Az egyre összetettebb és kifinomultabb kiberfenyegetések riasztó adatai soha nem látott mértékben hívják fel a figyelmet a robusztus kiberbiztonsági intézkedések, a proaktív fenyegetés-felderítés és a kockázatkezelés átfogó megközelítésének fontosságára. A szervezeteknek ébernek kell maradniuk, folyamatosan aktualizálni kell biztonsági stratégiáikat, a legújabb technológiákba és módszerekbe kell fektetniük a fejlődő kiberfenyegetések elleni védelem érdekében. De mégis hogyan, mit kell, és mit lehet tenni a törvényi előírásokkal összhangban? A konkrét lépések sok mindentől függnek, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló "Kibertan" törvénnyel kapcsolatos kérdéseinkre a Szabályozott Tevékenységek Felügyeleti Hatóságnak (SZTFH) szakembere, Bor Olivér válaszolt.
ComputerTrends: Miért kulcsfontosságú az uniós szintű szabályozás és beavatkozás?
Bor Olivér: A kiberfenyegetések nem ismernek országhatárokat, viszont a széttagolt megközelítések további sebezhetőséget okozhatnak, ezért elengedhetetlen az együttműködés és az információmegosztás a létfontosságú infrastruktúrák és a gazdaság, valamint a felhasználók védelme érdekében. A kibertámadások terjedése nemcsak az egyes vállalkozásokra és szervezetekre, hanem egész nemzetek stabilitására és biztonságára is jelentős fenyegetést jelent. Mivel ezek a támadások egyre kifinomultabbá és szélesebb körűvé válnak, az Európai Unió (EU) számára elengedhetetlen és egyben felelőssége is, hogy proaktív intézkedéseket hozzon e sürgető probléma kezelésére. A kibertámadások trendjeiből és főleg azok számosságából következik, hogy abszolút eljött az idő a cselekvésre, aminek a szabályozás jelentheti az egyik alapját. Ehhez persze aztán kellenek majd az érintett szervezetek és a Hatóságok is, sőt a két fél szoros együttműködése és közös gondolkodása is. Együtt, közösen tudunk tenni egy biztonságosabb kibertérért.
CT: A 2016/1148 hálózat- és információbiztonsági EU-s irányelv (NIS) mérföldkőnek számító jogszabály volt, amelynek célja a kiberbiztonsági képességek és az ellenálló képesség fokozása az Európai Unióban (EU), miért nem vált be?
Bor Olivér: Bár a 2016-os hálózat- és információbiztonságról szóló irányelv komoly fejlődést jelentett a kiberbiztonsági kihívások kezelésében, számos problémával szembesült, amelyek akadályozták hatékonyságát, és szükségessé tették a NIS2 bevezetését. Tény, hogy nagy előrelépést jelentett a kiberbiztonság fokozásában, a hatály, a harmonizáció és a végrehajtás terén korlátokba ütközött így nem hozta meg a várt fordulatot. Az irányelv statikus jellege és az újonnan megjelenő fenyegetésekhez való alkalmazkodásra való képtelensége miatt nem volt elegendő az uniós tagállamok előtt álló, változó kiberbiztonsági kihívások kezeléséhez. Valamint talán még az érintetti kört emelném ki, ami - mai szemmel nézve - hazánkban nem volt túl bő.
CT: Az alapvető kiberhigiéniai szabályok kialakulását a 2019/881 EU rendelet sem segített előmozdítani?
Bor Olivér: A fokozott digitalizáció miatt a kiberbiztonság az előttünk álló korszak egyik legnagyobb stratégiai kihívása. A 2021. évi törvénymódosítás az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és a tanácsi rendeletben foglalt határidő betartását szolgálta, a kiberbiztonság érdemi újraszabályozására nem tett kísérletet, miközben a kibertámadások egyre kifinomultabbak, gyakoribbak és változatosabbak lettek. A digitális jelenlét miatt egyre inkább gyarapodó veszélyek okozta károk megelőzése érdekében elengedhetetlen, hogy a nemzetállamok - a nemzetközi szervezetekkel kooperálva - egyre nagyobb mértékben dolgozzanak saját kiberbiztonságuk megerősítésén, ellenálló képességük fejlesztésén és az állampolgárok kiberbiztonsági tudatosításán. Az incidensek növekvő összetettsége és súlyossága újabb összehangolt és átfogó uniós szintű válaszlépéseket tett szükségessé. A NIS2-t azért vezették be, hogy orvosolja a hiányosságokat, de a 2016-os NIS-irányelv által lefektetett alapokra építsen. A NIS2 kiterjeszti a kiberbiztonsági szabályozás hatályát az ágazatok és szervezetek szélesebb körére, emellett megerősíti a végrehajtási mechanizmusokat, egyértelműbbé teszi a jelentéstételi követelményeket, és előmozdítja a tagállamok közötti nagyobb fokú harmonizációt és együttműködést.
A NIS irányelv "hiányosságaira" reagálva a Bizottság 2020 decemberében javaslatot tett egy felülvizsgált szabálykészlet megalkotására, amelynek célja az Európai Unió kiber-ellenálló képességének megerősítése volt. A javaslatot illetően a társ jogalkotók 2022. május 13-án politikai megállapodásra jutottak és 2022 év végén pedig hivatalosan is elfogadták az "új", NIS 2 irányelvet.
CT: Melyek a 2022/2555 (EU) irányelv által bevezetett legfontosabb előrelépések?
Bor Olivér: Ez az az irányelv, ami az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szól, tehát a NIS 2-ről beszélünk. Szóval ennek az irányelvnek az a célja, hogy megszüntesse azokat az eltéréseket, amelyek jelenleg a különböző tagállamokban mutatkoznak a kiberbiztonsági követelmények és a kiberbiztonsági intézkedések végrehajtása terén.
Ennek érdekében minimumszabályokat állapít meg a szabályozási keretre vonatkozóan, és mechanizmusokat határoz meg az egyes tagállamok illetékes hatóságai közötti hatékony együttműködéshez. Aktualizálja a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listáját, a kiberbiztonsági kockázatkezelési intézkedések és bejelentési kötelezettségek alapját képezi az irányelv hatálya alá tartozó valamennyi ágazatra, így - többek között - az energiaszektorra, a közlekedésre, az egészségügyre és a digitális infrastruktúrára nézve egyaránt. Az ágazatok és szervezetek szélesebb körével biztosítja a kiberbiztonság ellenálló képességének átfogóbb megközelítését az egész EU-ban. Megerősíti a végrehajtási mechanizmusokat és a szabályok be nem tartása esetén kiszabható szankciókat, biztosítva ezzel a nagyobb elszámoltathatóságot és ösztönözve a proaktív kiberbiztonsági intézkedéseket. Olyan rendelkezéseket tartalmaz a rendszeres felülvizsgálatra és frissítésre vonatkozóan, hogy tükrözze a változó kiberfenyegetettséget, biztosítva, hogy az EU kiberbiztonsági politikája idővel is releváns és hatékony maradjon. Elősegíti a tagállamok közötti nagyobb fokú együttműködést és információmegosztást, megkönnyítve a kiberfenyegetésekre és -eseményekre adott összehangoltabb válaszlépéseket. Szükséges még kiemelni még az ellátási láncok biztonságára tett lépéseket is, illetve a kiberbiztonsági tudatosítás, képzés fontosságát is, amelyekkel szintén nevesítve foglalkozik az irányelv.
A NIS2 nem csak egy újabb EU-s irányelv, hanem egy elengedhetetlen lépés a modern kiberbiztonsági kihívások eredményes kezelésében. Az irányelv célja még, hogy választ adjon a dinamikusan változó kiberfenyegetésekre és megteremtse azokat a keretfeltételeket, amelyek segítségével a vállalatok megfelelő védelmet biztosíthatnak az adataik és rendszereik vonatkozásában.
CT: Hazánkban ez, hogy biztosít szilárdabb keretet a kiberbiztonsági ellenálló képesség fokozásához?
Bor Olivér: A NIS2 hazai implementációjának kulcsa a Kibertan.tv, azaz a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, amely célja a kiberbiztonság új szabályozási környezetének megteremtése, a nemzeti érdekek és szuverenitási igények érvényesíthetőségének erősítése. Ez adja a kiberbiztonsági tanúsítás hazai keretrendszerét és emellett biztosítja az irányelv érvényesülését, a gazdasági élet jelentős ágazatainak szereplői számára kiberbiztonsági követelményeket határoz meg és hatósági felügyeleti rendszert vezet be. Egyfelől tehát létrehozza a nemzeti kiberbiztonsági tanúsítási keretrendszert, az infokommunikációs termékek kiberbiztonsági tanúsítására vonatkozó alapvető szabályokat, másfelől a társadalom és gazdaság működésében jelentős funkciót betöltő gazdasági szereplők, szolgáltatók biztonsági szintjét erősíti azáltal, hogy esetükben kiberbiztonsági követelményrendszert állít fel és rögzíti a követelmények betartatásához szükséges felügyeleti intézkedéseket, egyben hatósági felügyeleti rendszert vezet be a NIS2 alapján.
CT: A Kibertan.tv alapján melyek az érintett szervezetek?
Bor Olivér: Az új törvény kiemelten kockázatos (energia, közlekedés, egészségügy, víz, gyógyszeripar, digitális infrastruktúrák, kihelyezett szolgáltatók, világűr), illetve kockázatos (posta, futárszolgálatok, hulladékgazdálkodás, elektronikai gyártás, járműgyártás, élelmiszer előállítás és forgalmazás, digitális szolgáltatások, vegyipar, kutatóhelyek) ágazatokat határoz meg, továbbá a cégméretet és a bevételt is figyelembe kell venni a Kkvtv. alapján. Ez alól kivételt képeznek (mármint a méret és bevétel korlát alól) az elektronikus hírközlési szolgáltatók, a bizalmi szolgáltatók, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű domainnév-nyilvántartók, valamint a domainnév-regisztrációt végző szolgáltatók.
CT: Milyen teendőjük van a cégeknek?
Bor Olivér: Miután azonosította magát egy szervezet, és besorolta magát a biztonsági osztályok egyikébe, továbbá kijelölte a biztonságért felelős személyt (lehet munkavállaló vagy külsős személy is), össze kell gyűjtenie a szükséges műszaki és technikai adatokat, a partneri, beszállítói információkat, és ez alapján be kell nyújtania a nyilvántartásba vételi kérelmet az SZTFH irányába. Ezt a folyamatot amúgy a magyarorszag.hu-n lehet elindítani azon érintett cég munkavállalójának, aki rendelkezik hozzáféréssel a Cégkapuhoz. Fontos, hogy a vezetőknek nem elég megrendelni a kiberbiztonsági auditot, hanem azt megelőzően meg kell határozniuk a védelmi célokat is, ehhez szervezeti szabályozásokat kell bevezetniük, tudatosító oktatásokról és edukációs szintentartásról is gondoskodniuk kell. Sok vállalat esetében, még az audit előtt érdemes lehet egy tanácsadó cég bevonását kezdeményezni, aki segít a felkészülésben.
CT: Milyen határidőkre kell figyelni?
Bor Olivér: Az SZTFH 2024. január 1-től kezdte meg az érintett szervezetek nyilvántartásba vételét
(azon cégek esetében, akik ezen dátum előtt megkezdték működésüket). Az önazonosításra és a nyilvántartásba vételre 2024. június 30-ig van lehetőségük a cégeknek. Eddig a dátumig kell meghatározni a biztonsági osztályba sorolást (alap, jelentős, magas), illetve ki kell jelölnie az elektronikus információs rendszerek biztonságáért felelős személyt és feladatkörét. 2024. október 18-tól az érintett cégeknek alkalmaznia kell a törvénynek megfelelő védelmi intézkedéseket (a tagállamok 2024. október 17-ig kaptak határidőt a NIS2 implementálására), és a felügyeleti díj megfizetése is ettől a dátumtól kezdve válik esedékessé. Az érintett cégeknek pedig ez év december 31-éig meg kell kötni a szerződést a kiberbiztonsági audit vonatkozásában, amelynek legkésőbb 2025. december 31-ig el kell készülnie.
CT: Milyen szankciókra számíthatnak azok, akik nem tesznek időben eleget kötelezettségeiknek?
Bor Olivér: Hazánkban a szankciókkal kapcsolatos részletszabályok jelenleg még nem ismertek, de a NIS 2 ennek kapcsán viszont nem tréfált, akár 10 millió eurós büntetés (de legfeljebb az árbevétel 2%-ka) is kiszabható. Ebből is látszik, hogy nem érdemes majd a megúszásra, vagy az ellavírozásra játszani. Bár a részletek még tényleg nem ismertek, az azért valószínűsíthető, hogy például a bírságok összege nem lesz annyira visszafogott, mint pl. a felügyeleti díjnak az összege, ami érintett cég esetében az előző éves árbevételének 0,015%-ka, de max. 10 millió forint lehet.