Egy EU-s irányelv és egy szabvány – ami a közös bennük, a céljuk: a kiberbiztonság fokozása. Szakmai körökben már évek (de lehet, inkább évtizedek) óta egyértelmű a jelentősége, napjainkba pedig már a cégvezetőknek sem kell magyarázni: korunk aranya az adat. Ezt pedig védeni kell. Hogy hogyan? Például az EU előírta a NIS2 nevű szabályozást, de továbbra is népszerű a 27001-es szabvány, amely tanúsítás esetén versenyelőnyhöz juttathatja a cégét. A CertUnion Tudásközpontja mindkettőre felkészíti. Hogy hogyan, arról is kérdeztük dr. Répás Sándort, aki maga is vezeti ezeket a képzéseket.
Kezdjük az elején: mi az a NIS2 és mi az ISO 27001!
A NIS2 egy EU-s irányelv, mely a tagállamok „fontos rendszereinek” kiberbiztonságával foglalkozik. Célja, hogy a tagállamok egységes, magas szintű kiberbiztonságot érjenek el, és fokozzák az ellenállóképességüket. Az ISO/IEC 27001:2022 szabvány az információbiztonság nemzetközileg elfogadott irányítási szabványa.
A hazai jogrendbe a NIS2-t a kiberbiztonsági törvény, és az ahhoz kapcsolódó rendeletek ültették át. Míg a 27001-es szabvány alkalmazása és tanúsítása teljesen önkéntes, addig bizonyos szervezeteket a kiberbiztonsági törvény rengeteg feladat elvégzésére és sok esetben tanúsítására kötelez.
Persze érdemes azt is megjegyezni, hogy a 27001-es szabvány szerinti tanúsítás sok esetben üzleti előnyt jelent a szervezetnek.
Akkor most haladjunk tovább a gondolatmeneten: melyek a fő hasonlóságok és mikben különbözik egymástól a két követelményrendszer?
A 7/2024. (VI. 24.) MK rendelet rengeteg követelményt tartalmaz, melyek a kiberbiztonsági törvény által előírtak teljesítéséhez szükségesek. Így tapasztalataim szerint leginkább ezt érdemes összehasonlítani a 27001-es szabvánnyal. A rendelet három biztonsági osztályt határoz meg (alap, jelentős, és magas) a szervezet elektronikus információs rendszereire nézve. Az egyes szintekhez számos konkrét, kötelezően megvalósítandó védelmi intézkedést is előír. Tartalmazza az osztályba sorolás megvalósításának módszerét is, és ezen kívül meghatároz egy kötelezően működtetendő kockázatmenedzsment keretrendszert is. Mivel a 27001-es szabvány is megköveteli a kockázatok alapján meghatározott védekezést, így talán ez a legnagyobb hasonlóság a jogszabály (tehát a NIS2 hazai implementációja) és a 27001-es szabvány közt. A szervezet által bevezetett 27001-es standard nagyrészt megfeleltethető az MK rendelet által előírt kockázatmenedzsment keretrendszernek. Mivel a NIS2 és a 27001-es szabvány is „elég terjedelmes” így nem tudok teljes összehasonlítást adni, de az eddigiekből is jól látszik, hogy nem helyettesítik egymást. Viszont egy jól működő 27001-es irányítási rendszer nagyban segít a NIS2 által elvárt, jogszabályoknak megfelelő működésben.
Talán érdemes feleleveníteni, hogy az ISO 27001 két éve átesett egy „ráncfelvarráson”, főként a szabvány információbiztonsági vonatkozásait módosították, a kockázatokkal foglalkozó rész jelentősen bővült.
Így van, nagyobb hangsúlyt kapott itt is az utóbbi évtizedekben egyre jobban elterjedt felhő alapú rendszerek és személyes adatok védelme, fontos cél, hogy megakadályozzák az adatszivárgást, a szoftverfejlesztők egyre magasabb szintre jussanak a biztonságos kódolással.
A NIS2, ahogy már a nevéből is látszik, szintén nem előzmény nélküli, a korábbi NIS irányelv frissítése. A 2024-es év egyik legjelentősebb EU-s jogi szabályozásának is nevezhetjük, amely rengeteg az európai vállalatot és szervezetet érint. Pontosan kiknek kötelező?
Próbálom közérthetően, de precízen összefoglalni, hogy kikre is vonatkozik a kiberbiztonsági törvény, amely a NIS2 hazai átültetése. Állami szervezetekre és állami vállalatokra, de náluk vannak bizonyos könnyítések. Honvédelmi szervezetekre, de eltérésekkel. Elektronikus hírközlési szolgáltatókra, bizalmi szolgáltatókra, DNS-szolgáltatókra, legfelső szintű doménnév-nyilvántartóra, és doménnév-regisztrációt végző szolgáltatókra, mérettől függetlenül. Mikro- és kisvállalkozások esetén, bizonyos könnyítésekkel. Közepes méretű, illetve nagyobb vállalkozásokra, vagy ha a vállalkozás eléri valamely küszöbértéket, tehát vagy legalább 50 főt foglalkoztat, vagy 10 millió euró feletti nettó árbevétellel, vagy mérlegfőösszeggel rendelkező vállalkozásokra, ha azok olyan tevékenységet végeznek, mely megtalálható a kiberbiztonsági törvény 2. vagy 3. mellékletében lévő táblázatában.
Ezek a táblázatok tartalmazzák a kiemelten kockázatos ágazatokat. Kiemelten kockázatos például az energetikai ágazat, a közlekedés, egészségügy, ivóvíz és szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT szolgáltatások, űralapú szolgáltatás.
A kockázatos ágazatokhoz tartozik a postai és futárszolgáltatás, élelmiszeripar, hulladékgazdálkodás, vegyszerek előállítása és forgalmazása, gyártás, digitális szolgáltatások, kutatás.
Az a benyomása az embernek (olvasva a visszajelzéseket), hogy nem olyan egyszerű átlátni az irányelvét és a követelményrendszerét. Ez miért lehet?
Azért, mert nem jelent meg minden jogszabály, ami szabályozza a területet, de már így is van belőlük rengeteg. Felsorolom a legjelentősebbeket, hogy utána lehessen keresni:
- 2024. évi LXIX. törvény Magyarország kiberbiztonságáról
- 418/2024. (XII. 23.) Korm. rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról
- 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
- 10/2024. (VIII. 8.) SZTFH rendelet az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről
- 7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
- 1/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
- 2/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági felügyeleti díjról
- 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről.
A jogszabály a szervezetre bízza annak meghatározását is, hogy besorolja magát, és ezáltal meghatározza, mit kell tennie a jogszabályi megfelelés érdekében. Sokszor azonban már ennek elvégzése is komoly tudást igényel. A hatóság pedig büntethet, ráadásul meglehetősen magas összegekkel… Ha a korábban már említett, követelményeket tartalmazó MK rendeletet nézzük, ott olyan konkrét előírások szerepelnek, melyek értelmezése sokszor még nagy tapasztalattal rendelkező kiberbiztonsági szakembereknek is okozhat problémákat, vagy pedig a megfelelés érdekében szükséges optimális eszköz kiválasztása okoz nehézséget.
A CertUnion Tudásközpontja nemcsak minősítési rendszerek tanúsításával foglalkozik, hanem NIS2 tréninget is szervez. Milyen tudást ad ez a képzés?
A tréningen elsajátított tudás segít értelmezni a jogszabályokat, meghatározni, hogy szervezetünknek mit kell tennie a megfelelés érdekében.
Segít a kockázatmenedzsment rendszer kialakításában, és a szervezet elektronikus információs rendszereinek biztonsági osztályokba sorolásában is. A képzésen mindig megvizsgáljuk a konkrét intézkedéseket, értelmezzük azokat, és eszközöket keresünk azok teljesítéséhez.
Kinek ajánlja a képzést?
Minden informatikával, vagy információ- és kiberbiztonsággal foglalkozó szakembernek ajánlott, mivel nemcsak a jogszabályban felsorolt szervezeteket érinti, hanem azok beszállítóit, üzleti partnereit is.
