Szerző: BOLCSÓ DÁNIEL
2024.08.01.
„Politikailag nyilván nem elegáns ráírni valakire a szabályokat, de mit tudok csinálni? Volt idő, amikor dühöngtem rajta, ma már leszarom, ugrálhatok, de semmi se lesz másképp. De annyi előnye van, hogy legalább kiszorulnak a szerencselovagok, és nem kell majd félnótás, felelőtlen hülyékkel versenyezni”
– mondta egy kiberbiztonsági auditálásokat is végző nagy IT-cég vezetője a Telexnek, és a mondatai jól összefoglalják egy épp kialakulóban lévő piac szabályozásának felemás megítélését a szakmában.
NIS2 – ez a kulcsszó, amely önnek talán nem sokat mond, de több ezer magyar céget húsba vágóan fog érinteni, illetve érintett már az elmúlt évben is, hogy idejében felkészülhessenek rá. Ez egy uniós irányelv, a célja, hogy közös EU-s szabályokkal garantálja a legfontosabb ágazatok szereplőinek kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része lesz egy kiberbiztonsági audit, ami azt hivatott igazolni, hogy az érintett cégek rendszerei biztonságosan működnek. Ezt az auditot jövő évtől kétévente el kell majd végeztetni. Elvégeztetni pedig azzal lehet, aki megfelel az auditorok iránt támasztott követelményeknek.
Az érintett cégek alacsony, jelentős vagy magas osztályba fognak tartozni aszerint, mennyire veszélyeztetettek. Az illetékes hatóság június végén tette közzé, hogy melyik osztály auditálásához milyen követelményeknek kell megfelelni. A kiberbiztonsági szakma általános egyetértéssel fogadta, hogy nagyobb hangsúly kerül a kiberbiztonságra, és sokan azt is pozitívumnak tartják, hogy az auditálást nem végezheti majd akárki. Azt azonban már sokan rossz szemmel nézik, hogy
a legmagasabb kategóriába tartozó vállalatokat egyetlen cég auditálhatja majd: a Rogán Antal kabinetminiszterhez ezer szálon kötődő Hunguard.
Ha ezen a ponton kezd ismerősen csengeni a sztori, az azért lehet, mert tavaly ősszel már írtunk egy hasonlóról: épp egy évvel ezelőtt változtak – már nem először – úgy a jogszabályok, hogy a pénzügyi intézmények kiberbiztonsági tanúsítását 2016 óta uraló Hunguard évekre egyeduralkodó lehessen a piacon.
Valami hasonló körvonalazódik most is, de vannak azért fontos különbségek. Egyrészt itt nagyobb piacról van szó. Másrészt a Hunguard nem egyedüli szereplő lesz, csak éppen a legnagyobb bevételt jelentő kategória auditálását nem fogja tudni senki más elvégezni (és a középsőét sem sokan). Harmadrészt a tavalyi sztoriban szereplő örök második, a Certop, ezúttal valószínűleg nem fog bezavarni, már csak azért sem, mert épp most került egy szintén Rogán-közeli tulajdonos kezébe, és úgy tudjuk, már alakul is az együttműködés a két cég között.
Új uniós kiberbiztonsági rend formálódik
Ahhoz, hogy érthető legyen, ki és hogyan kerülhet helyzetbe a kiberbiztonsági auditálás új piacán, röviden ki kell térnünk arra, hogy egyáltalán milyen piacról is van szó, és mi értelme ennek az egésznek – mert arról, hogy nagyon is sok, nincs vita a szakmában.
Az utóbbi néhány évben az Európai Unió nagy erőkkel dolgozik egy új kiberbiztonsági keretrendszer létrehozásán és bevezetésén, hogy a tagállamok egységes szabályok szerint, összehangoltan és hatékonyabban tudjanak fellépni a kiberfenyegetések ellen. Ehhez a tagállamoknak is lépniük kell, hogy végrehajtsák a 2019-es uniós kiberbiztonsági rendeletet, és megfeleljenek a 2022-es NIS2 irányelvnek.
Magyarország az elsők között kezdte el kialakítani az ehhez szükséges jogszabályi környezetet. A kiberbiztonsági szabályok felett őrködő hatóságként a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelölték ki, tavaly májusban pedig életbe lépett a hazai kiberbiztonsági szabályozás új szentírása, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, azaz ahogy emlegetni szokták, a kibertantörvény.
Ahogy a törvény nevéből is látszik, az épp kiépülő rendszernek két pillére van, a kiberbiztonsági tanúsítás és a kiberbiztonsági felügyelet...
Nincsenek megjegyzések:
Megjegyzés küldése
Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.