Nem sok olyan mód adódik azon a téren, hogy valami hatásunk lehet a jogszabályalkotásra, de a NIS2 irányelv esetében volt esély a véleményezésre, jobban mondva a társadalmi egyeztetésre. Egészen október 23-ig nyitva állt a lehetőség erre.
Több változás is életbe lépett ennek nyomán, amiben az ITSecure informatikai szabályzatok segítségével még jobban támogathatja az érintett szektorokat a jogszabályoknak való megfelelésben. Az viszont remek lehetőség volt, hogy némiképp formálni lehetett ezt a keretet.
Az első hatása pedig abban nyilvánul meg az új direktíva bevezetésének, hogy ezzel hatályát veszti a 2013. évi L. törvény, ami az állami és önkormányzati szervek elektronikus információbiztonságáról szól, és a 2023. évi XXIII. törvény is, ami a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről rendelkezik.
Az elektronikus információs rendszer biztonságáért ki lesz felelős ezután?
Kizárólag olyan személy láthatja el ezt a feladatkört az új jogszabály szerint, aki megfelelő szakképesítéssel rendelkezik és emellett az akkreditált nemzetközi képzettség megszerzése is szükséges. Természetesen a releváns szakmai tapasztalat is a kritériumok közé tartozik, ahogy a cselekvőképesség és a büntetlen előélet.
Nem lehet kinevezni olyan személyt erre a munkakörre a szabályok értelmében, aki a szervezeten belül részt vesz az informatikai üzemeltetésben vagy a fejlesztésben. Továbbá a pénzügyi döntéshozatali feladatok teljesítése is összeférhetetlen a kinevezéssel. Ezek alól azonban van néhány kivétel, mint például a fontos szervezetek, a legfelső szintű domain név nyilvántartók és a DNS-szolgáltatók.
Mire számíthatnak a kiemelten kockázatos és kockázatos ágazatok?
Az új jogszabály értelmében a Kibertan. tv. szerinti ilyen ágazatok esetében is szerepet kap egy szigorú osztályozási rendszer, ami azt jelenti, hogy lesznek nevesítve alapvető és fontos szervezetek is ezeken belül.
A legfontosabb eleme a változásnak az, hogy a régi törvénytől eltérően a követelmények is változnak. Ennek megfelelően más posztulátum lesz érvényes a kiemelten kockázatos és más a kockázatos ágazatokba tartozó szervezetek esetében.
Bővül a törvény hatálya
A nemzeti kiberbiztonsági hatóság által a törvény hatálya kibővült azokra a szervezetekre nézve, amik alapvető vagy fontos szervezetként kerültek azonosításra. Ennek értelmében az érintett szektorokban az elektronikus információs rendszerekre is ki kell terjeszteni a jogszabály alkalmazását.
A hatálybalépés magával hozott olyan változásokat, amikre talán nem számítottunk, de mindenesetre rengeteg feladattal látott el minket.
Mindemellett pedig felfedezhető volt több helyen is joghézag már a tervezetben is, ami ebben a bizonytalan jogi helyzetben nem túl szerencsés állapotokat eredményezhet.