NIS2 Irányelv

Mit jelent a NIS2?

A 2016-ban bevezetett uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta. Olvass tovább, hogy megtudd, milyen hatása van rád, cégedre és ügyfeleidre az új szabályozásoknak!

A korábbi uniós kiberbiztonsági jogszabály (NIS) célja az uniós hálózati- és információs rendszerek kiberbiztonsági kockázatokkal szembeni ellenállóképességének javítása. Vitathatatlan eredményei ellenére a globális események rávilágítottak a korábbi szabályozás korlátjaira.

A NIS2 irányelv ((EU) 2022/2555) értelmében a vállalatoknak a kiberbiztonsági kockázatkezelési intézkedések részeként be kell vezetniük egy sor kulcsfontosságú változtatást, beleértve az ellátási lánc biztonságát, valamint a kriptográfia és a titkosítás használatát. Ezen túlmenően az alapvető és fontos szervezeteknek kiberhigiéniai gyakorlatokat kell alkalmazniuk, például a zéró bizalom elvét, a szoftverfrissítéseket, az eszközkonfigurációt, a hálózat szegmentálását, valamint a személyazonosság- és hozzáférés-kezelést.

Segítünk megfelelni!

Tervezd meg az EU-s elvárásoknak megfelelő biztonsági rendszereidet szaktanácsadó kollégáink segítségével!

Kérj visszahívást!

Érintett szektorok

Kire vonatkozik?

Kiemelten kritikus ágazatok:

Energia villamos energia, távfűtés és távhűtés, olaj, gáz és hidrogén
Közlekedés légi, vízi, vasúti és közúti
Banki szektor  
Pénzügyi piaci infrastruktúrák  
Egészségügy beleértve a gyógyszeripari termékeket, vakcinákat is
Ivóvíz  
Szennyvíz  
Digitális infrastruktúra internetes adatcserepontok, DNS-szolgáltatók, TLD-névjegyzékek, felhőalapú számítástechnikai szolgáltatók, adatközpont-szolgáltatók, tartalomszolgáltató hálózatok, megbízható szolgáltatók, nyilvános elektronikus hírközlési hálózatok és nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatói
IKT-szolgáltatáskezelés irányított szolgáltatók és irányított biztonsági szolgáltatók
Közigazgatás  
Űrkutatás  

Egyéb kritikus ágazatok:

Postai és futárszolgálatok  
Hulladékgazdálkodás  
Élelmiszeripar  
Gép- és járműipar részei orvosi eszközök, számítógépek és elektronika, gépek és berendezések, gépjárművek, pótkocsik és félpótkocsik, valamint egyéb szállítóeszközök gyártása
Digitális szolgáltatók online piacterek, online keresőmotorok és közösségi hálózati szolgáltatási platformok
Kutatási szervezetek  

A pontos ágazati definíciókat a rendelet I. számú melléklete tartalmazza.

Ugyan a tagállamok egyénileg felelősek azon szervezetek meghatározásáért, melyek alapvető szolgáltatásokat nyújthatnak, a NIS2 meghatároz alapfeltételeket, melyeknek meg kell felelni a nemzeti jogalkotás során. Az alapfeltételek szerint például az irányelv vonatkozik minden közép- és nagyobb vállalatra, illetve azokra, melyek mérettől függetlenül a kritikusnak és különösen fontosnak ítélt szektorok valamelyikében végeznek tevékenységet.

Pontosabb definíciót majd a magyar szabályozás alkot erre.

Az irányelv alappillérei

Mit jelent a NIS2?

A NIS2 irányelv jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére az EU-ban, aminek célja, hogy hozzájáruljon a belső piac általános működéséhez.

Az irányelv a NIS1 irányelv alapját képező 3 fő pillérre épül:

  • A NIS2 előírja a tagállamok számára, hogy fogadjanak el nemzeti kiberbiztonsági stratégiát. A tagállamoknak továbbá ki kell jelölniük a kockázat- és eseménykezelésért felelős nemzeti számítógépes biztonsági incidenskezelő csoportokat (CSIRT), egy illetékes nemzeti kiberbiztonsági hatóságot és egy egyablakos kapcsolattartó pontot (SPOC).
  • A NIS együttműködési csoport létrehozása a stratégiai együttműködés és a tagállamok közötti információcsere támogatása és megkönnyítése érdekében, valamint a nemzeti CSIRT-ek közötti gyors és hatékony operatív együttműködést segítő CSIRT-hálózat kiépítése.
  • A NIS1 irányelv biztosítja, hogy a gazdaság és társadalom számára létfontosságú ágazatokban kiberbiztonsági intézkedéseket hozzanak.

A tagállamok által az említett ágazatokban alapvető szolgáltatásokat nyújtó szervezetek kötelesek kiberbiztonsági kockázatértékelést végezni, valamint megfelelő és arányos biztonsági intézkedéseket bevezetni. Továbbá a kulcsfontosságú digitális szolgáltatások (digitális szolgáltatók vagy DSP-k), például a keresőmotorok, a felhőalapú számítástechnikai szolgáltatások és az online piacterek szolgáltatóinak is meg kell felelniük az irányelv szerinti biztonsági és bejelentési követelményeknek.

Az irányelv alappillérei

A NIS2 alapelvei

A NIS2 irányelv célja a korábbi szabályok hiányosságainak kiküszöbölése, a jelenlegi igényekhez való hozzáigazítása és felkészítése a jövőre.

Ennek érdekében az irányelv új ágazatokra terjed ki a digitalizáció és az összekapcsoltság mértéke, valamint a gazdaság és a társadalom számára való létfontosságú szerepük alapján. A méretküszöb-szabály alapján az irányelv hatálya alá tartozik a kiválasztott ágazatokban működő valamennyi közép- és nagyvállalat. Viszont a tagállamoknak megmarad a joga arra, hogy meghatározzák azokat a kisebb, de magas biztonsági kockázati profillal rendelkező szervezeteket, amelyekre szintén az új irányelvben foglalt kötelezettségeknek kell alkalmazniuk.

A jogalanyok fontosságuk alapján lesznek osztályozva és két kategóriára osztva:

  • alapvető fontosságú jogalanyok
  • fontos jogalanyok

A kockázatkezelési megközelítés minimálisan az alkalmazandó biztonsági elemek listáját tartalmazza. Emellett pontosabb rendelkezéseket vezet be az incidensek jelentési folyamatára, a jelentések tartalmára és a határidőkre vonatkozóan.

A NIS2 előírja továbbá az egyes vállalatok számára, hogy európai szinten, összehangoltan foglalkozzanak az ellátási láncok és a beszállítói kapcsolatok kiberbiztonsági kockázataival.

A nemzeti hatóságok számára szigorúbb végrehajtási követelményeket vezet be, melynek célja a szankciórendszerek összehangolása a tagállamokban. Emellett fokozza a CSIRT-hálózaton belüli operatív együttműködést, és létrehozza az európai kiberbiztonsági válságkezelő szervezetek hálózatát (EU-CyCLONe).

A NIS2 emellett létrehozza a felfedezett sebezhetőségek EU-szerte összehangolt nyilvánosságra hozatalának keretét, valamint az IKT-termékek és IKT-szolgáltatások nyilvánosan ismert sebezhetőségi pontjait tartalmazó uniós adatbázist.

NIS2 kompatibilis rendszerek jellemzői

Milyen rendszerek felelnek meg az elvárásoknak?

A gyakorlatban a megbízható termékek és szolgáltatók azok, amelyekre az ANSSI biztonsági minősítést adott ki. Ezeket az ANSSI által jóváhagyott megoldásokat (termékek és szolgáltatók) egyetlen címszó alatt csoportosítják: biztonsági vízumok. A vízumoknak az a fő előnye, hogy az informatikai biztonsági piacon könnyen azonosíthatóvá teszik a megbízható termékeket és szolgáltatókat.

Bármilyen hardver, firmware vagy szoftver (pl.: operációs rendszerek, hypervisorok, virtualizált operációs rendszerek, alkalmazások) telepítésének feltétele a származás és az integritás előzetes hitelesítése. Ezenkívül a már meglévő operációs rendszerek és más szoftverek konfigurációját is meg kell erősíteni a támadásokkal szemben.

Incidens felismerés és jelentési kötelezettség

Feltörtek, mit tegyek?

Minden jelentős eseményt, mely

  • súlyos működési zavart okozott és/vagy okozhat
  • pénzügyi veszteséget okozott
  • vagyoni vagy nem vagyok kárt okozott és/vagy okozhat

indokolatlan késedelem nélkül jelenteni kell a tagállam CSIRT-jének vagy adott esetben az illetékes hatóságnak. Vagyis az eseményről való tudomásszerzéstől számított 24 órán belül korai előrejelzést, 72 órán belül pedig teljes eseménybejelentést kell benyújtani.

A teljes eseménybejelentést követő egy hónapon belül zárójelentést kell benyújtani, mely az alábbiakat tartalmazza:

  • az esemény részletes leírása
  • az eseményt valószínűleg kiváltó fenyegetés vagy kiváltó ok típusa
  • alkalmazott és folyamatban lévő intézkedések
  • adott esetben az esemény határokon átnyúló hatása.

Következmények

Mi történik, ha nem felel meg a rendszerünk?

Az illetékes hatóságok ellenőrizhetik, hogy a szervezetek rendszerei megfelelnek-e az irányelvnek. Amennyiben valamiben nem felelnek meg, az illetékes hatóságok figyelmeztetés után kötelezni fogják a szervezetet a hiányosságok és veszélyforrások kijavítására.

A tagállamoknak emellett kötelességük visszatartó erejű közigazgatási bírságokat kiszabni, melynek minimum összege 7 000 000 euró.

Tanácsadás és támogatás

A Power segít megfelelni

Nézzük meg a kritikusság 3 szintjét!

  1. CE – Critical Entitles – Kritikus szervezetek
  2. EE – Essential Entitles – Lényeges szervezetek
  3. IE – Important Entitles – Fontos szervezetek

Ezen kategóriák a legtöbb érdekelt felet összefogják. Miért fontos ez? Mert ezek alapján jól definiálható, hogy kire mi vonatkozik.

List of highly critical secotrs
As defined by NIS2 + CER Type of entity
Haute criticité TURNOVER
>€50M <€50M
Energy CE EE IE
Transport CE EE IE
Banking CE EE IE
Financial market infrastructures CE EE IE
Health CE EE IE
Drinking water CE EE IE
Wastewater CE EE IE
Digital infrastructure CE EE IE
Information and communication technologies service management CE EE IE
Public administration CE EE IE
Space CE EE IE
List of critical sectors
As defined by NIS2 Type of entity
Postal and courier services IE
Waste management IE
Manufacturing, producion, and distribution of chemicals IE
Production, processing and distribution of food IE
Manufacturing IE
Digital provider IE
Research IE
CE = Critical Entities (defined by CER)
EE = Essential Entity
IE = Important Entity (defined by NIS2)

Melyikbe tartozik a vállalkozásod?

CE

Létfontosságú üzemeltetők, a rendeletek által érintett ágazatok legnagyobb vállalatai.

Kritikus szervezet státuszt akkor kap egy szervezet, ha 6 vagy több tagállamban nyújt alapvető szolgáltatásokat.

Innentől ez különösen fontos európai jelentőségű szervezetnek minősül, ami azt jelenti, hogy a nemzeti biztonsági ügynökségek folyamatosan figyelemmel kísérik, hogy ellenőrizzék a jogszabályok megfelelő alkalmazását.

EE

2023. január 16-tól OES-nek (Alapvető szolgáltatások üzemeltetői) minősítették a szervezetet.

A 11 kiemelten kritikus ágazat valamelyikébe tartozik, és

nagyvállalat (árbevétele > 50 millió EUR vagy nyeresége < 43 millió EUR, vagy több mint 250 alkalmazottja van).

IE

Az érintett ágazatok egyikéhez tartozik (11 rendkívül kritikus ágazat vagy 7 kritikus)

és a vállalat forgalma vagy nyeresége meghaladja a 10 millió eurót, vagy több mint 50 alkalmazottja van.

A felelősségi lánc elve szerint méretétől függetlenül a vállalatodat EE vagy IE kategóriába lehet sorolni, ha:

Az egyetlen szolgáltatója egy alapvető szolgáltatásnak.

Egy adott jogalany ellátási láncához tartozik, amely rajtad keresztül érhető el.

Vonatkozó kötelezettségek

CE/EE/IE: Milyen kötelezettségeid lesznek?

REAGÁLÁS A FIZIKAI FENYEGETÉSEKRE

Minden érintett szervezetnek figyelembe kell vennie a fizikai biztonság kérdéseit. A NIS2 és a CER révén az EU létrehoz egy általános keretet, amelyet legalább tiszteletben kell tartani, és amelyet hozzá kell igazítani minden egyes konkrét helyzethez.

Néhány olyan pont, amelyre figyelmet kell fordítani:

  • A helyiségek megközelítésének biztosítása.
  • A helyiségekhez való hozzáférés biztosítása.
  • A kritikus területek (adatközpont, tisztaszoba, gépek stb.) kezelése.
  • A látogatók kezelése.
  • A természeti katasztrófák kezelése.
Response to
physical threats
 
  IE EE CE
Fence
Gateway
Lighting
Video survelliance
Video survelliance with operator    
Security doors  
Alarm system
Alarm system with operator  
Access control system
Transparent mode access control system  
Security gantry    
Security agent    

A kommunikációs protokoll

Kapcsolat a fizikai és a logikai rétegek között

Amint az a számos potenciális fenyegetésből látható, a hozzáférés-ellenőrzés a kiberbiztonság egyik kulcstényezője. Ez jelenti az utolsó védelmi vonalat a külvilág és egy információs rendszere között.

A beléptető rendszerek esetén valódi kapcsolatot jelent a logikai és a fizikai világ között a belépőkártya-olvasót a biztonsági rendszerrel összekötő vezetékes rendszer.

A hozzáférés-ellenőrzés kulcsa az alkalmazott kommunikációs protokoll!

Data Clock - elavult
Wiegand - elavult
OSDP - 4*
SSCP - 5*

Bár az első kettő már teljesen elavult, továbbra is a világpiac több mint 70%-át teszik ki. Ennek ellenére javasolt elkerülni őket. Csak az OSDP™ és a SSCP® protokollok kínálnak még ma is magas szintű biztonságot, és habár bizonyos jellemzőik közösek, vannak figyelemre méltó különbségek, amelyek a mérleg nyelvét az európai megoldás javára billentik.

Az OSDP™ és az SSCP® protokollok nagy előnye, hogy a kétirányú parancsoknak és a titkosított kommunikációnak köszönhetően intelligens és nagy teljesítményű, teljesen biztonságos ökoszisztémájú, egyszerű és könnyű kezelhetőségű megoldást kínálnak.

Válasz a logikai fenyegetésekre

A számítógépes behatolások fő oka az emberi hiba, ami jól mutatja, mennyire fontos a képzés és a megelőzés.

A kötelezettségek arányosak lesznek a szervezetek kritikusságával és méretével.

Bizonyos alapvető ellenintézkedések azért mindenkire vonatkoznak, és erősen ajánlottak minden vállalkozás számára, még az irányelv hatályán kívül eső vállalkozásoknak, valamint a magánszemélyeknek is:

  • Képzés a digitális higiéniáról és a helyes kiberbiztonsági gyakorlatokról.
  • Antivírus csomag telepítése (vírusirtó, spam- és adathalászat elleni védelem).
  • Erős jelszavak használata és rendszeres megújítása.
  • Jelszókezelő széf használata.
  • A munkaállomások és a szoftverek automatikus frissítése.
  • Távoli adatmentés.
  • Munkaállomásonkénti tűzfal használata az internetes támadások elleni védelem érdekében.
  • Tanúsítványok használata minden weboldalon.

A NIS 2 által újonnan meghatározott entitásoknak (EE és IE) a következőktől függően további biztonsági réteget kell alkalmazniuk:

  • ISSM (információs rendszerbiztonsági menedzser) kinevezése.
  • Az informatikai eszközök nyomon követhetősége.
  • A követelményekre vonatkozó jogok korlátozása (rendszergazda, felhasználó, látogató).
  • Távoli és nomád munkavégzésre vonatkozó irányítási politika.
  • Helyi tűzfal telepítése a hálózat védelme érdekében.
  • Az adatcsere titkosítása és VPN használata.
  • Információs rendszerirányítási és felügyeleti eszközök.
  • Fizikai hozzáférés-ellenőrzés a kritikus területeken (hitelesítés az adatközpontba való belépéshez).
  • Támadás szimulálása a válaszadási és újraindítási folyamat teszteléséhez.

Keresd fel szakértő tanácsadó kollégáinkat!

Tervezd meg az EU-s elvárásoknak megfelelő biztonsági rendszereidet szaktanácsadó kollégáink segítségével!

Kérj visszahívást!

Idővonal

Mikor élesedik az új direktíva?
 
Az EU-CyCLONe benyújtja a beszámolóját az Európai Parlament és Tanács felé 2024. július 17-ig, majd ezt követően minden 18. hónapban ismételten.
 
2024. október 17. előtt minden tagállam közzéteszi a stratégiáját, miszerint el kívánja érni a NIS irányelv céljait.
 
2024. október 18. a 2016/1148 (NIS irányelv) hatályon kívül kerül.
 
2025. április 17-ig a tagállamok meghatározzák a kritikus és fontos szervek listáját, melyet azután legfeljebb kétévente felülvizsgálnak és frissítenek, majd benyújtják azt az EU Bizottsága és az Együttműködési Csoport felé.
 
2027. október 17. A Bizottság felülvizsgálja az irányelv működését, majd ismételten 36 havonta.
Keresd kollégáinkat!