Vissza a bloghoz
Jogszabály & Compliance
2024. febr. 16.

933 kontroll van az új NIS2 végrehajtási utasítás tervezetben

Sándor Zsolt

vezérigazgató

https://www.gillandmurry.com/933-kontroll-van-az-uj-nis2-vegrehajtasi-utasitas-tervezetben

Ha ez lesz az, amit be kell tartani, sokan elvérezhetnek majd. Lehet félni!

NIS2 végrehajtási terv

Elolvastam a tervezetet és nem mondom, hogy nem erre számítottam. Valószínűleg tükör fordítása NIST Special Publication 800-53 Revision 5 verziójának, bár nem vizsgálatam tételesen a 933 elvárást.

Ami jó hír, hogy vannak olyan kontrollpontok, ami a kitöltési útmutató szerint senkinek sem kötelező. Nem számoltam végig, de kb. 20-25%.

Bízom benne, hogy ez a hatóság is csinál belőle nekünk egy Excel-t és nem nekünk kell majd saját magunknak összeállítani.

A tartalomjegyzék és mögötte, hogy az adott csoportban hány kontroll van:

  1. Programmenedzsment - 24  (szabályzatok)
  2. Hozzáférés-felügyelet - 130
  3. Tudatosság és képzés - 15
  4. Naplózás és elszámoltathatóság - 53
  5. Értékelés, engedélyezés és monitorozás - 27
  6. Konfigurációkezelés - 54
  7. Készenléti tervezés  - 50
  8. Azonosítás és hitelesítés - 51
  9. Biztonsági események kezelése - 39
  10. Karbantartás - 26
  11. Adathordozók védelme - 19
  12. Fizikai és környezeti védelem - 50
  13. Tervezés - 12
  14. Személyi biztonság - 14
  15. Kockázatkezelés - 23
  16. Rendszer- és szolgáltatásbeszerzés - 101
  17. Rendszer- és kommunikációvédelem - 133
  18. Rendszer- és információsértetlenség - 84
  19. Ellátási lánc kockázatkezelése - 28

Csak párat kiemelnék:

Az alap osztályban is kell:

  • MFA minden rendszer admin hozzáféréshez.
  • Vészvilágítási rendszer.
  • Független energiaforrással rendelkező tűzérzékelő, illetve tűzoltó rendszer.
  • Meghatározott biztonságos szinten kell tartani a hőmérsékletet, a páratartalmat, a légnyomást és a sugárzást.
  • Viselkedési szabályok – Közösségi média és külső webhelyek, alkalmazások használatára vonatkozó korlátozások.

A jelentős és a magas osztályban kell csak:

  • Minden felhasználónak MFA (Multi-factor authentication) kell.
  • Sérülékenység vizsgálat.
  • Információszivárgási teszt.

Biztos van még egy pár igazán érdekes vagy szivatós kontroll, ehhez tételesen meg kell rágnunk és nem árt, ha  a végleges verzióval tesszük majd ezt.

Ami látszik, és tudtuk is, hogy a 2013. L. törvény is az akkor érvényes NIST elvárások alapján készült a NIS2 végrehajtási utasítás terv.