A múlt héten a Magyar Közlöny 68.számában megjelent két olyan rendelet, ami a NIS2, avagy Kibertan tv. kapcsán felmerült kérdések megválaszolásában segíthet. Az egyik az auditorokkal szemben támasztott elvárásokat, a másik az információs rendszerek biztonsági osztályba sorolását, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket részletezi. Ám mielőtt ezek értelmezésére rátérnénk, Erdei Csaba fontosnak tart két, a beszállítókkal kapcsolatos emlékeztetőt:
„Kettő dolgot emelnék ki a beszállítókkal kapcsolatban. Egyrészt a törvény megfogalmazza, hogy a kihelyezett IKT-szolgáltatást nyújtó cégek alanyi jogon bekerülnek a rendelet hatálya alá, ha elérik a megfelelő méretkorlátot. Ez nagyon fontos és erre figyelni kell”
– mondta Erdei Csaba.
A másik beszállítói típus, amit a rendelet megfogalmaz az a „közreműködő”-k, akik elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában vesznek részt a szervezetnél (méretkorláttól függetlenül). A törvény előírja, hogy a közreműködőkre is vonatkoznak szabályok, melyeket az érintett cégeknek a szerződésekben is kell megkövetelniük!
„Ezt látjuk a pénzügyi szektorban a DORA rendelet hatásaként is. Így valójában kevés beszállító fog megmenekülni a NIS2-től, sőt a „karbantartás és javítás” miatt nem csak az üzemeltető, de a fejlesztő cégek is bekerülhetnek”
– tette hozzá.
Aki azt hitte megússza, az sem fogja
Kevesen töltik azzal a szabadidejüket, hogy EU-s jogszabályokat olvasgatnak. Viszont, amit kevesen tudnak épp emiatt, hogy cégcsoportok esetén, ha egy nagyobb tulajdonol egy kisebbet, akkor a kisebb cég is a NIS2 hatálya alá tartozhat.
„Egyszerűen azért, mert ezeknél a szereplőknél máshogy kell számítani a létszámot és a bevételt” – tette hozzá Erdei Csaba. „Ugyan úgy sokak figyelmét elkerüli az is, hogy noha a méretkorlát miatt a vállalkozások kikerülnek a hatály alól, kivétel lehet ezalól, ha állami tulajdonú cégről van szó. Azok a cégek, akik 25 százalék feletti állami tulajdonban vannak, azok be fognak esni a NIS2 hatálya alá – természetesen a fenti eseteket a törvényben felsorolt kockázatos és kiemelten kockázatos ágazatok tekintetében kell érteni”
– mondta Erdei Csaba.
Ami jó hír, indulhat a besorolás
Nincs megdöbbenés a szakma részéről, egyszerűen mindenki örül, hogy végre kint van a két rendelet. Sőt, a védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet nagyjából azonos formában, mint amit februárban társadalmi egyeztetésre bocsátottak.
A rendelet alapján végre „hivatalosan” is el lehet kezdeni a biztonsági osztályba sorolást. A miniszterelnöki kabinetiroda által jegyzett rendelet jól megfogalmazza az alap, a jelentős és a kiemelt kategóriába sorolandó informatikai rendszer sajátosságait.
„Attól függően, hogy melyik kategóriába kerül a cég adott elektronikus információs rendszere, egyértelműen látszik, hogy melyik követelménycsaládból melyik konkrét követelményeknek kell megfelelnie. Annak ellenére, hogy ez a rendelet megjelenése előtt is nagyjából tudható volt, egyes IKT-n kívül eső, de érintett cégek most kissé kapkodnak. Számos laikus cégvezető fejében az volt, hogy talán meg sem jelenik a rendelet időre, vagy ha megjelenik, akkor teljesen mást fog tartalmazni. Így egyszerűen nem kezdték meg a felkészültést”
– osztotta meg tapasztalatait Erdei Csaba.
2024. december 31. fontos határidő
Az SZTFH auditori rendelete azért fontos, mert december 31-ig minden érintett cégnek szerződést kell kötnie a kiválasztott auditorral. A rendeletben egyértelmű követelmények vannak, abból pedig az látszik, hogy szűk, talán tucatnyi cég fog ennek megfelelni.
„Itt sincs nagy meglepetés. Sokan azt gondolták, hogy kevésbé lesznek szigorúak az elvárások, de egy ilyen kaliberű szabályozásnál elképzelhetetlen volt, hogy ez másképp legyen. Több milliárd forintokat kezelő, vagy kritikus rendszereket irányító informatikai rendszereket nem auditálhatnak olyan cégek, akik nem felelnek meg komoly feltételeknek. Szeptemberig azt gondolom minden a rendeletnek megfelelő auditori cég be fog jelentkezni az SZFTH-nál. Az hogy júniusban megjelent ez a rendelet sokat oszlatott a bizonytalanságokon, hiszen a vállalkozásoknak nem kell kéz tördelve állniuk év végén, hogy kivel is szerződjenek, mert nem látnak tisztán”
– mondta.
A szakértő egy kérést is intézett az SZFTH felé, mint mondta sokat segítene a szakmának és az érintett cégeknek is, hogyha magyarázó és értelmező szövegek is megjelennének a védelmi intézkedéseket tartalmazó rendelethez, valamint hatósági állásfoglalások is jöhetnének különböző érdeklődésre számot tartó esetekben, akár érintetti megkeresésekhez kapcsolódóan is. Így a sokszorosan ismételt kérdések is csökkennének és az általános megértés is növekedne.
(Kimelet kép: masterfield)
