Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (NIS 2 irányelv), amely a belső piac működésének javítása érdekében intézkedéseket határoz meg az egységesen magas szintű kiberbiztonság Unión belüli elérése céljából a kritikus ágazatokban működő szervezetek és cégek számára. Hazai jogi implementálásaként a Magyarország kiberbiztonságáról szóló LXIX. törvény (Kiberbiztonsági tv.), amely egyúttal az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (Ibtv.) is kiváltotta, a hatálya alá tartozó szervezetek számára előírja elektronikus információs rendszer biztonságáért felelős személy (más néven információbiztonsági felelős vagy informatikai biztonsági felelős, röviden: IBF) megbízását.
A törvény hatálya alá tartozó cégeknek és egyéb szervezeteknek az új NIS 2 irányelv miatt biztosítaniuk kell, hogy a tevékenységük végzéséhez, illetve szolgáltatásaik nyújtásához használt informatikai rendszerek és hálózatok a korábbinál magasabb kiberbiztonsági szintet érjenek el. Ennek érdekében többek között kockázatelemzésen alapuló módon a kockázatokkal arányos információbiztonsági intézkedéseket kell alkalmazniuk, mint például korszerűbb titkosítási és hitelesítési megoldásokat, üzletmenet-folytonossági terveket és eljárásokat, továbbá rendszeres biztonsági oktatásokat kell tartaniuk a felhasználói tudatosság növelésére.
A bekövetkezett kiberbiztonsági incidenseket a nemzeti hatáskörben e feladatra kijelölt központi állami szerv felé be is kell jelenteniük 72 órán belül. A bejelentés elmaradását, illetve a jogszabályi előírások betartásának elmulasztását jelentős bírsággal sújthatja a kiberbiztonsági hatóság.
Cégünk 2009 óta foglalkozik információbiztonsági tanácsadással, 2013 óta pedig a vonatkozó törvények hatálya alá tartozó szervezetek számára információbiztonsági felelős biztosításával.
A felügyeleti hatóságokkal történő megfelelő és hatékony kommunikációban szintén többéves tapasztalattal rendelkezünk.
Szolgáltatásunk keretében vállaljuk az információbiztonsági felelős feladatainak szakszerű ellátását!
Információbiztonsági felelős feladatainak ellátása
Az IBF fő feladata a törvény hatálya alá tartozó szervezet információbiztonsággal összefüggő jogszabályi követelményeknek való megfelelőségét biztosítani, többek között az alábbi tevékenységek ellátásával:
- gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról;
- gondoskodik a kockázatkezelési keretrendszer szerinti tevékenységek tervezéséről, szervezéséről, koordinálásáról, elvégzéséről és ellenőrzéséről;
- előkészíti és a szervezet vezetőjének jóváhagyását követően megküldi a nemzeti kiberbiztonsági hatóság részére a szervezet információbiztonsági szabályzatát;
- előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását;
- előkészíti és a szervezet vezetőjének egyetértésével kezdeményezi a nemzeti kiberbiztonsági hatóságnál a szervezet elektronikus információs rendszereivel kapcsolatos engedélyezési eljárásokat;
- véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet elektronikus információbiztonságot érintő szabályzatait és szerződéseit;
- folyamatos és tervezett ellenőrzéseket végez annak vizsgálatára, hogy a szervezet elektronikus információbiztonságra vonatkozó belső normáiban lévő előírások hogyan valósulnak meg, ennek megállapításait írásban rögzíti a szervezet vezetője számára;
- felülvizsgálja, hogy a szervezet elektronikus információbiztonságot érintő belső szabályzatai összhangban vannak-e a hatályos jogszabályokkal és a szervezet belső szabályozóival;
- az ellenőrzések és az esetleges incidensek tapasztalatai felhasználásával – a fejlesztendő területekre vonatkozó javaslatokat tartalmazó – biztonsági helyzetértékelést készít a szervezet vezetője számára;
- kapcsolatot tart a nemzeti kiberbiztonsági hatósággal és a kiberbiztonsági incidenskezelő központtal;
- a szervezet bármely elektronikus információs rendszerét érintő incidensről tájékoztatja e rendeletben meghatározott szervet.
Az IBF-nek az ellátandó feladatok összetettsége miatt megfelelő, a jogszabályi előírásokban meghatározott szakképesítéssel és az információbiztonsági irányítási rendszer kialakításában és működtetésében, az azzal összefüggő tevékenységek (pl.: biztonsági osztályba sorolás, kockázatelemzés, szabályzatok és eljárásrendek készítése, felülvizsgálata, stb.) elvégzésében több éves megbízható szakmai gyakorlattal célszerű rendelkeznie annak érdekében, hogy a szervezet a jogszabályi követelményeket teljesíteni, s az azoknak történő megfelelését hitelesen igazolni tudja.
IBF-ként nem jelölhető ki vagy bízható meg a szervezet gazdasági vezetői feladatait ellátó személy vagy az a személy, aki a szervezeten belül informatikai üzemeltetéssel, informatikai fejlesztéssel kapcsolatos munkakört lát el, illetve ilyen személy közvetlen alárendeltségébe tartozik.
Külső szakértő (IBF) bevonásával a feladat költséghatékonyan és a jogszabályi előírásoknak megfelelően megvalósítható!