Mit jelent a NIS2?

A 2016-ban bevezetett uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta. Olvass tovább, hogy megtudd, milyen hatása van rád, cégedre és ügyfeleidre az új szabályozásoknak!

A korábbi uniós kiberbiztonsági jogszabály (NIS) célja az uniós hálózati- és információs rendszerek kiberbiztonsági kockázatokkal szembeni ellenállóképességének javítása. Vitathatatlan eredményei ellenére a globális események rávilágítottak a korábbi szabályozás korlátjaira.

A NIS2 irányelv ((EU) 2022/2555) értelmében a vállalatoknak a kiberbiztonsági kockázatkezelési intézkedések részeként be kell vezetniük egy sor kulcsfontosságú változtatást, beleértve az ellátási lánc biztonságát, valamint a kriptográfia és a titkosítás használatát. Ezen túlmenően az alapvető és fontos szervezeteknek kiberhigiéniai gyakorlatokat kell alkalmazniuk, például a zéró bizalom elvét, a szoftverfrissítéseket, az eszközkonfigurációt, a hálózat szegmentálását, valamint a személyazonosság- és hozzáférés-kezelést.

Kiemelten kritikus ágazatok:

Energia villamos energia, távfűtés és távhűtés, olaj, gáz és hidrogén

Közlekedés légi, vízi, vasúti és közúti

Banki szektor  

Pénzügyi piaci infrastruktúrák  

Egészségügy beleértve a gyógyszeripari termékeket, vakcinákat is

Ivóvíz  

Szennyvíz  

Digitális infrastruktúra internetes adatcserepontok, DNS-szolgáltatók, TLD-névjegyzékek, felhőalapú számítástechnikai szolgáltatók, adatközpont-szolgáltatók, tartalomszolgáltató hálózatok, megbízható szolgáltatók, nyilvános elektronikus hírközlési hálózatok és nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatói

IKT-szolgáltatáskezelés irányított szolgáltatók és irányított biztonsági szolgáltatók

Közigazgatás  

Űrkutatás  

Egyéb kritikus ágazatok:

Postai és futárszolgálatok  

Hulladékgazdálkodás  

Élelmiszeripar  

Gép- és járműipar részei orvosi eszközök, számítógépek és elektronika, gépek és berendezések, gépjárművek, pótkocsik és félpótkocsik, valamint egyéb szállítóeszközök gyártása

Digitális szolgáltatók online piacterek, online keresőmotorok és közösségi hálózati szolgáltatási platformok

Kutatási szervezetek  

A pontos ágazati definíciókat a rendelet I. számú melléklete tartalmazza.

Ugyan a tagállamok egyénileg felelősek azon szervezetek meghatározásáért, melyek alapvető szolgáltatásokat nyújthatnak, a NIS2 meghatároz alapfeltételeket, melyeknek meg kell felelni a nemzeti jogalkotás során. Az alapfeltételek szerint például az irányelv vonatkozik minden közép- és nagyobb vállalatra, illetve azokra, melyek mérettől függetlenül a kritikusnak és különösen fontosnak ítélt szektorok valamelyikében végeznek tevékenységet.

Pontosabb definíciót majd a magyar szabályozás alkot erre.

A NIS2 irányelv jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére az EU-ban, aminek célja, hogy hozzájáruljon a belső piac általános működéséhez.

Az irányelv a NIS1 irányelv alapját képező 3 fő pillérre épül:

• A NIS2 előírja a tagállamok számára, hogy fogadjanak el nemzeti kiberbiztonsági stratégiát. A tagállamoknak továbbá ki kell jelölniük a kockázat- és eseménykezelésért felelős nemzeti számítógépes biztonsági incidenskezelő csoportokat (CSIRT), egy illetékes nemzeti kiberbiztonsági hatóságot és egy egyablakos kapcsolattartó pontot (SPOC).
• A NIS együttműködési csoport létrehozása a stratégiai együttműködés és a tagállamok közötti információcsere támogatása és megkönnyítése érdekében, valamint a nemzeti CSIRT-ek közötti gyors és hatékony operatív együttműködést segítő CSIRT-hálózat kiépítése.
• A NIS1 irányelv biztosítja, hogy a gazdaság és társadalom számára létfontosságú ágazatokban kiberbiztonsági intézkedéseket hozzanak.

A tagállamok által az említett ágazatokban alapvető szolgáltatásokat nyújtó szervezetek kötelesek kiberbiztonsági kockázatértékelést végezni, valamint megfelelő és arányos biztonsági intézkedéseket bevezetni. Továbbá a kulcsfontosságú digitális szolgáltatások (digitális szolgáltatók vagy DSP-k), például a keresőmotorok, a felhőalapú számítástechnikai szolgáltatások és az online piacterek szolgáltatóinak is meg kell felelniük az irányelv szerinti biztonsági és bejelentési követelményeknek.

A gyakorlatban a megbízható termékek és szolgáltatók azok, amelyekre az ANSSI biztonsági minősítést adott ki. Ezeket az ANSSI által jóváhagyott megoldásokat (termékek és szolgáltatók) egyetlen címszó alatt csoportosítják: biztonsági vízumok. A vízumoknak az a fő előnye, hogy az informatikai biztonsági piacon könnyen azonosíthatóvá teszik a megbízható termékeket és szolgáltatókat.

Bármilyen hardver, firmware vagy szoftver (pl.: operációs rendszerek, hypervisorok, virtualizált operációs rendszerek, alkalmazások) telepítésének feltétele a származás és az integritás előzetes hitelesítése. Ezenkívül a már meglévő operációs rendszerek és más szoftverek konfigurációját is meg kell erősíteni a támadásokkal szemben.

Minden jelentős eseményt, mely

• súlyos működési zavart okozott és/vagy okozhat
• pénzügyi veszteséget okozott
• vagyoni vagy nem vagyok kárt okozott és/vagy okozhat

indokolatlan késedelem nélkül jelenteni kell a tagállam CSIRT-jének vagy adott esetben az illetékes hatóságnak. Vagyis az eseményről való tudomásszerzéstől számított 24 órán belül korai előrejelzést, 72 órán belül pedig teljes eseménybejelentést kell benyújtani.

A teljes eseménybejelentést követő egy hónapon belül zárójelentést kell benyújtani, mely az alábbiakat tartalmazza:

• az esemény részletes leírása
• az eseményt valószínűleg kiváltó fenyegetés vagy kiváltó ok típusa
• alkalmazott és folyamatban lévő intézkedések
• adott esetben az esemény határokon átnyúló hatása.

Az illetékes hatóságok ellenőrizhetik, hogy a szervezetek rendszerei megfelelnek-e az irányelvnek. Amennyiben valamiben nem felelnek meg, az illetékes hatóságok figyelmeztetés után kötelezni fogják a szervezetet a hiányosságok és veszélyforrások kijavítására.

A tagállamoknak emellett kötelességük visszatartó erejű közigazgatási bírságokat kiszabni, melynek minimum összege 7 000 000 euró.

Nézzük meg a kritikusság 3 szintjét!

1. CE – Critical Entitles – Kritikus szervezetek
2. EE – Essential Entitles – Lényeges szervezetek
3. IE – Important Entitles – Fontos szervezetek

Ezen kategóriák a legtöbb érdekelt felet összefogják. Miért fontos ez? Mert ezek alapján jól definiálható, hogy kire mi vonatkozik.

Melyikbe tartozik a vállalkozásod?

A felelősségi lánc elve szerint méretétől függetlenül a vállalatodat EE vagy IE kategóriába lehet sorolni, ha:

Az egyetlen szolgáltatója egy alapvető szolgáltatásnak.

Egy adott jogalany ellátási láncához tartozik, amely rajtad keresztül érhető el.

REAGÁLÁS A FIZIKAI FENYEGETÉSEKRE

Minden érintett szervezetnek figyelembe kell vennie a fizikai biztonság kérdéseit. A NIS2 és a CER révén az EU létrehoz egy általános keretet, amelyet legalább tiszteletben kell tartani, és amelyet hozzá kell igazítani minden egyes konkrét helyzethez.

Néhány olyan pont, amelyre figyelmet kell fordítani:

• A helyiségek megközelítésének biztosítása.
• A helyiségekhez való hozzáférés biztosítása.
• A kritikus területek (adatközpont, tisztaszoba, gépek stb.) kezelése.
• A látogatók kezelése.
• A természeti katasztrófák kezelése.

A kommunikációs protokoll

Amint az a számos potenciális fenyegetésből látható, a hozzáférés-ellenőrzés a kiberbiztonság egyik kulcstényezője. Ez jelenti az utolsó védelmi vonalat a külvilág és egy információs rendszere között.

A beléptető rendszerek esetén valódi kapcsolatot jelent a logikai és a fizikai világ között a belépőkártya-olvasót a biztonsági rendszerrel összekötő vezetékes rendszer.

A hozzáférés-ellenőrzés kulcsa az alkalmazott kommunikációs protokoll!

Bár az első kettő már teljesen elavult, továbbra is a világpiac több mint 70%-át teszik ki. Ennek ellenére javasolt elkerülni őket. Csak az OSDP™ és a SSCP® protokollok kínálnak még ma is magas szintű biztonságot, és habár bizonyos jellemzőik közösek, vannak figyelemre méltó különbségek, amelyek a mérleg nyelvét az európai megoldás javára billentik.

Az OSDP™ és az SSCP® protokollok nagy előnye, hogy a kétirányú parancsoknak és a titkosított kommunikációnak köszönhetően intelligens és nagy teljesítményű, teljesen biztonságos ökoszisztémájú, egyszerű és könnyű kezelhetőségű megoldást kínálnak.

Válasz a logikai fenyegetésekre

A számítógépes behatolások fő oka az emberi hiba, ami jól mutatja, mennyire fontos a képzés és a megelőzés.

A kötelezettségek arányosak lesznek a szervezetek kritikusságával és méretével.

Bizonyos alapvető ellenintézkedések azért mindenkire vonatkoznak, és erősen ajánlottak minden vállalkozás számára, még az irányelv hatályán kívül eső vállalkozásoknak, valamint a magánszemélyeknek is:

• Képzés a digitális higiéniáról és a helyes kiberbiztonsági gyakorlatokról.
• Antivírus csomag telepítése (vírusirtó, spam- és adathalászat elleni védelem).
• Erős jelszavak használata és rendszeres megújítása.
• Jelszókezelő széf használata.
• A munkaállomások és a szoftverek automatikus frissítése.
• Távoli adatmentés.
• Munkaállomásonkénti tűzfal használata az internetes támadások elleni védelem érdekében.
• Tanúsítványok használata minden weboldalon.

A NIS 2 által újonnan meghatározott entitásoknak (EE és IE) a következőktől függően további biztonsági réteget kell alkalmazniuk:

• ISSM (információs rendszerbiztonsági menedzser) kinevezése.
• Az informatikai eszközök nyomon követhetősége.
• A követelményekre vonatkozó jogok korlátozása (rendszergazda, felhasználó, látogató).
• Távoli és nomád munkavégzésre vonatkozó irányítási politika.
• Helyi tűzfal telepítése a hálózat védelme érdekében.
• Az adatcsere titkosítása és VPN használata.
• Információs rendszerirányítási és felügyeleti eszközök.
• Fizikai hozzáférés-ellenőrzés a kritikus területeken (hitelesítés az adatközpontba való belépéshez).
• Támadás szimulálása a válaszadási és újraindítási folyamat teszteléséhez.