Ez az útmutató a kommunális és ipari hulladékkezelő vállalkozások vezetőit és cybersecurity-felelőseit célozza. Megismerheti az SZTFH által előírt kötelezettségeket, a flottarendszerek és veszélyes hulladék-dokumentáció védelmét, valamint az operatív zavarokat érintő bejelentési kötelezettségeket.
A hulladékkezelési szektorban az SZTFH NIS2 mellékletében szereplő fontosnak minősített entitások tartoznak a hatálya alá, így a kommunális hulladékgyűjtést végző, az ipari hulladékot feldolgozó és a veszélyes hulladékkal foglalkozó olyan szervezetek, amelyeknek a tevékenysége az ellátásbiztonságra kritikus hatással lehet. A besorolás kiterjed az olyan vállalkozásokra, amelyeknek flottakezelő rendszerei, IoT-alapú hulladékmonitorozó eszközei vagy veszélyes anyagok nyomonkövetési rendszerei közvetlenül befolyásolják a közszolgáltatás biztonsági folyamatosságát.
A szervezetnek meg kell szilárdítania a jármű-nyomkövetési, gépjárműflotta-kezelési és útvonaloptimalizálási rendszereket, beleértve az alapértelmezett hitelesítési adatok módosítását, az IoT-eszközök titkosítottságát és a rendszerek közötti biztonságos kommunikációt. Kötelező egy dokumentált biztonsági házirend létrehozása a jármű-számítástechnikai rendszerekhez, amely meghatározza a hozzáférés-szabályozást, a szoftverfrissítéseket és az incidenskezelést. Az összes flottaadatot (helyadatok, szabálytalanságok, balesetjelentések) erősen titkosított csatornán kell továbbítani és titkosítva kell tárolni.
A veszélyes hulladékra vonatkozó nyomonkövetési dokumentációt, ártalmatlanítási igazolásokat és megfelelőségi naplókat szigorú hozzáférés-vezérléssel, szerepalapú engedélyezéssel és titkosítással kell tárolni. Kötelező az audit-nyomvonalak megvalósítása, amely regisztrálja ki, mikor és miért fér hozzá ezekhez az adatokhoz. A szervezet működési kockázatelemzés alapján azonosítsa a veszélyes hulladékra vonatkozó kritikus dokumentumokat, és azokra erősebb védelmi intézkedéseket alkalmazzanak, mint az általános hulladéknyilvántartásra.
A szervezetnek elektronikus rendszert kell fenntartania az olyan incidensek nyomon követésére és dokumentálására, amelyek a hulladékgyűjtési és feldolgozási szolgáltatások folyamatos nyújtásában jelentős zavarást okoznak, ideértve az IT-rendszer meghibásodásait, kibertámadásokat és az ellátási lánc biztonsági eseményeit. Az SZTFH felé kötelező az olyan incidenseket tizenhat órán belül bejelenteni, amelyek több mint 10 000 lélekszámú település vagy az egész régió hulladékszolgáltatásában zavart okoznak. A bejelentésnek tartalmaznia kell az incidens leírását, az érintett rendszereket, a kiváltó okot, a helyreállítási időpontot és a megelőzési intézkedéseket.
A szervezetnek felmérést kell végezni minden olyan külső szállító és hardver-szállítót, amely IoT-szenzorokkal (például feltöltöttségi mérőkkel, lezárási érzékelőkkel) vagy felhő-alapú hulladékkezelési szoftverrel biztosít szolgáltatásokat. Ki kell dolgoznia egy ellátási lánc biztonsági politikát, amely meghatározza a szállítók biztonságelemzésének feltételeit, a szoftver-frissítések ütemezésének kötelezettségeit és az adatmegosztási szerződésekben a titkosítási szabványokat. Az új eszközök telepítésekor kötelezően kell dokumentálni a biztonság-ellenőrzéseket, és ki kell zárni az alapértelmezett jelszavakat használó komponenseket.
A szervezet köteles egy dokumentált, operatív kiberbiztonsági irányítási rendszert (ISMS) megvalósítani, amely magában foglalja a kockázatértékeléseket, a biztonsági politikákat, a hozzáférés-kezelést, az incidensmegfigyelést és a dolgozotti tudatosságot. Az ISMS-nek kifejezetten kell foglalkoznia a hulladékkezelés szektorára jellemző kockázatokkal, például a flottarendszerek fizikai biztonságával, a jármű-CAN-buszok manipulációjának megelőzésével és a helyadatok szivárgásának kezelésével. Az ISMS-et legalább évente felül kell vizsgálni, és frissíteni kell az új fenyegetések, technológiai változások és jogszabályi követelmények alapján.
Az SZTFH által II. mellékletben felsorolt fontosnak minősített entitások, ideértve a kommunális hulladékgyűjtést végző vállalkozásokat, az ipari hulladék-feldolgozókat és a veszélyes hulladékkal foglalkozó operátorokat, amelyeknek a zavarása több mint 10 000 lélekszámú település vagy régió szintű ellátást befolyásolhatja. A besorolást az SZTFH végzi el, és a szervezeteknek az évente közzétett listán kell ellenőrizniük státuszukat.
Kötelezően meg kell szüntetni az alapértelmezett jelszavakat az összes IoT-követőeszközön, bevezetni kell az erős titkosítást az adatátvitelhez, dokumentálni kell a jármű-IT biztonsági politikáját (szoftverfrissítések, fizikai védelem, hozzáférés-vezérlés), és operatív szintű monitorozást kell estabelir az anomáliák és kibertámadások felismeréséhez. Ajánlott a VPN-megoldások (pl. NordLayer) használata a távolról végzett rendszeradminisztrációhoz.
A Kiberbiztonsági tv. (2021. évi C. törvény) alapján a fontosnak minősített entitások akár 300 millió forint pénzbírságot is kaphatnak jelentős vagy ismételt jogszabálysértés esetén, valamint az SZTFH jogosult az operatív zavarásmentes ellátás helyreállítására kötelező intézkedéseket előírni. Az incidensbeszámolás elmulasztása vagy késedelme súlyosbító körülménynek számít a szankciók megállapítása során.