Több mint négyezer közintézményt érint az információbiztonsági törvény

Négyezernél is több közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára az idén hatályba lépett információbiztonsági törvény. A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) folyamatosan ellenőrzi a biztonsági besorolásnak való megfelelést, de még nem bírságol - mondta Solymár Károly Balázs, a Nemzeti Fejlesztési Minisztérium infokommunikációért felelős helyettes államtitkára az MTI-nek.

Hozzátette: a közintézmények mellett piaci szereplőket, cégeket is érint az új jogszabály. A kötelezetti körről azért nincsen pontosabb számadat, mivel hatálya alá tartozik minden szervezet, amely kritikus infrastruktúra üzemeltetője, a nemzeti adatvagyon adatfeldolgozója, vagy az állam és önkormányzatok számára adatkezelést végez, és e cégek száma időről-időre változhat. Kiemelte, hogy az érintett intézmények legfontosabb feladata, hogy úgynevezett biztonsági osztályba sorolják a saját informatikai rendszerüket, és meghatározzák az adott szervezet biztonsági szintjét. A besorolás elvégzéséhez a kihirdetés előtt álló miniszteri rendelet pontos útmutatást tartalmaz majd, és rögzíti az adott szint biztonsági követelményeit, amelyet az intézménynek vagy vállalkozásnak teljesíteniük kell. Tájékoztatása szerint a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) folyamatosan ellenőrzi a biztonsági besorolásnak való megfelelést. A helyettes államtitkár hangsúlyozta: az idén bevezetett szabályozás alapvetően nem szankcióközpontú, a hatóság célja az információbiztonsággal kapcsolatos tudatosság kialakítása. A törvény hatálya alá tartozók egyetlen körében sem "aktuális" a bírság, a hatóság kötelezi illetve felhívja az adott szervet az előírt követelmények teljesítésére - mondta. Ismertetése szerint a Nemzeti Fejlesztési Minisztériumon (NFM) belül főosztályként működő Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) feladata az informatikai biztonsági problémák megelőzése, ennek érdekében éves terv alapján ellenőrzéseket végez. Ha bekövetkezett egy probléma, a bejelentés a Kormányzati Eseménykezelő Központhoz (GovCERT) érkezik. A központ kidolgozza az intézkedési tervet, és az üzemeltető felé jelzi, hogy milyen beavatkozást kell elvégezni a megoldás érdekében. A Nemzeti Biztonsági Felügyelet sérülékenységi vizsgálatot végez - egyedileg és terv szerint egyaránt - a NEIH felkérésére, amelyben egy konkrét rendszerről megállapítják, hogy az támadható-e. Közölte: a KÜRT Információbiztonsági és Adatmentő Zrt. a jogszabály előkészítésében is részt vett, és - más információbiztonsággal foglalkozó szervezetek mellett - jelentős szerepet vállalt a törvény hatálya alá tartozó intézmények tájékoztatásában. Kmetty József, a KÜRT Zrt. vezérigazgatója kiemelte, hogy az információbiztonság az internetes támadások gyakoribbá válása miatt minden szervezetet érint, a megfelelő védelem kialakítása közös érdek. A kiberbiztonság kérdése nemzeti szinten is problémát jelenthet - jegyezte meg. Példaként említette, hogy egy tizenöt fős csoport is komoly károkat tud okozni akár egy országnak vagy a teljes bankrendszernek kockázatmentesen, mivel a kiberbűnözők kiléte legtöbb esetben ismeretlen marad. A megfelelő védekezéshez szervezettség kell, a törvényi háttér, a meghatározott felügyeleti szervek teszik hatékonnyá az információbiztonságot. Kiemelte: a világon jelenleg kevés ország rendelkezik a magyarországihoz hasonló információbiztonsági törvénnyel, ezért az új szabályok gyakorlati bevezetése rendkívüli feladatot jelent. Egy adott szervezet informatikai rendszerének hatékonysága csak egy esetleges támadás esetén mutatkozik meg - mondta. Szólt arról is, hogy mivel rövid a határidő, a követelmények megvalósítása az intézmények sokszínűsége miatt többféle megoldást eredményezhet. Ezért célszerű lenne rendszeresen, például kéthavonta ismertetni az érdekeltekkel a legjobb megoldásokat és a tapasztalatokat. Ilyen megoldáson gondolkodnak, ennek az egyeztetése még a cégen belül is tart - mondta. Az elektronikus információbiztonságról szóló Nemzeti Kiberbiztonsági Stratégiához kapcsolódó törvényt az Országgyűlés idén április 15-én fogadta el, és hatályba lépése óta számos végrehajtási rendelete is megjelent.