Kiberbiztonság: Meddig kell elkészülnie a kötelező auditnak?

Elfogadták azt a rendeletet, amely értelmében a NIS2 irányelv kiberbiztonsági követelményeinek teljesítése érdekében további fél év felkészülési időt kap az a több ezer szervezet, amelynek az idén év végig kellett volna elvégeztetnie a kiberbiztonsági auditot. Mutatjuk milyen határidőkre kell figyelni.

Innentől az kiadvány előfizetéshez kötött tartalmát olvassa.

Az uniós kiberbiztonsági irányelvre (NIS2) épülő magyar kiberbiztonsági törvény értelmében az érintett (a törvény 16. paragrafusában felsorolt) szervezetek kiberbiztonsági auditra kötelezettek. A jogszabályváltozás lényegében az ennek lefolytatására vonatkozó határidőt módosította. Az új előírás alapján

  • azon érintett intézmények, amelyek 2025. január 1-je előtt kezdték meg működésüket, 2026. június 30-áig kötelesek teljesíteni ezt az előírást;
  • azon szervezetek, amelyek 2025. január 1-je után indultak, az első kiberbiztonsági auditot a nyilvántartásba vételtől számított két éven belül kötelesek elvégeztetni.

Fontos, hogy a megfelelő auditori kapacitások biztosításának és optimális kihasználásának érdekében új kötelezettség is megjelent: az érintett szervezeteknek az általuk választott auditorral 2025. augusztus 31-éig szerződést kell kötniük a kiberbiztonsági audit lefolytatására.

Jogszabályi keretrendszer

Az Európai Unió kibervédelmi képességeinek megerősítése és a növekvő kiberfenyegetésekkel szembeni védelem érdekében a megelőző évtizedben felülvizsgálta korábbi hálózat- és információbiztonsági irányelvét (Network and Information Systems Directive, NIS), és 2016-ban elfogadták ennek új változatát, a NIS2 irányelvet.

A felülvizsgált kibervédelmi irányelv 2023. január 16-án lépett hatályba, az uniós tagállamok 2024 októberéig kaptak időt arra, hogy a nemzeti jogba átültessék az előírásokat.

Magyarországon az új kibervédelmi törvény – amely a NIS2 szabályait a hazai jogrendszerbe átülteti – tavaly év végén jelent meg. Ez ugyanakkor egy keretrendszert teremt, de nem tartalmazza a részletszabályokat. A részleteket a törvény alapján születő kormány-, miniszteri és a kiberbiztonsági felügyeletet ellátó Nemzetbiztonsági Szakszolgálat és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) elnökének a rendeletei tartalmazzák.

Érintett szervezetek

A NIS2 irányelv alapján a kiemelten kockázatos és a kockázatos ágazatokban tevékenykedő szervezeteknek meghatározott kiberbiztonsági követelményeknek kell megfelelniük.

A kiemelten kockázatos kategóriába sorolt ágazatok:

  • az energetika,
  • a közlekedés,
  • az egészségügy,
  • az ivóvíz,
  • a szennyvíz,
  • a hírközlési szolgáltatás,
  • a digitális infrastruktúra,
  • a kihelyezett infokommunikáció, és
  • az űripar.

A kockázatos kategóriába sorolt ágazatok

  • a postai és futárszolgálatok;
  • az élelmiszer előállítása, feldolgozása és forgalmazása;
  • a hulladékgazdálkodás;
  • a vegyszerek előállítása és forgalmazása, gyártása;
  • a digitális szolgáltatás; és
  • a kutatás.

Az előírások az 50 főnél több munkavállalót foglalkoztató, legalább 10 millió eurós éves árbevétellel rendelkező cégekre és minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából kritikus feladatokat látnak el.

Mérettől és foglalkoztatotti létszámtól függetlenül ide soroltak

  • az elektronikus hírközlési szolgáltatók,
  • a bizalmi szolgáltatók,
  • a DNS-szolgáltatók,
  • a legfelső szintű doménnév-nyilvántartó, és a doménnév-regisztrációt végző szolgáltatók is.

Önbevalláson alapuló regisztráció

Azoknak a szervezeteknek, akik az előbbiek alapján a törvény hatálya alá tartoznak a terület felügyeletét ellátó intézménynél, az  SZTFH online felületén regisztrálniuk kell. (Személyes és postai ügyintézésre nincs mód.) Tavaly ezt három-négy ezer szervezet tette meg, pontos adatot erről eddig nem közöltek. Bár a regisztráció önbevallásra épül, nem célszerű negligálni a kötelezettséget, az ennek elmulasztása miatti bírság akár 150 millió forint is lehet.

Az érintettek kötelezettségei

A kötelezettség – nagyon leegyszerűsítve – az, hogy informatikai rendszerek biztonságosak legyenek. Az előírások szintjén az érintett szervezeteknek rendelkezniük kell információbiztonsági felelőssel, át kell világítaniuk biztonsági rendszereiket, a kockázatok alapján osztályokba kell sorolniuk azokat, továbbá meg kell alkotniuk az érintett rendszerekkel kapcsolatos adminisztratív, logikai és fizikai védelmi intézkedési terveket.

Azt pedig, hogy mindez megfelelő kiberbiztonsági keretrendszert teremt, igazolniuk kell kiberbiztonsági audittal. Ennek az auditnak kellett volna elkészülnie a működésüket 2025 előtt megkezdő érintett szervezeteknek, amennyiben a nemrég bejelentett jogszabályi módosítás elmarad.

Hasznos volt a cikkünk? Iratkozzon fel az Útmutató cégvezetőknek hírösszefoglalóra, és rendszeresen küldünk hasonlóan értékes tartalmakat.

Hozzászólások
2026 23. lapszám