NIS2: Információk az új követelményekről!

Az információbiztonság és kibervédelem terén az Európai Unió folyamatosan fejlődő előírásokkal és rendszerekkel próbálja megvédeni a tagállamok vállalatait és intézményeit a kiberfenyegetésekkel szemben.

NIS2, (Network and Information System), avagy az EU tagállamok magas szintű kiberbiztonságát garantáló irányelv új szabályozásokat és elvárásokat hoz a tagállamok, így a magyar szervezetek számára is.

Blogcikkünkben bemutatjuk a NIS2 által előírt főbb feladatokat és a hazai szabályozással kapcsolatos várakozásokat, hogy segítsünk megérteni és felkészülni az új követelményekre.

1. NIS2 bevezetése és a határidők

A 2016-ban bevezetett uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta, illetve igazította napjaink információbiztonsági helyzetéhez. Ez a rendszer a kibervédelemre és az információbiztonságra helyezi a hangsúlyt, és az összes érintett szervezet számára fontos új kötelezettségeket határoz meg.

Magyarországon a 2023. évi XXIII. törvény (röviden: kibertan tv.) tisztázza a nemzeti kiberbiztonsági tanúsítás, továbbá a kiberbiztonsági felügyelet alapvető kérdéseit és implementálja a NIS2 rendelkezéseit.

Ennek alapján a kiberbiztonsági felügyeletet az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) látja, kivéve a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatokat.

A törvény által megjelölt legfontosabb határidők:

2024. január 1. – Érintett szervezet osztályba sorolásának határideje

2024. június 30. – Nyilvántartásba vétel határideje

2024. október 18. – Védelmi intézkedések alkalmazásának határideje

2024. december 31. – Auditra vonatkozó szerződéskötés határideje

2025. december 31. – Első audit lefolytatása

2. Kétféle értékelési rendszer

A NIS2 bevezetésével az érintett szervezetek számára két fő út áll rendelkezésre annak érdekében, hogy megszerezzék a szükséges biztonsági tanúsítványt.

Az első út a megfelelőségi önértékelés, amelyben az adott szervezet önmaga értékeli az információbiztonsági rendszerét és dokumentálja a megfelelőségét. Az elkészített dokumentumokat és a kitöltött kérdőívet a hatóság felé kell benyújtani, amely az elfogadást követően kerül az SZTFH nyilvántartásába. Ez az eljárás csak az „alap” megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében lehetséges választás.

A második út a megfelelőségértékelés, amely során független harmadik felet bíz meg az érintett szervezet tanúsítás céljából. A szakértő auditorok a kibervédelem terén objektív értékelést nyújtanak a szervezet információbiztonsági rendszeréről és annak működéséről. Az auditot követően a szervezet is bekerül az SZTFH nyilvántartásába.

Mindkét értékelési eljárás célja ugyanaz:

Biztosítani, hogy az IKT-termékkel, IKT-folyamattal, IKT-szolgáltatással kapcsolatos, meghatározott követelmények teljesülnek.

3. Teljes vállalati rendszer védelme

Fontos megjegyeznünk, hogy a védelmi intézkedéseknek a teljes vállalati rendszerre ki kell terjedniük. Ez azt jelenti, hogy nem csak a főtevékenységhez kapcsolódó folyamatokra kell figyelni, hanem a támogató, így a pénzügyi és HR folyamatokra is.

4. Kockázati besorolások

Bár kiemelten kockázatos és kockázatos ágazatokat különít el az irányelv, a feladatok vagy védelmi intézkedések terén nincs különbség. Azaz minden érintett szervezetnek ugyanazokat a követelményeket kell teljesítenie.

5. Ellátási láncok

Az előírások kiterjednek azon kihelyezett (irányított) infokommunikációs szolgáltatást nyújtókra is, amelyek valamilyen tevékenységet végeznek az érintett szervezet számára (ideértve az üzemeltetési, karbantartási feladatokat is).

A beszállítók értékelése, ellenőrzése tehát azokra a vállalkozásokra is áthárítja a kötelezettségeket, amelyek közvetlenül nem érintettek, így azon szervezetek számára is javasoljuk a felkészülés elkezdését, akik az irányelv hatálya alá eső ügyfelekkel dolgoznak együtt.

6. Biztonsági felelős kinevezése

A követelmények teljesítéséhez biztonsági felelős kinevezése válhat szükségessé, akit a szervezet maga jelölhet ki, az arra alkalmas munkavállaló személyében. Itt azonban fontos megjegyezni, hogy a kinevezést javasolt előzetesen egy összeférhetetlenségi vizsgálat alá vetni, hogy a szabályozó, végrehajtó és ellenőrző szerepek ne egy személyhez legyenek rendelve.

7. Tudatosítás és képzés

Az alapvető és fontos szervezeteknek az alapvető kiberhigiéniai gyakorlatok széles skáláját kell alkalmazniuk, így a képzések és oktatások minden munkavállalóra vonatkozóan szükségesek, de a vezetőség és a felső vezetők részéről is elengedhetetlen a támogatás, részvétel, részükre akár különálló képzések lehetnek szükségesek.

8. Kezdeti lépések

Az érintett szervezeteknek először fel kell mérniük a rendszereiket, el kell készíteniük az adat / információs vagyonleltárt, és nyilvántartásba kell venniük az elektronikus információs rendszereiket (EIR).

Ezt követően kockázatelemzést kell végrehajtaniuk, amely alapján meghatározzák a szükséges védelmi intézkedéseket. Ehhez szükséges további inputokat a szervezet különböző felmérései és elemzései adhatnak.

9. Megbízhatósági szintek

A szervezeteknek lehetőségük van különböző megbízhatósági szinteket meghatározni, az alap, a jelentős és a magas szintek közül egy vagy többet választva. Ezek a szintek az alábbiak szerint kerülnek definiálásra és alkalmazásra:

a) Az „alap” megbízhatósági szinten a szervezet az alapvető és jól ismert kockázatokra koncentrál, amelyek a biztonsági események és támadások során felmerülhetnek.

b) A „jelentős” megbízhatósági szinten a szervezet figyelmét elsősorban az ismert kiberbiztonsági kockázatokra és azokra a biztonsági eseményekre irányítja, amelyeket korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők hajthatnak végre.

c) A „magas” megbízhatósági szinten a szervezet arra törekszik, hogy minimalizálja a kibertámadások kockázatát, amelyeket jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők végezhetnek el, és amelyeket a legújabb technológiai fejlesztések felhasználásával hajtanak végre.

E szintbe sorolás hatással lehet a 41/2015. (VII. 15.) BM. rendelet szerinti biztonsági osztályba sorolásra, mely egy későbbi jogszabálymódosítással szintén e 3 szintet nevesítheti és kivezetheti a szintbe sorolást. Fontos azonban, hogy a létfontosságú rendszerelemekre vonatkozó követelmények változatlanok maradnak!

10. Auditorok nyilvántartása és követelmények

Az auditált szervezetek mellett az auditorok is nyilvántartásba kerülnek a hatóság által. Az auditorokra vonatkozó követelmények várhatóan 2023. november végén, december elején kerülnek közzétételre.

11. Sérülékenységvizsgálat

A sérülékenységvizsgálat szintén egy nevesített eleme a követelményeknek, amelyet a szervezet külső fél által is végeztethet vagy, a szerződött auditor vizsgálata alapján is teljesíthető. A megfelelés alapja lehet a bug bounty programban történő részvétel, mely szintén a sérülékenységvizsgálatok egyik típusa és folyamatos tesztelést tesz lehetővé.

12. Konzisztencia

A felkészülés és a védelmi intézkedések bevezetése csupán egy állomás, a hangsúly a folyamatosságon van, hiszen a rendszerek, szolgáltatások tanúsítása nem örök érvényű. Az auditot két évente kell megismételni, hogy biztosítsuk az információbiztonság naprakészen tartását, folyamatos ellenőrzését és javítását.

13. Szankciók

A kiberbiztonsági kockázattal járó tevékenységek esetében szankciók is felmerülnek. A figyelmeztetés, bírság és akár egy esetleges eltiltás is ezen szankciók közé tartozik, beleértve a felelős vezetőket eltiltását is, bizonyos esetekben. A közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek kell legyenek. A nem megfelelő magatartásra, amennyiben azt nem orvosolja  a szervezet, ismételten kiszabható bírság.

A kettős bírság tilalma viszont vonatkozik a személyes adatok (GDPR) megsértésével járó jogsértésekre kiszabott közigazgatási bírságokra, így ugyanazon jogsértés miatt a szervezet nem marasztalható el kétszer.

14. Kiemelten kockázatos és kockázatos ágazatok: Specifikus követelmények és védelmi intézkedések

NIS2 rendszere kiemelten kockázatos és kockázatos ágazatokat határoz meg.

Kiemelten kockázatos ágazatok:

  • Energiaszektor: Az energiaágazat kritikus infrastruktúrát jelent, mivel a szünet nélküli működés létfontosságú. Ennek megfelelően szigorú védelmi intézkedések és folyamatos ellenőrzés szükséges.
  • Közlekedés: A közlekedési szektorban a rendszerzavarok jelentős hatással lehetnek a közösség működésére. Itt is kiemelkedő figyelmet igényel a védelem.
  • Egészségügy: Az egészségügyi ágazatban a betegadatok és az egészségügyi rendszerek védelme kritikus.
  • Víz: Az ivóvízellátás és a hulladékkezelés szempontjából az ágazat rendszerintegritásának megőrzése az egyik legfontosabb szempont.
  • Gyógyszeripar: Az innováció és a kutatás folyamatos fenntartása létfontosságú ezen a területen. Az intellektuális tulajdon és a kutatás eredményeinek védelme kiemelten fontos.
  • Digitális infrastruktúra: A digitális infrastruktúra terén az internetes szolgáltatások és az adatközpontok folyamatos működtetése kulcsfontosságú.
  • Kihelyezett szolgáltatók: Azok a szervezetek, amelyek valamilyen meglévő rendszert működtetnek, kiemelt kockázatnak vannak kitéve, és szigorú követelményeknek kell megfelelniük.

Kockázatos ágazatok:

  • Posta: A postaágazatban az adatok biztonságos átvitele és kezelése elengedhetetlen.
  • Futárszolgálatok: A futárszolgálatoknak szem előtt kell tartaniuk a csomagok és az információk biztonságát, különösen az online rendelések robbanásszerű növekedésekor.
  • Hulladékgazdálkodás: A hulladékkezelési szegmensben az érzékeny adatok és az infrastruktúra védelme kiemelkedően fontos, hogy megelőzzék a környezeti károk és a személyes adatok veszélyeztetését.
  • Elektronikai gyártás és járműgyártás: Az elektronikai és járműgyártó vállalatoknak szem előtt kell tartaniuk a tervezési és gyártási folyamatok biztonságát, hogy megvédjék az innovációt és a termékminőséget.
  • Élelmiszer előállítás és forgalmazás: Az élelmiszeriparban az ellátási láncok és az élelmiszerminőség védelme kardinális a fogyasztók egészségének megőrzése érdekében.
  • Digitális szolgáltatások: A digitális szolgáltatók számára a rendszerek rendelkezésre állása és a felhasználói adatok védelme alapvető szempont.
  • Vegyipar és kutatóhelyek: A vegyiparban és kutatóhelyeken az érzékeny információk és kutatási adatok védelme különösen jelentőségteljes.

Ezek az ágazatok egyedi kihívásokkal szembesülnek a kibervédelem terén, ezáltal a NIS2 külön követelményeket határoz meg számukra, hogy segítse őket a kritikus információs rendszerek és az adatok hatékony védelmének érdekében.

Fontos, hogy az érintett szervezetek alaposan megértsék ezeket a követelményeket, és megfelelő védelmi intézkedéseket vezessenek be az ágazatuk sajátosságaihoz igazítva.

Szeretnél időben, megfelelően felkészülni a határozat bevezetésére?

Vedd fel velünk a kapcsolatot!

Amennyiben érdekel a kiberbiztonság és szeretnél naprakész lenni a legújabb hírekkel, információkkal, hallgass bele podcastünkbe:

https://cybersecuritymonth.eu/countries/hungary/hacktify-podcast-1

[Ez a cikk eredetileg a hacktify.eu oldalon jelent meg]