5p

Megjelentek a kiberbiztonsági törvényhez kapcsolódó rendeletek, a szakértők is meglepődtek.

Június 24-én hatályossá vált a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan törvény” IT követelményrendszerét tartalmazó kormányrendelete. A NIS2 törvényhez kapcsolódó végrehajtási rendelet megjelenése egyformán jelentős lépés a jogszabállyal érintett cégek, a leendő auditorok és a tanácsadók számára is. A 120 oldalas dokumentum pontosan tartalmazza ugyanis azokat a követelményeket, amelyek alapján az érintett cégek felkészülése/felkészítése már elindítható, valamint a 2025-ben induló hatósági kiberbiztonsági audituk pedig megtervezhetővé válik. A Grant Thornton nemzetközi üzleti- és adótanácsadó cég szakértői a következőkben segítséget nyújtanak a rendelet értelmezésében.

Széles célcsoportnak készítettek szabályokat

„A rendeletben egy olyan közös követelményjegyzékről van szó, ami a NIS2 törvény hatálya alá tartozó, közel 100 tevékenységi kör valamelyiket végző társaságra egyaránt alkalmazható kell legyen. Emiatt egy meglehetősen hosszú, általános de ugyanakkor kellően részletes anyag született"

– véli Kóczé Péter a Grant Thornton digitális üzletágának vezetője.

A NIS2 hatálya alá tartozik minden olyan társaság, amely több mint 50 főt foglalkoztat, vagy több mint 10 millió euró éves árbevétellel rendelkezik és a stratégiai szempontból kockázatos ágazatok valamelyikében működik. Előzetes becslések szerint mintegy 2500-3000 gazdálkodó lehet érintett közvetlenül, de közvetve ennek akár a többszöröse is kapcsolatba kerülhet ezzel az új rendelkezéssel.

Három fejezetet találunk a csomagban

A rendelet egyrészt ismertet egy kockázatmenedzsment keretrendszert, másrészt tartalmaz egy intézkedéskatalógust és egy fenyegetéskatalógust, amelyeknek bevezetésre és alkalmazásra kell kerülni a jogszabállyal érintett vállalatoknál.

A kockázatmenedzsment fejezet azokat az alapvető lépéseket tartalmazza, amelyek ahhoz szükségesek, hogy az információs rendszereket osztályokba lehessen sorolni és nyomon lehessen követni a hozzájuk kapcsolódó biztonsági intézkedések megvalósítását. Ez a fejezet tehát a megalapozó intézkedések szabályozását jelenti. Azon cégek esetében, amelyek eddig még nem foglalkoztak mélyebben információbiztonsággal kapcsolatos kockázatkezeléssel, a fejezetet tekinthetjük egyfajta segítségnek is.

A kockázatkezelés során megszületik egy nyilvántartás a társaság által használt információs rendszerekről és minden ide bekerült rendszer besorolásra kerül a rendeletben szereplő biztonsági osztályok egyikébe (alap, jelentős, magas). Ez a három osztály, illetve maga a rendeletben szereplő kockázatmenedzsment keretrendszer is több hasonlóságot mutat már meglévő nemzetközi kockázatkezelési sztenderdekkel, ami segítheti majd az ezek közötti átjárást.

Megdöbbentően sok az elvárt biztonsági intézkedés

Az osztályba sorolás alapján kerülnek kijelölésre a rendszerekhez bevezetendő védelmi intézkedések, amelyeket a kötelező auditokon is keresni és vizsgálni fognak. Ez az “alap” védelmi osztály esetében több, mint 160, a “jelentős” esetében több, mint 300, a “magas” védelmi osztály esetében pedig már közel 400 kötelezően vizsgálandó és kontrollpontot és hozzájuk kapcsolódó intézkedést tartalmaz.

Összehasonlításképen az ISO 27001 információbiztonsági szabvány 2022 évi, legutolsó verziója 93 kontrollpontot fogalmaz meg.

Ezen kívül további, mintegy 530 olyan védelmi intézkedést is szerepeltetnek a rendeletben, amelyek használata általános esetben nem kötelező, ugyanakkor ágazattól és tevékenységi köröktől függően a társaságok megvizsgálhatják azok beépítését is az információbiztonsági irányítási rendszerükbe.

A jobb átláthatóság érdekében a védelmi intézkedéseket 19 kategóriába rendezték, úgy mint például: hozzáférés-felügyelet, képzések, rendszerek felügyelete, üzletfolytonosság, biztonsági események kezelése, ellátási lánc biztonsága, és így tovább. Minden kategória esetében elmondható, hogy a jogszabály nem csak megfelelő dokumentáltságot és világos felelősségi szerepköröket vár el az érintett társaságoktól, de szervezeti intézkedésekre és megfelelő technológiai felkészültségre is szükség lesz az auditokon való sikeres szerepléshez.

Kötelezőek, de helyettesíthetőek

„A speciális esetekre is gondolva a rendelet lehetővé teszi, hogy a társaságok bizonyos esetekben eltérhessenek a kiadott védelmi intézkedés katalógusban szereplő szabályoktól. Ilyen eset lehet például, ha az alkalmazott technológia, a működési környezet a fizikai infrastruktúra vagy egy nyilvános szolgáltatásra való tekintettel nem lehet bizonyos intézkedéseket bevezetni „ – mondja Kóczé Péter.

A speciális esetekben a társaság saját, helyettesítő biztonsági intézkedéseket alkalmazhat, de ebben az esetben még azt is dokumentálnia kell, hogy az általa alkalmazott intézkezdések mivel jobbak, mint a rendeletben foglaltak. Ezen túlmenően gondoskodnia kell a dokumentáció rendszeresen felülvizsgálatáról, hiszen a körülmények idővel változhatnak. Helyettesítő intézkedéseket a társaságok csak saját felelősségükre és a felelős vezetőjük írásos jóváhagyásával vezethetnek be.

Fájdalmas lehet a megfelelés

A megjelent rendelet is rávilágít arra, hogy a NIS2 hatálya alá tartozó társaságok egy jelentős részének komoly kihívást fog okozni a jogszabálynak való megfelelés. Számukra a kötelező védelmi intézkedések kialakítása jelentősebb erőforrásokat és leginkább számottevő időt fog igényelni, ezért célszerű minél előbb elindítani a felkészülést annak érdekében, hogy 2025-ben esedékes első hatósági auditot sikeresen teljesíthessék.

A rovat támogatója a 4iG

LEGYEN ÖN IS ELŐFIZETŐNK!

Előfizetőink máshol nem olvasott, higgadt hangvételű, tárgyilagos és
magas szakmai színvonalú tartalomhoz jutnak hozzá havonta már 1490 forintért.
Korlátlan hozzáférést adunk az Mfor.hu és a Privátbankár.hu tartalmaihoz is, a Klub csomag pedig a hirdetés nélküli olvasási lehetőséget is tartalmazza.
Mi nap mint nap bizonyítani fogunk! Legyen Ön is előfizetőnk!

Makro / Külgazdaság Teljesen leáll a debreceni Semcorp-fóliagyár, amíg nem javítják meg a tűzoltó-berendezést
Privátbankár.hu | 2026. július 3. 18:11
A tűzvédelmi hatóság azonnali hatállyal minden tevékenységet megtiltott a Semcorpban.
Makro / Külgazdaság Újabb számokat posztolt az államtitkár Szijjártó Péter magángép-bérléseiről
Privátbankár.hu | 2026. július 3. 17:44
A korábbi külügyminiszter eddig nem reagált arra, hogy négy év alatt 4 milliárd 865 millió forintot fordított bérlésre.
Makro / Külgazdaság Elviselhetetlen volt a hőség Belgiumban, nagyot ugrott a halálozások száma
Privátbankár.hu | 2026. július 3. 16:01
Szombaton tetőzött a hőhullám Belgiumban, csak aznap 572 halálesetet tulajdonítottak a hőségnek. Összesen 1222-vel többen haltak meg az erre az időszakra vonatkozó átlagnál.
Makro / Külgazdaság Ismét támogathatja az elektromosautó-vásárlást a kormány
Privátbankár.hu | 2026. július 3. 14:29
Megjöttek az uniós források, a Helyreállítási Alapból pedig zöldítenék a vállalkozók autóflottáit. 
Makro / Külgazdaság Itt az első nagy projekt a feloldott európai uniós forrásokból: Vitézy Dávid jelentette be
Privátbankár.hu | 2026. július 3. 13:30
Aláírta a budai fonódó villamoshálózat folytatásának 32,2 milliárd forint értékű európai uniós támogatási szerződését Vitézy Dávid közlekedési és beruházási miniszter.
Makro / Külgazdaság Megállt a vészjósló folyamat a benzinkutakon
Privátbankár.hu | 2026. július 3. 11:40
Szombattól nem változik sem a benzin, sem a gázolaj nagykereskedelmi ára.
Makro / Külgazdaság Megszólalt a Magyar Péter által felvázolt rémisztő hiánnyal kapcsolatban Kármán András
Privátbankár.hu | 2026. július 3. 11:19
A pénzügyminiszter a Magyar Hangnak adott interjút.
Makro / Külgazdaság Gajdos László keményen üzent az akkugyáraknak, egy új főhatóság jöhet
Privátbankár.hu | 2026. július 3. 09:10
Szeptemberben egy új, az akkumulátorgyárakat kiemelten szigorúan ellenőrző főhatóság felállítását tervezi a kormány.
Makro / Külgazdaság Örülhetnek az autósok, az év végéig még tovább eshetnek az olajárak
Privátbankár.hu | 2026. július 3. 08:58
Az amerikai székhelyű Citigroup szerint az év végére akár 60 dollárig is csökkenhet a Brent olaj ára, miután fokozatosan megszűnnek a Hormuzi-szoros körüli ellátási zavarok, és ismét a piaci fundamentumok határozzák meg az árakat. A befektetési bank ezzel több más nagy pénzintézethez hasonlóan további áresésre számít az olajpiacon, írja a Bloomberg.
Makro / Külgazdaság Brutálisan lelassult az orosz gazdasági növekedés
Privátbankár.hu | 2026. július 3. 08:35
Oroszországban májusban nőtt a kiskereskedelmi forgalom és lassult a GDP-bővülés, miközben csökkent a munkanélküliség a gazdaságfejlesztési minisztérium és a statisztikai hivatal adatai szerint.
hírlevél
Ingatlantájoló
Együttműködő partnerünk: 4iG