A kiberbiztonsági tanúsításról és felügyeletről szóló törvény – ” Kibertan-törvény” – közvetlenül csak a gazdaság nagyobb szereplőire és meghatározott területeire fókuszál, de az ellátási láncokon keresztül a cégek egy jóval szélesebb körére fog hatást gyakorolni. Most megnézzük: hogyan?
Emlékeztetőül: Mi az a NIS2?
Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el a ” 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről” alapján.
Kiket érint?
Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euró éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik. Sőt egyes ágazatokra, szolgáltatókra – így pl. az elektronikus hírközlési szolgáltatókra, mint az Opennetworks – ezek az irányelvek a vállalkozás méretétől függetlenül is kötelezők az előírások.
Hogy jönnek képbe a beszállítók?
A NIS2 nem csak szigorúbb megfelelési követelményeket fogalmaz meg a korábbiakhoz képest, de jelentősen ki is szélesíti az érintett cégek körét, valamint egy olyan ellenőrzési és szankcionálási rendszert fogalmaz meg számukra, ami nagyban hozzájárulhat ahhoz, hogy a vállalkozások komolyan is vegyék a kiberbiztonsági követelményeket.
A magyar „Kibertan-törvény” közvetlenül közel 50 főágazatot és közel 150 alágazatot sorol fel tételesen, ahol a cégmérettől függően, illetve egyes ágazatokban függetlenül a menedzsmentnek foglalkoznia kell a kiberbiztonsági érettséggel, és az azokat vizsgáló kétévenkénti hatósági auditokkal.
Az elvárt védelmi intézkedések katalógusában ugyanakkor – az érintett cég ágazatától függően – a kutatás-fejlesztésben, a tervezésben, a gyártásban/szolgáltatásban, a beszerzésben, a szállításban, az üzemeltetésben és a karbantartásban, a telekommunikációban és az informatikai területeken bevont alvállalkozókhoz kapcsolódóan is felelősséget fogalmaz meg a jogszabály: így az érintetteknek biztosítani kell a teljes ellátási láncon a megfelelőséget ezeken a területeken.
Mi a dolgod a beszállítókkal?
Reméljük nem most jössz rá, de már 2024. június 30-ig regisztrálnod kellett, ha érintett vagy. Ebben a regisztrációs folyamatban fel kellett sorolni azokat a szolgáltatókat, akik fő-tevékenységed, telekommunikáció, adattárolás és IKT rendszereid működtetésében beszállítóként, szolgáltatás nyújtóként részt vesznek (telekommunikációs partnerek, adatközpontok, informatikai fejlesztők, IKT szolgáltatások kihelyezett üzemeltetői stb.)
Ha beszállítókkal dolgozol, akkor ezek szerződéseiben is érvényesíttetni kell a szükséges intézkedéseket, sőt ezért a te céged a felelős.
Mik legyenek a lépések:
- Állíts össze egy formalevelet, amivel megkeresheted az érintett beszállítókat
- Tájékoztasd őket, hogy céged NIS2 érintett és beszállítói szerződéseid kezelése kapcsán mostantól fontos lesz az adott szállító esetében, hogy igazolhatóan érvényesítsen információ-biztonsági szempontokat tevékenységében.
- Szabj meg feltételeket: elfogadható lehet, hogy az adott cég rendelkezzen információbiztonság irányítási rendszerrel (IBIR), kérheted, hogy nyilatkozzon erről. Még jobb, ha rendelkezik erre vonatkozó valamilyen tanúsítvánnyal (pl. IOS 27001) – nyilatkoztasd erről. A megfelelőség pedig egészen biztosan biztosított lesz, ha az adott cég is NIS2 kötelezett – tedd fel ezt a kérdést is.
- A válaszok tudatában dönthetsz majd az egyes beszállítók kockázatáról kockázatelemzés keretében és:
- elfogadhatod a beszállítót pl. minősítése (ISO vagy NIS2) alapján
- előírhatod számára szerződéses kötelezettségként az ISO megfelelést, vagy akár – ha nincs más mód – auditot kérhetsz rá vonatkozóan egy harmadik féltől.
- dönthetsz arról, hogy új beszállítót választasz és a beszerzési eljárásban előírod az ISO 27001 vagy a NIS2 megfelelőséget.
Ha beszállító vagy egy NIS2 kötelezett cégnél, akkor viszont valószínűleg elegendő lesz, ha kérésre benyújtod az ISO 27001-es tanúsítványod a cégnek, ez kiválthatja a további vizsgálódást.
Még mindíg sok minden nem tisztázott, de az érintett cégek akkor járnak jól, ha nekilátnak a felkészülésnek, ahogy mi is. Ha beszállítóként, vagy ügyfélként kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!
Judit
