik. Ez a következő három osztály lehet:

• alap
• jelentős
• magas

A rendelet meghatároz kritériumokat, ami alapján a szervezet ezt meg tudja tenni, de mi is szeretnénk támpontot adni. Miért fontos az osztályba sorolás? Azért, mert mindegyik osztályhoz kapcsolódóan vannak tevékenységek, amiket el kell végezni. Természetesen minél magasabb osztályba kerül egy cég EIR-je, annál több tennivalója van.

 

 Hogy tudom eldönteni, hogy melyik osztályba soroljam az EIR-emet?

Nem könnyű, mert sok kérdés nyitott még, de két dolgot tudunk így első nekirugaszkodásként ajánlani.

1. Adatvagyon-leltár készítése
2. Az Alap osztály kritériumaira való felkészülés.

• Adatvagyonleltár

Az osztályba soroláshoz elengedhetetlen az adatvagyonleltár elkészítése. Ez minden további intézkedés alapja. Ezt a cég saját maga el tudja végezni.

Az adatvagyon-leltárba többek között az EIR-ben tárolt adatok típusát, felelőseit, hozzáférési jogosultságokat stb kell meghatározni.

• Alap osztály

Ezen osztály kritériumait minden érintett szervezetnek meg kell valósítania. De értelemszerűen lesznek olyanok, akiknek ennél sokkal többet. Amennyiben az Ön vállalkozására is vonatkozik a NIS2 rendelet, akkor  nem téved, ha átnézi az Alap osztályban megfogalmazott előírásokat és felkészül cége az elkészítésükre. Ezek többek között:

• • • Információbiztonsági szabályzat megalkotása
    • EIR nyilvántartás létrehozása
    • Szervezeti architektúra dokumentálása
    • Kritikus infrastruktúra biztonsági tervének elkészítése
    • Kockázatmenedzsment stratégia megalkotása

 

A fentiek alapján reméljük mindenkinek világos, hogy tényleg rengeteg tennivaló van még, amit a következő határidőig, azaz október 18-ig tehet az érintett vállalkozás.

 

Nagy Imre Gábor

A szerző a ZETRON Kft munkatársa, ISO 27001-es auditor, a Nemzeti Közszolgálati Egyetem Elektronikus Információbiztonsági Vezető szakán végzett szakember

 

 

Kiberbiztonsági nyilvántartásba vételi kötelezettség – Engem is érint?