A Magyar Közlöny 68. számában két olyan rendelet is megjelent, amely a NIS2 szabályozásához kapcsolódik. Ezek közül az egyik az auditorokkal szemben támasztott követelményekről, a másik pedig az információs rendszerek biztonsági osztályba sorolásáról szól.
A 7/2024. (VI. 24.) SZTFH rendelet alapján a Szabályozott Tevékenységek Felügyeleti Hatósága fogja elvégezni a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását. A jogszabály szerint minden auditor cégnek rendelkeznie kell a következőkkel:
- két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
- információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
- a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
- törlési eljárásrenddel
A feltételek függenek attól, hogy milyen biztonsági osztályba sorolt rendszerekre kívánja végezni az auditor a tevékenységet. Ez alapján két csoport különíthető el:
- alap biztonsági osztály: két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség
- jelentős biztonsági osztály: tíz szakértőre, 50 millió forintos felelősségbiztosításra és 15 referenciára van szükség
Minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a telephelybiztonsági tanúsítvány (tbt).
A 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szól, amely a Miniszterelnöki Kabinetirodát vezető miniszter által kerül kiadásra.
A rendelet 2. melléklete a következő kategóriákat határozza meg a védelmi intézkedésekhez:
- programmenedzsment
- hozzáférés-felügyelet
- tudatosság és képzés
- naplózás és elszámoltathatóság
- értékelés, engedélyezés és monitorozás
- konfigurációkezelés
- készenléti tervezés
- azonosítás és hitelesítés
- biztonsági események kezelése
- karbantartás
- adathordozók védelme
- fizikai és környezeti védelem
- tervezés
- személyi biztonság
- kockázatkezelés
- rendszer- és szolgáltatásbeszerzés
- rendszer és kommunikációvédelem
- rendszer- és információsértetlenség
- ellátási lánc kockázatkezelése