NIS2 szabályozásához kapcsolódó rendeletek

A Magyar Közlöny 68. számában két olyan rendelet is megjelent, amely a NIS2 szabályozásához kapcsolódik. Ezek közül az egyik az auditorokkal szemben támasztott követelményekről, a másik pedig az információs rendszerek biztonsági osztályba sorolásáról szól.

A 7/2024. (VI. 24.) SZTFH rendelet alapján a Szabályozott Tevékenységek Felügyeleti Hatósága fogja elvégezni a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását. A jogszabály szerint minden auditor cégnek rendelkeznie kell a következőkkel:

  1. két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
  2. információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
  3. a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
  4. törlési eljárásrenddel

A feltételek függenek attól, hogy milyen biztonsági osztályba sorolt rendszerekre kívánja végezni az auditor a tevékenységet. Ez alapján két csoport különíthető el:

  1. alap biztonsági osztály: két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség
  2. jelentős biztonsági osztály: tíz szakértőre, 50 millió forintos felelősségbiztosításra és 15 referenciára van szükség

Minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a telephelybiztonsági tanúsítvány (tbt).

A 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szól, amely a Miniszterelnöki Kabinetirodát vezető miniszter által kerül kiadásra.

A rendelet 2. melléklete a következő kategóriákat határozza meg a védelmi intézkedésekhez:

  1. programmenedzsment
  2. hozzáférés-felügyelet
  3. tudatosság és képzés
  4. naplózás és elszámoltathatóság
  5. értékelés, engedélyezés és monitorozás
  6. konfigurációkezelés
  7. készenléti tervezés
  8. azonosítás és hitelesítés
  9. biztonsági események kezelése
  10. karbantartás
  11. adathordozók védelme
  12. fizikai és környezeti védelem
  13. tervezés
  14. személyi biztonság
  15. kockázatkezelés
  16. rendszer- és szolgáltatásbeszerzés
  17. rendszer és kommunikációvédelem
  18. rendszer- és információsértetlenség
  19. ellátási lánc kockázatkezelése
SUNGAITOTO situs toto Situs Togel Terbesar toto togel toto togel toto slot situs toto bandar togel situs toto toto slot