Biztonsági rések a kibertérben: kötelezettségek és teendők egy kibertámadás során

A NIS 2, illetve az azt implementáló Kibertanúsítási törvény a hatálya alá tartozó szervezetekre több kiberbiztonsággal összefüggő kötelezettséget is ró.  Jelen cikk bemutatja ezek kötelezettségek közül az egyik legfontosabbat, a kiberbiztonsági esemény (incidens) esetén felmerülő jelentéstételi kötelezettséget és az azzal együtt járó lépéseket.

 

A Kibertanúsítási törvény (2023. évi XXIII. törvény) előírja, hogy az elektronikus információs rendszereket érintő, bekövetkezett biztonsági eseményeket, illetve az ezzel közvetlenül fenyegető eseményeket jelentse be az érintett szervezet. A bejelentési kötelezettség fennáll, ha 

    1. az esemény az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz, vagy 
    2. jelentős vagyoni vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára.

A NIS2 irányelv a fenti körbe nem tartozó fenyegetések esetére is támogatja az önkéntes bejelentést –, hogy egy kisebb súlyú esemény lehetőleg ne érje el a fenti súlyosabb szinteket. 

A Kibertanúsítási törvény alapján a biztonsági eseményt az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti eseménykezelő központhoz kell bejelenteni, ami a Nemzetbiztonsági Szakszolgálat feladata.

A törvény maga nem rendelkezik a határidőkről, ezt egy későbbi rendelet fogja megállapítani, ugyanakkor a NIS2 irányelv konkrét elvárásokat fogalmaz meg hozzá. A NIS2 irányelv alapján indokolatlan késedelem nélkül, de legkésőbb 24 órán belül kell bejelenteni a biztonsági eseményt. Ebben még csak az esemény bekövetkeztével kapcsolatos alapvető információkat kell közölni, ki kell arra is térni, hogy feltételezhető-e, hogy jogellenes vagy rosszhiszemű cselekmények okozták, és hogy valószínűsíthető-e, hogy határokon átnyúló hatásokkal jár. A hatóság a bejelentéstől 24 órán belül küld visszajelzést, továbbá kérésre útmutatást vagy operatív tanácsokat is ad. Ezt követően az eseményről való tudomásszerzéstől számított 72 órán belül egy részletesebb frissített bejelentést kell tenni, amelyben az eseményt értékelni is kell, beleértve annak súlyosságát és hatását, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat is közölni kell – bizalmi szolgáltató esetében ez 24 óra. Végezetül az eseménybejelentésről számított 1 hónapon belül kell egy zárójelentést benyújtani, amely tartalmazza az esemény részletes leírását, beleértve annak súlyosságát és hatását, az eseményt valószínűleg kiváltó fenyegetés vagy kiváltó ok típusát, alkalmazott és folyamatban lévő mérséklési intézkedéseket; adott esetben az esemény határokon átnyúló hatását. Ha más tagállamot is érint az esemény, akkor erről a hatóság értesíti a másik tagállam szakhatóságát.

Amennyiben a zárójelentés esedékességekor az esemény elhárítása még folyamatban van, úgy csak az addig elért eredményekről kell jelentést készíteni és elküldeni – ilyenkor a végső zárójelentést csak az esemény kezelését követő egy hónapon belül kell benyújtani.

A NIS2 irányelv alapján az esemény kezelése, elhárítása kell, hogy prioritást élvezzen, törekedni kell arra, hogy maga a bejelentéstételi kötelezettség ne vonjon el erőforrást ezen alapvető céltól vagy nehogy azt bármely egyéb módon veszélyeztesse.

Az érintett szervezet külsős közreműködőt is igénybe vehet a biztonsági események kezeléséhez. Közreműködő viszont csak az lehet, aki megfelelő tanúsítvánnyal rendelkezik, ennek részletszabályait majd az Szabályozott Tevékenységek Felügyeleti Hatóságának rendelete fogja tartalmazni.

Az érintett szervezet köteles tájékoztatást adni a szolgáltatását igénybe vevőknek is minden olyan potenciális intézkedésről vagy fenyegetést orvosló lehetőségről, amelyet a biztonsági kockázatok mérséklése érdekében hozhatnak. Ha a kiberfenyegetés valószínűsíthetően bekövetkezik, magáról a fenyegetésről is tájékoztatniuk kell a szolgáltatás igénybe vevőit, máskor egyedileg kell mérlegelni a tájékoztatás szükségességét.

A hatóságoknak meg kell könnyíteniük a bejelentési kötelezettségek teljesítését, így például gondoskodniuk kell egyedüli kapcsolattartó pontokról, automatizált rendszerekről, online űrlapokról, felhasználóbarát interfészekről, sablonokról, kifejezetten a bejelentőknek létrehozott platformokról. Egyedüli kapcsolattartó pont kapcsán az irányelv azt a megközelítést javasolja, hogy egyéb bejelentési kötelezettség, így például GDPR szerinti adatvédelmi incidens bejelentése is megtehető legyen ezen kapcsolattartási ponton keresztül. Figyelemmel arra, hogy egy kiberbiztonsági incidens könnyen adatvédelmi incidensnek is minősülhet, ez nagyban csökkentheti a szervezetekre háruló adminisztrációs terhet.

A cikket a Jambrik Ügyvédi Iroda részéről dr. Csiky András írta.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.