Kedves Olvasó, nem vagy egyszerű helyzetben a hatósághoz NIS2-érintettsége kapcsán bejelentkezett háromezer-valahányszáz magyar cég egyikének képviselőjeként. Az MK rendeletben[1] részletezett kontrollrendszer pontjait még végigolvasni sem egyszerű feladat, nemhogy értelmezni és megvalósítani. (Minden bizonnyal ezért is népszerűek a NIS2-es felkészítési szolgáltatásaink…)

Az alábbiakban viszont nem a kontrollrendszer csodáiról és furcsaságairól szeretnék megemlékezni, hanem a jogszabályi környezet egyéb szépségeiről, azokról a kis különbségekről, amelyeket első (második, harmadik…) olvasásra talán észre sem vettél jogi vénával nem rendelkező informatikai vezetőként, akinek még egy IBF sapkát is tettek a fejére.

Egyáltalán lehetsz-e délután a biztonság lángsugarú pallosát hatékonyan villogtató IBF, ha délelőtt még az ügyvezetőnél kilincseltél költségkeretért supporthosszabbításra (sokadszorra), ebédszünetben meg a haldokló mentőrendszerbe próbáltál lelket verni a kollégákkal? Ilyenkor vágyakozva gondolsz a Kibertv.[2] által előírt IBF-összeférhetetlenségre, de nem vagy biztos benne, hogy ez a pont Rád is érvényes-e, mert belealudtál a jogszabályböngészésbe az elmúlt hétvégén is.

Az alábbiakban szeretnék kicsit segíteni eligazodni a kontrollrendszeren túlmutató követelmények között, például abban, hogy meg tudsz-e szabadulni az IBF szerepkörtől a jogszabály alapján. Nézzük tehát, melyek a különbségek az érintett szervezetek között a kötelezettségek terén!

[1] 7/2024. (VI.24) MK r.

[2] 2024. évi LXIX tv., a „hivatalos rövid neve” Kiberbiztonsági tv., de még ez is túl hosszú, így a bejegyzésben csak Kibertv.-ként hivatkozom rá.

Találd meg Önmagad!

Noha ez blogbejegyzés nem önismereti jellegű, a Kibertv. és a kapcsolódó rendelet[1] értelmezésének első számú szabályaként azt tudom tanácsolni: találd meg Önmagad. Konkrétabban: nézd meg pontosan, a Kibertv. mely pontja(i) alapján vagy tagja a Kiválasztottak Társaságának. Sok fog múlni rajta. Ehhez szerencsére nem kell sokáig olvasni, csak az 1.§ (1)-ig:

• Az a) ponthoz lista tartozik, sima ügy, nézd meg a mellékletet. Ha minisztériumi, önkormányzati ember vagy, esetleg Te fejleszted a DÁP-ot vagy üzemelteted a Kormányzati Adatközpontot, ebben a ligában focizol.
• A b) pontban az állami gazdálkodó szervezetek vannak, mérettől függően. Ha a Postát, a MÁV-ot képviseled, nincs menekvés, ha 50 fő alatti céget kis bevétellel, lefelé kicsusszanhatsz.
• A c) pontban tartja fenn magának a jogot a hatóság, hogy kijelöljön akkor is, ha már azt hitted, megúsztad.

(Mindenképp kérj fizetésemelést, ha kritikus szervezetnek vagytok kijelölve[2], ekkor a Kibertv.-előírások betartása mellett többek között minőség- környezet- és biztonságirányítási rendszerrel is rendelkeznetek kell, valamint több hatóság is jár Hozzátok ellenőrizni. Brrr.)

• A d) és az e) pontok hivatkozott táblázatait is érdemes áttanulmányozni: az érintettek döntő többsége ide esik a megfelelő iparág szerint, egyes tevékenységeknél akár méretfüggetlenül.
• Az f) alá tartozol, ha néha zöld emberek lepik el az igazgatóság folyosóját. Nem érhet meglepetésként, hogy a honvédelmi érdekeltség miatt vagy érintett.

Hasonlók, kilógók és kicsit mások

A fenti, a)-c)+f) pontokhoz sorolt szervezetek nagyjából eddig is valamilyen törvényi felügyelet, kontroll alatt álltak (többségében az „ötvenes[3]” miatt). Általában a Kibertv. is szigorúbb szabályokat alkalmaz ezekkel szemben (bocsánat, helyesbítek: ezek érdekében). Felületes olvasás alapján a Kibertv. így két nagy csoportot különböztet meg, az a)-c)+f) és a d)+e) pontos szervezeteket. Ez csak nagyjából igaz, mert ezeken belül is jelentős különbségekkel szembesülhetsz.

Kapásból könnyítést jelent, ha nem alapvető[4], hanem csak fontos[5] szervezeti kategóriában vagy (pl. 20.000 fősnél kisebb település önkormányzata).

Ki felügyel?

Kiberbiztonsági felügyeleti szervekből gazdagon el vagyunk látva: az a)-c) pontos szervezeteket az NBSZ NKI, a d)+e) pontosakat az SZTFH, az f)-eseket a KNBSZ felügyeli[6].

Felügyeleti díjat[7] (jobbára) csak az SZTFH alá tartozók fizetnek.

Mikor úszhatod meg az auditot[8]?

Ha a), illetve c) pontos a szervezeted, vagy ha honvédelmi érintettségű a rendszered, azaz f) pontos vagy, nem kötelező a független audit elvégeztetése, így ezen is spórolsz néhány (néhányszor tíz) milliót. Ennek ellenére ilyenkor is érdemes átnézetni a rendszert és a kontrollokat egy „külső szemmel”, mert az NKI vagy a KNBSZ mindenképp behajtja azokat.

Könnyítés a kicsiknek

Ha nem alapvető, de azért fontos a)-c) szerinti szervezet vagy, nem szükséges[9] a teljes körű kockázatmenedzsment és a rendszerek osztályba sorolása, elég az „alap” osztály kontrolljait megvalósítani.

IBF különbségek

Térjünk vissza a bevezetőben említett dilemmára: milyen (szervezettípusonként eltérő) szabályok vonatkoznak az IBF-re[10]?

Az a)-c)+f) szervezeteknél a pozíció betöltése végzettséghez is kötött (a többieknél csak erkölcsihez, meg cselekvőképességhez, bár ez utóbbiban sok IBF érzi szűkösek a lehetőségeit). Az IBF szerepkör olyannyira összeférhetetlen az informatikai üzemeltetési és gazdasági pozíciókkal, hogy az IBF ilyet betöltő vezető alárendeltje sem lehet. (A fontos a)-c)-s cégek azonban összeférhetetlenségi felmentést kapnak.)

Az IBF funkciót ki is lehet szervezni. A külsős IBF-nek az alapvető szervezeteknél kéthavonta, a fontos szervezeteknél háromhavonta személyesen is meg kell jelenni[11] (ez azonban csak az a)-c)+f) szervezetekre és a kritikus szervezetekre vonatkozó kitétel).

Pénzügyi segítség

Pozitív gondolkodású IBF-ként a lehetőséget is vedd észre a jogszabályban: ha a)-c) szerinti a szervezet, nincs apelláta, az éves informatikai fejlesztési költségvetés 5%-át kiberbiztonsági soron kell elkölteni[12]!

Enyhülő felhőhelyzet plusz feladatokkal

Kormányzati körökben a felhő a Kibertv. hatályba lépéséig gyakorlatilag csak az időjárás-jelentésben szerepelhetett. A tarthatatlan helyzet az új szabályozással megváltozott.  A „nincs felhő” mondás lazítása miatti első feladat, hogy egyes szervezeteknek az EIR-ek osztályba sorolása mellett azok adatait (teljes adattartalmát) is osztályozni kell[13]: az a) szervezeteknél minden esetben, b)+c)+f) szervezeteknél csak a külföldi adatkezelés, a publikus felhő igénybe vételét megelőzően.

A külföldi, illetve publikus felhős adatkezelés előtt a b)+c)+f) szervezeteknek minimum kilépési tervet, az a) pontosoknak ezen felül költség-haszon elemzést is készíteniük kell.

Más szervezetekre ilyen kötelezettség nincs, de belátható, hogy jó azt előre tudni, hogyan és milyen költségen szabadulhatsz meg a szolgáltatódtól, ha egyszer valami miatt búcsút szeretnél venni tőle.

Sérülékenységvizsgálat

Az a)+c) szervezetek sérülékenységvizsgálatait[14] alapesetben az NKI végezheti[15]. Az NKI kapacitáshiányban engedélyezheti az SZTFH e célból vezetett nyilvántartásában[16] szereplő, sérülékenységvizsgálatot végző gazdálkodó szervezetek igénybe vételét. A megyei jogú városok, a fővárosi kerületi önkormányzatok és a települések önkormányzatainak eleve az SZTFH-listás sérülékenységvizsgáló cégekhez kell fordulniuk.

 Az f) pont szerinti szervezeteket a honvédelmi kiberbiztonsági incidenskezelő központ vizsgálja, a „hadititkok” (ciki osztályú sérülékenységek) házon belül tartása miatt.

A b)+d)+e) társaságok szabadjára vannak engedve, a Kibertv. nem ír elő kötelezően választandó sérülékenységvizsgáló céget. Jöhettek akár hozzánk is.

Incidensek megelőzése

Az a)-c) szervezeteket az NKI kötelezheti prevenciós eszközeinek igénybe vételére[17], pl. az EWS (korai figyelmeztető rendszer) vagy csapdarendszer/honeypot használatára.

Incidensek bejelentése[18]

Ha az a)-c)+f) pontba tartozol, le fogod DoS-olni az NKI-t, mert minden bekövetkezett, illetve a tudomásodra jutott fenyegetést, kiberbiztonsági incidensközeli helyzetet és incidenst – beleértve az üzemeltetési kiberbiztonsági incidenst is – haladéktalanul be kell jelentened.

A d)+e) cégekre a bejelentési kötelezettség csak akkor áll, ha az incidens súlyos működési/szolgáltatási zavart okoz, vagy a vagyoni/nem vagyoni kár jelentős. (Sunnyogni azért ezeknél a társaságoknál sem érdemes, az NKI alapvetően segíteni és nem büntetni akar.)

(+1: Ne felejtsd, hogy ha egyben kritikus szervezet is vagy, az incidens a katasztrófavédelem felé is bejelentendő.)

Incidensek kezelése[19]

Ha rendelkezel a megfelelő szaktudással, valamint a)-c)+kritikus szervezet esetében nemzetbiztonsági átvilágítással is, Magad is lehetsz az incidenseid kezelője.

Ezek hiányában az NKI / KNBSZ, az ágazati incidenskezelő központok, illetve sz SZTFH-s „incidenskezelés nyújtására felkent gazdálkodó szervezetek” listán lévő cégek nyújthatnak Számodra incidenskezelési szolgáltatást.

d)-e) esetben – amennyiben külső incidenskezelőt akarsz igénybe venni – SZTFH-s listás szolgáltatóval kell kezdened, de ha beletörik a bicskája a feladatba, mehetsz tovább az ágazati incidenskezelő vagy az NKI felé.

a)-c) esetben a szolgáltató esetleges betlizését nem kell megvárni, akár rögtön lehet az ágazati incidenskezelő vagy az NKI felé fordulni.

Elkelhet a segítség

A fentiekben egy rövid, felületes zanzát tudtam csak adni a Kibertv. szervezetfüggő szabályaiból, kötelezettségeiből. Kimaradt számos specialitás, pl. a Vbö.[20] alapján kijelölt szervezetek kezelése, amely hasonló a kritikusakéhoz (nem a fizetésemelést értve), és számos kivétel-a-kivételben-azonban-ha (szaknyelven: elif) eset. Ha már a fenti összefoglalóban is elkavarodtál, ne szégyelld, ne várj az auditig, keress meg minket. Segítünk.

-danipityu-

[1] 418/2024. (XII.23) Kr.

[2] 2024. évi LXXXIV. tv. alapján

[3] 2013. évi L. tv.

[4] Kibertv. 1.§ (4)

[5] Kibertv. 1.§ (5)

[6] Kibertv. 23.§

[7] Kibertv. 7.§

[8] Kibertv. 16.§

[9] Kibertv. 6.§ (10)

[10] Kibertv. 11.§

[11] 418/2024 (XII.23) Kr. 12.§ (3)

[12] Kibertv. 6.§ (5) i)

[13] Kibertv. 9.§

[14] Kibertv. 57.§

[15] Kibertv. 57.§ (5)

[16] 5/2025. (VI.20) SZFTH r.

[17] Kibertv. 65.§

[18] Kibertv. 66.§

[19] Kibertv. 70.§

[20] 2021. évi XCIII. tv.