1. ÖNAZONOSÍTÁS
Érintett szervezetek önazonosítása – az én cégem, szervezetem is a NIS2 hatálya alá tartozik?
Az irányelv meghatározza a kiemelten kockázatos ágazatokban (alapvető szervezetek) és a kockázatos ágazatokban (fontos szervezetek) körét.
A szabályozás ezeken belül azokra a cégekre, szervezetekre vonatkozik, melyek több mint 50 főt foglalkoztatnak vagy legalább 10 millió EUR éves árbevétellel rendelkeznek. Az érintett ágazatok:
Forrás: SZTFH
2. INFORMÁCIÓBIZTONSÁGI FELELŐS KINEVEZÉSE
Forrás: https://nki.gov.hu/hatosag/tartalom/gyik/
A Kibertantv. minden érintett szervezet vezetőjének előírja az elektronikus információs rendszerek (EIR) biztonságáért felelős személy kinevezését. Mivel az érintett szervezetek különböző ágazatokban, különböző tevékenységeket végeznek, így minden szervezetnél eltérő lehet a biztonságért felelős személy feladat- és hatásköre. Általánosságban az alábbi feladatokat látja el a felelős személy, amelyeket a vezető tovább specializálhat az ágazatnak és az adott szervezet tevékenységének megfelelően.
Feladatok:
Az elektronikus információs rendszerek biztonságáért felelős személy
- Gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról.
- Elvégzi vagy irányítja az előző pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését.
- Előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot.
- Előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását.
- Véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit.
- Kapcsolatot tart a hatósággal és az eseménykezelő központtal.
Forrás: SZTFH
Végzettségre és tapasztalatra vonatkozó követelmények
Jelenleg nem ismert még az erre vonatkozó előírás, ezért az Ibtv. szabályozása lehet irányt mutató: https://nki.gov.hu/hatosag/tartalom/gyik/
Elektronikus információs rendszer biztonságáért felelős személy az lehet, aki büntetlen előéletű, továbbá rendelkezik felsőfokú végzettséggel, és az alábbi 5 képzettség közül legalább 1-gyel vagy a lejjebb felsorolt 5 releváns szakterület közül legalább 5 év tapasztalattal:
Végzettségek:
Nemzeti Közszolgálati Egyetem (NKE): elektronikus információbiztonsági vezető
Information Systems Audit and Control Association (ISACA): CISA; CISM; CRISC
International Information System Security Certification Consortium (ISC2): CISSP
Releváns szakterületek:
információbiztonsági irányítási rendszer tervezése, kialakítása, működtetése
információbiztonsági ellenőrzés vagy felügyelet
információbiztonsági kockázatelemzés
információbiztonsági tanúsítás
információbiztonsági tesztelés (etikus hacker tevékenység)
Regisztráció:
Az elektronikus információs rendszer biztonságáért felelős személy (IBF) nyilvántartásba vétele (regisztráció) az Ibtv. 15. § (1) bekezdésének c) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együttesen kijelölt eljárásban történik.
3. AZ ELEKTRONIKUS INFORMÁCIÓS RENDSZER BIZTONSÁGI OSZTÁLYBA SOROLÁSA
A biztonsági osztályba sorolás az érintett szervezet saját felelőssége, melyet az MK rendelet a (biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről) alapján kell elvégeznie.
A besoroláshoz a rendelet 2. pontja 3 biztonsági osztályt határoz meg:
- alap: legfeljebb csekély káresemény következhet be.
- jelentős: közepes méretű káresemény történhet, pl. nagy mennyiségű személyes adat, illetve különleges személyes adat sérülhet; a szervezet üzleti vagy ügymenete szempontjából érzékeny folyamatokat kezelő rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok stb.) védett adat sérülhet stb.
- magas: különleges személyes adat nagy mennyiségben sérülhet; emberi életek kerülhetnek veszélybe; nemzeti adatvagyon helyreállíthatatlanul megsérülhet; az ország, a társadalom működőképességének fenntartását biztosító kritikus infrastruktúra rendelkezésre állása nem biztosított stb.
4. NYILVÁNTARTÁSBA VÉTEL ÉS ADATSZOLGÁLTATÁS
- Az a szervezet, mely 2024. január 1. előtt kezdte meg tevékenységét, nyilvántartásba vételi kötelezettségét 2024. június 30-ig köteles teljesíteni.
- Minden más szervezet számára a Kibertan.tv. 26. § (2) bekezdése alapján 30 napos határidő áll rendelkezésre.
Forrás: SZTFH
A nyilvántartásba vétel módját a SZTFH által közzétett 23/2023. (XII. 19.) rendelet szabályozza. A rendelet itt érhető el: https://njt.hu/jogszabaly/2023-23-20-8K
A nyilvántartásba vétel helye: https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/
Forrás: SZTFH