Cookie / Süti tájékoztató
Kedves Látogató! Tájékoztatjuk, hogy az dkik.hu honlap felhasználói élmény fokozásának érdekében cookie-kat alkalmazunk. A honlapunk használatával ön a tájékoztatásunkat tudomásul veszi.
bővebben
Elfogadom
AA

Megjelentek a NIS2 szabályozásához kapcsolódó rendeletek

2024. július 09.

A Magyar Közlöny 68. számában két olyan rendelet is megjelent, amely a NIS2 szabályozásához kapcsolódik, az egyik az auditorokkal szemben támasztott követelményekről, a másik pedig az információs rendszerek biztonsági osztályba sorolásáról szól.

A Magyar Közlöny 68. számában két olyan rendelet jelent meg, amely a NIS2 szabályozásához kapcsolódik.

A 7/2024. (VI. 24.) SZTFH rendelet alapján a Szabályozott Tevékenységek Felügyeleti Hatósága fogja elvégezni a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását. A jogszabály szerint minden auditor cégnek rendelkeznie kell a következőkkel:

  • két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
  • információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
  • a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
  • törlési eljárásrenddel

A feltételek függenek attól, hogy milyen biztonsági osztályba sorolt rendszerekre kívánja végezni az auditor a tevékenységet. Ez alapján két csoport különíthető el:

  • alap biztonsági osztály: két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség
  • jelentős biztonsági osztály: tíz szakértőre, 50 millió forintos felelősségbiztosításra és 15 referenciára van szükség

Minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a telephelybiztonsági tanúsítvány (tbt).

A 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szól, amely a Miniszterelnöki Kabinetirodát vezető miniszter által kerül kiadásra.

A rendelet 2. melléklete a következő kategóriákat határozza meg a védelmi intézkedésekhez:

  • programmenedzsment
  • hozzáférés-felügyelet
  • tudatosság és képzés
  • naplózás és elszámoltathatóság
  • értékelés, engedélyezés és monitorozás
  • konfigurációkezelés
  • készenléti tervezés
  • azonosítás és hitelesítés
  • biztonsági események kezelése
  • karbantartás
  • adathordozók védelme
  • fizikai és környezeti védelem
  • tervezés
  • személyi biztonság
  • kockázatkezelés
  • rendszer- és szolgáltatásbeszerzés
  • rendszer és kommunikációvédelem
  • rendszer- és információsértetlenség
  • ellátási lánc kockázatkezelése