Weboldalunk a használat elősegítése és a jobb felhasználói élmény érdekében sütiket, "cookie"-kat használ.
További információkat Adatkezelési nyilatkozatunkban talál.

NIS2 szabályozásához kapcsolódó rendeletek

A Magyar Közlöny 68. számában két olyan rendelet is megjelent, amely a NIS2 szabályozásához kapcsolódik. Ezek közül az egyik az auditorokkal szemben támasztott követelményekről, a másik pedig az információs rendszerek biztonsági osztályba sorolásáról szól.

A 7/2024. (VI. 24.) SZTFH rendelet alapján a Szabályozott Tevékenységek Felügyeleti Hatósága fogja elvégezni a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását. A jogszabály szerint minden auditor cégnek rendelkeznie kell a következőkkel: 

1. két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
2. információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
3. a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
4. törlési eljárásrenddel

A feltételek függenek attól, hogy milyen biztonsági osztályba sorolt rendszerekre kívánja végezni az auditor a tevékenységet. Ez alapján két csoport különíthető el:

1. alap biztonsági osztály: két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség
2. jelentős biztonsági osztály: tíz szakértőre, 50 millió forintos felelősségbiztosításra és 15 referenciára van szükség
Minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a telephelybiztonsági tanúsítvány (tbt).

A 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szól, amely a Miniszterelnöki Kabinetirodát vezető miniszter által kerül kiadásra. 

A rendelet 2. melléklete a következő kategóriákat határozza meg a védelmi intézkedésekhez:

  • programmenedzsment
  • hozzáférés-felügyelet
  • tudatosság és képzés
  • naplózás és elszámoltathatóság
  • értékelés, engedélyezés és monitorozás
  • konfigurációkezelés
  • készenléti tervezés
  • azonosítás és hitelesítés
  • biztonsági események kezelése
  • karbantartás
  • adathordozók védelme
  • fizikai és környezeti védelem
  • tervezés
  • személyi biztonság
  • kockázatkezelés
  • rendszer- és szolgáltatásbeszerzés
  • rendszer és kommunikációvédelem
  • rendszer- és információsértetlenség
  • ellátási lánc kockázatkezelése


Vissza az előző oldalra