NIS2 törvényi szabályozás új információk
Ez év májusában megjelent a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (kibertan.tv.) és vele párhuzamosan számos fórumon kisérő információk is elérhetők lettek. Azonban két lényeges kérdés mostanáig nyitva maradt:
- mikorra fogja az SzTFH a végrehajtási rendeletet elkészíteni és kiadni,
- illetve a végrehajtási rendelet milyen információ biztonság irányítási modellen fog alapulni?
A napokban zajlott le az NKI rendezésében a szokásos CYBERSEC konferencia, ami a számtalan a kiberökoszisztámával kapcsolatos egyéb hasznos információ mellett csorgatott kevés információt a kibertan.tv. végrehajtási rendeletéről is. E szerint lázasan dolgozik rajta az SzTFH és NKI szakembereinek egy munkacsoportja a rendelet szövegezésén. Lényeges információ, hogy a végrehajtási rendelet az NIST SP 800-53 szabvány által meghatározott irányítási rendszer modellen fog alapulni - ahogy a 2013 óta érvényben lévő Ibtv. és annak 41/2015 BM végrehajtási rendelete is -, a követelmények újra értelmezésével az eredeti standardhoz közelebb álló megközelítésben fog kihirdetésre kerülni. A munkacsoport harmonizálni fogja a két jogszabály (Kibertan és Ibtv.) és rendelet tartalmát, valamint az eddig az Ibtv. hatálya alá eső szervezetek tervezetten átmeneti időt kapnak az új megközelítésre való átállásra (pl: SZVI megszüntetése).
Fentiek alapján már néhány előkészítő tevékenység elkezdhető a kibertan.tv. hatálya alá tartozó szervezeteknél tekintettel arra, hogy a törvény újabb pontjai 2024. január 1-vel életbe lépnek, ezek:
- felelős, kapcsolattartó személy (IBF) kijelölése;
- az alapleltárak, nyilvántartások felvétele, de legalább is azok megkezdése;
- a nyilvántartások a szervezet által kezelt valamennyi adatkör és elektronikus információs rendszer beazonosítása és nyilvántartásba vétele;
- a munkához az előbbiek szerint az Ibtv. és a BM rendelet által meghatározott fogalomkör felhasználható.
Tapasztalatból tudjuk, hogy ezen nyilvántartások meglehetősen terjedelmesek lehetnek, akár százas nagyságrendet is elérhetik (persze ez szervezet függő, azaz minél nagyobb, szerte ágazóbb egy szervezet annál számosabb is lehet a nyilvántartás).
Nem szabad elfelejteni, hogy a kibertan.tv. szerinti megfelelési tevékenységek sora az elektronikus információs rendszerek biztonsági osztályba sorolásával kezdődik és ennek eredménye fogja meghatározni az elkövetkező nem egészen két év feladatait az első kötelező auditig ami, ha egy pillantást vetünk az NIST szabványra vagy a BM rendeletre komoly kihívást fog jelenteni kivétel nélkül az összes érintettnek.
A jövő évi büdzsé tervezésekor fontos tétel kell, hogy legyen a törvény szerinti megfelelés lehetséges költségeinek ismerete:
- az SZFTH-nak fizetendő felügyeleti díj;
- két évente kötelezően elvégzendő audit díja;
- a felkészülés költségei, ami induláskor szervezet méretétől függően havi akár tucatnyi szakértői és alkalmazotti embernap költsége;
- folyamatos költségként kell tekinteni a felkészülés után megszülető Információbiztonsági Irányítási Rendszer üzemeltetésére;
- illetve estelegesen figyelmet kell fordítani a törvény szerinti a nem megfelelés mértékétől függő büntetés összegére.
Fontos körülmény, sőt költségcsökkentő tényező a törvény által meghatározott információ biztonsági felelős pozíciót betöltő személy (IBF) képzettsége, tapasztalata. A már hivatkozott azonos szakmai alapon felépülő Ibtv-nek történő megfelelés során szerzett tíz éves tapasztalat alapján állítható, hogy kizárólag komoly szakmai felkészültséggel rendelkező IBF irányításával remélhető a sikeres felkészülés és a kötelező auditokon a tömeges nem megfelelőségek elkerülése.