A 2016-ban bevezetett uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta. Olvass tovább, hogy megtudd, milyen hatása van rád, cégedre és ügyfeleidre az új szabályozásoknak!
A korábbi uniós kiberbiztonsági jogszabály (NIS) célja az uniós hálózati- és információs rendszerek kiberbiztonsági kockázatokkal szembeni ellenállóképességének javítása. Vitathatatlan eredményei ellenére a globális események rávilágítottak a korábbi szabályozás korlátjaira.
A NIS2 irányelv ((EU) 2022/2555) értelmében a vállalatoknak a kiberbiztonsági kockázatkezelési intézkedések részeként be kell vezetniük egy sor kulcsfontosságú változtatást, beleértve az ellátási lánc biztonságát, valamint a kriptográfia és a titkosítás használatát. Ezen túlmenően az alapvető és fontos szervezeteknek kiberhigiéniai gyakorlatokat kell alkalmazniuk, például a zéró bizalom elvét, a szoftverfrissítéseket, az eszközkonfigurációt, a hálózat szegmentálását, valamint a személyazonosság- és hozzáférés-kezelést.
Tervezd meg az EU-s elvárásoknak megfelelő biztonsági rendszereidet szaktanácsadó kollégáink segítségével!
Kiemelten kritikus ágazatok:
Egyéb kritikus ágazatok:
A pontos ágazati definíciókat a rendelet I. számú melléklete tartalmazza.
Ugyan a tagállamok egyénileg felelősek azon szervezetek meghatározásáért, melyek alapvető szolgáltatásokat nyújthatnak, a NIS2 meghatároz alapfeltételeket, melyeknek meg kell felelni a nemzeti jogalkotás során. Az alapfeltételek szerint például az irányelv vonatkozik minden közép- és nagyobb vállalatra, illetve azokra, melyek mérettől függetlenül a kritikusnak és különösen fontosnak ítélt szektorok valamelyikében végeznek tevékenységet.
Pontosabb definíciót majd a magyar szabályozás alkot erre.
A NIS2 irányelv jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére az EU-ban, aminek célja, hogy hozzájáruljon a belső piac általános működéséhez.
Az irányelv a NIS1 irányelv alapját képező 3 fő pillérre épül:
A tagállamok által az említett ágazatokban alapvető szolgáltatásokat nyújtó szervezetek kötelesek kiberbiztonsági kockázatértékelést végezni, valamint megfelelő és arányos biztonsági intézkedéseket bevezetni. Továbbá a kulcsfontosságú digitális szolgáltatások (digitális szolgáltatók vagy DSP-k), például a keresőmotorok, a felhőalapú számítástechnikai szolgáltatások és az online piacterek szolgáltatóinak is meg kell felelniük az irányelv szerinti biztonsági és bejelentési követelményeknek.
A NIS2 irányelv célja a korábbi szabályok hiányosságainak kiküszöbölése, a jelenlegi igényekhez való hozzáigazítása és felkészítése a jövőre.
Ennek érdekében az irányelv új ágazatokra terjed ki a digitalizáció és az összekapcsoltság mértéke, valamint a gazdaság és a társadalom számára való létfontosságú szerepük alapján. A méretküszöb-szabály alapján az irányelv hatálya alá tartozik a kiválasztott ágazatokban működő valamennyi közép- és nagyvállalat. Viszont a tagállamoknak megmarad a joga arra, hogy meghatározzák azokat a kisebb, de magas biztonsági kockázati profillal rendelkező szervezeteket, amelyekre szintén az új irányelvben foglalt kötelezettségeknek kell alkalmazniuk.
A jogalanyok fontosságuk alapján lesznek osztályozva és két kategóriára osztva:
A kockázatkezelési megközelítés minimálisan az alkalmazandó biztonsági elemek listáját tartalmazza. Emellett pontosabb rendelkezéseket vezet be az incidensek jelentési folyamatára, a jelentések tartalmára és a határidőkre vonatkozóan.
A NIS2 előírja továbbá az egyes vállalatok számára, hogy európai szinten, összehangoltan foglalkozzanak az ellátási láncok és a beszállítói kapcsolatok kiberbiztonsági kockázataival.
A nemzeti hatóságok számára szigorúbb végrehajtási követelményeket vezet be, melynek célja a szankciórendszerek összehangolása a tagállamokban. Emellett fokozza a CSIRT-hálózaton belüli operatív együttműködést, és létrehozza az európai kiberbiztonsági válságkezelő szervezetek hálózatát (EU-CyCLONe).
A NIS2 emellett létrehozza a felfedezett sebezhetőségek EU-szerte összehangolt nyilvánosságra hozatalának keretét, valamint az IKT-termékek és IKT-szolgáltatások nyilvánosan ismert sebezhetőségi pontjait tartalmazó uniós adatbázist.
A gyakorlatban a megbízható termékek és szolgáltatók azok, amelyekre az ANSSI biztonsági minősítést adott ki. Ezeket az ANSSI által jóváhagyott megoldásokat (termékek és szolgáltatók) egyetlen címszó alatt csoportosítják: biztonsági vízumok. A vízumoknak az a fő előnye, hogy az informatikai biztonsági piacon könnyen azonosíthatóvá teszik a megbízható termékeket és szolgáltatókat.
Bármilyen hardver, firmware vagy szoftver (pl.: operációs rendszerek, hypervisorok, virtualizált operációs rendszerek, alkalmazások) telepítésének feltétele a származás és az integritás előzetes hitelesítése. Ezenkívül a már meglévő operációs rendszerek és más szoftverek konfigurációját is meg kell erősíteni a támadásokkal szemben.
Minden jelentős eseményt, mely
indokolatlan késedelem nélkül jelenteni kell a tagállam CSIRT-jének vagy adott esetben az illetékes hatóságnak. Vagyis az eseményről való tudomásszerzéstől számított 24 órán belül korai előrejelzést, 72 órán belül pedig teljes eseménybejelentést kell benyújtani.
A teljes eseménybejelentést követő egy hónapon belül zárójelentést kell benyújtani, mely az alábbiakat tartalmazza:
Az illetékes hatóságok ellenőrizhetik, hogy a szervezetek rendszerei megfelelnek-e az irányelvnek. Amennyiben valamiben nem felelnek meg, az illetékes hatóságok figyelmeztetés után kötelezni fogják a szervezetet a hiányosságok és veszélyforrások kijavítására.
A tagállamoknak emellett kötelességük visszatartó erejű közigazgatási bírságokat kiszabni, melynek minimum összege 7 000 000 euró.
Nézzük meg a kritikusság 3 szintjét!
Ezen kategóriák a legtöbb érdekelt felet összefogják. Miért fontos ez? Mert ezek alapján jól definiálható, hogy kire mi vonatkozik.
As defined by NIS2 + CER | Type of entity | ||
---|---|---|---|
Haute criticité | TURNOVER | ||
>€50M | <€50M | ||
Energy | CE | EE | IE |
Transport | CE | EE | IE |
Banking | CE | EE | IE |
Financial market infrastructures | CE | EE | IE |
Health | CE | EE | IE |
Drinking water | CE | EE | IE |
Wastewater | CE | EE | IE |
Digital infrastructure | CE | EE | IE |
Information and communication technologies service management | CE | EE | IE |
Public administration | CE | EE | IE |
Space | CE | EE | IE |
As defined by NIS2 | Type of entity |
---|---|
Postal and courier services | IE |
Waste management | IE |
Manufacturing, producion, and distribution of chemicals | IE |
Production, processing and distribution of food | IE |
Manufacturing | IE |
Digital provider | IE |
Research | IE |
CE = Critical Entities (defined by CER) | |
EE = Essential Entity | |
IE = Important Entity (defined by NIS2) |
Létfontosságú üzemeltetők, a rendeletek által érintett ágazatok legnagyobb vállalatai.
Kritikus szervezet státuszt akkor kap egy szervezet, ha 6 vagy több tagállamban nyújt alapvető szolgáltatásokat.
Innentől ez különösen fontos európai jelentőségű szervezetnek minősül, ami azt jelenti, hogy a nemzeti biztonsági ügynökségek folyamatosan figyelemmel kísérik, hogy ellenőrizzék a jogszabályok megfelelő alkalmazását.
2023. január 16-tól OES-nek (Alapvető szolgáltatások üzemeltetői) minősítették a szervezetet.
A 11 kiemelten kritikus ágazat valamelyikébe tartozik, és
nagyvállalat (árbevétele > 50 millió EUR vagy nyeresége < 43 millió EUR, vagy több mint 250 alkalmazottja van).
Az érintett ágazatok egyikéhez tartozik (11 rendkívül kritikus ágazat vagy 7 kritikus)
és a vállalat forgalma vagy nyeresége meghaladja a 10 millió eurót, vagy több mint 50 alkalmazottja van.
A felelősségi lánc elve szerint méretétől függetlenül a vállalatodat EE vagy IE kategóriába lehet sorolni, ha:
Az egyetlen szolgáltatója egy alapvető szolgáltatásnak.
Egy adott jogalany ellátási láncához tartozik, amely rajtad keresztül érhető el.
Minden érintett szervezetnek figyelembe kell vennie a fizikai biztonság kérdéseit. A NIS2 és a CER révén az EU létrehoz egy általános keretet, amelyet legalább tiszteletben kell tartani, és amelyet hozzá kell igazítani minden egyes konkrét helyzethez.
Néhány olyan pont, amelyre figyelmet kell fordítani:
IE | EE | CE | |
---|---|---|---|
Fence | ✓ | ✓ | ✓ |
Gateway | ✓ | ✓ | ✓ |
Lighting | ✓ | ✓ | ✓ |
Video survelliance | ✓ | ✓ | ✓ |
Video survelliance with operator | ✓ | ||
Security doors | ✓ | ✓ | |
Alarm system | ✓ | ✓ | ✓ |
Alarm system with operator | ✓ | ✓ | |
Access control system | ✓ | ✓ | ✓ |
Transparent mode access control system | ✓ | ✓ | |
Security gantry | ✓ | ||
Security agent | ✓ |
Amint az a számos potenciális fenyegetésből látható, a hozzáférés-ellenőrzés a kiberbiztonság egyik kulcstényezője. Ez jelenti az utolsó védelmi vonalat a külvilág és egy információs rendszere között.
A beléptető rendszerek esetén valódi kapcsolatot jelent a logikai és a fizikai világ között a belépőkártya-olvasót a biztonsági rendszerrel összekötő vezetékes rendszer.
A hozzáférés-ellenőrzés kulcsa az alkalmazott kommunikációs protokoll!
Bár az első kettő már teljesen elavult, továbbra is a világpiac több mint 70%-át teszik ki. Ennek ellenére javasolt elkerülni őket. Csak az OSDP™ és a SSCP® protokollok kínálnak még ma is magas szintű biztonságot, és habár bizonyos jellemzőik közösek, vannak figyelemre méltó különbségek, amelyek a mérleg nyelvét az európai megoldás javára billentik.
Az OSDP™ és az SSCP® protokollok nagy előnye, hogy a kétirányú parancsoknak és a titkosított kommunikációnak köszönhetően intelligens és nagy teljesítményű, teljesen biztonságos ökoszisztémájú, egyszerű és könnyű kezelhetőségű megoldást kínálnak.
A számítógépes behatolások fő oka az emberi hiba, ami jól mutatja, mennyire fontos a képzés és a megelőzés.
A kötelezettségek arányosak lesznek a szervezetek kritikusságával és méretével.
Bizonyos alapvető ellenintézkedések azért mindenkire vonatkoznak, és erősen ajánlottak minden vállalkozás számára, még az irányelv hatályán kívül eső vállalkozásoknak, valamint a magánszemélyeknek is:
A NIS 2 által újonnan meghatározott entitásoknak (EE és IE) a következőktől függően további biztonsági réteget kell alkalmazniuk:
Tervezd meg az EU-s elvárásoknak megfelelő biztonsági rendszereidet szaktanácsadó kollégáink segítségével!