Energiaszolgáltatók és gázszolgáltatók számára kötelező: az Annex I. szerinti alapvető entitások szigorú kiberbiztonsági kötelezettségeit, OT/SCADA rendszer-védelmet és az incidensvizsgálati határidőket ismerteti meg a teljes megfelelés érdekében.
Az Magyarország területén működő villamosenergia-termelő vállalatok, nagy hálózatkezelők (DSO, TSO), gázszolgáltatók és -elosztók, valamint térségfűtési hálózatok üzemeltetői tartoznak a kötelezett körbe, függetlenül a foglalkoztatotti létszámtól vagy bevételtől. Ide tartoznak továbbá az üzemanyag-szállítók és -tárolók, amelyeknek kritikus rendszerei potenciálisan kereszthatárokat is érinthetnek.
Az irányítási és ipari vezérlőrendszereket (SCADA, PLC, HMI) meg kell választani a vállalati IT-hálózattól, és korszerű elektromosan vagy logikailag szegmentált demilitarizált zónaként kell üzemeltetni. A szegmentáció során biztosítani kell az azonosítást, a hozzáférés-kezelést és a forgalom-naplózást az OT-hálózat határainál.
A szállítási és elosztási hálózatok zavarainak esetén – különösen, ha potenciálisan más tagállamokat érint – az SZTFH felé 72 óra alatt összehanggal, képen pedig a szomszédos hálózatkezelőknek is jelezni kell. Az incidentvizsgálat során fel kell tárni az eredeti okokat, a terjedési útakat és a helyreállítási időket.
A SCADA, vezérlőrendszer-firmware és kritikus hálózati felszerelés szállítóival megállapodást kell kötni a szállítói támogatáshoz (remote access), a frissítéskezeléshez és az erőforrások biztonsági auditálásához. A szállítók által biztosított távolsegédlethez naplózást, időlimit-beállítást és előzetes jóváhagyást kell érvényre juttatni.
Az elektromos alállomások, gáz-fogyasztóhelyek és térségfűtési szivattyúzóállomások esetén az adathozzáférés-vezérlési rendszerek (ajtónyitás, kamerák, riasztók) a kiberfigyelő rendszerekkel integrálódva működjenek. Az összes belépés, az eszközök cseréje és az anomáliák naplózása szükséges a fizikai támadások megelőzése és a postai összeütközések feloldása érdekében.
Szükséges az üzletmenet-fenntartási terv (BCP) és a katasztrófahelyzet-megoldási terv (DRP), amely a kritikus funkciókat azonosítja, az alternatív továbbítási utakat, a tartalékáramellátást és az adatok helyreállítás-kapacitását határozza meg 72 óra vagy kevesebb alatt.
Minden szállítói bejelentkezéshez, cselekvéshez és hálózati forgalomhoz szükséges a naplózás, amely tartalmazza az időbélyeget, a felhasználó és a szervezet azonosítóját, a végzett műveleti leírást és a részleteket az adatok módosításáról. A naplókat legalább egy évig meg kell őrizni, és évente felül kell vizsgálni az anomáliákat és az illetéktelen hozzáférést.
Az Annex I. szerinti alapvető entitások számára kijelölt adatvédelmi tisztviselő (DPO) vagy az inkább cégjogi formában az igazgatóság vagy a vezérigazgató által felhatalmazott kiberbiztonsági igazgató. Az SZTFH felé az üzlet-vezető vagy az üzletmenet-felelős kapcsolatot kell közvetlenül fenntartani.
A Kiberbiztonsági törvény értelmében az alapvető entitások számára 15-50 millió forintos vagy az éves bevétel 4%-ának megfelelő pénzbírság tehető meg (amelyik nagyobb), valamint szervezeti reorganizáció vagy működési korlátozások lehetségesek. Az incidentvizsgálati határidő megsértése a bírságot ugyanilyen összegben növelheti.