Az elmúlt években a technológiai fejlődés következtében világszerte felgyorsult a digitalizáció üteme, ami tovább növeli a támadások lehetőségét a kibertérben, ennek következtében ugrásszerűen megnőtt a kibertámadások száma. Ezért az Európai Unióban új jogszabályokkal cserélik le a korábbi irányelveket, hogy erősítsék a kibervédelmet. Ezek hasznos iránymutatást nyújtanak az érintett vállalatok számára a biztonság hatékony erősítésében, egyben további kötelezettségeket jelentenek.
Az új, eu-s direktívát – amely egységes, magas szintű kiberbiztonságot kíván biztosítani az EU egész területén -, úgy fogadták el, hogy az eddig nem szabályozott ágazatokra is kiterjesztették és egy sor információbiztonsági követelményt tartalmaz.
Szakértő: felkészülés, gyakorlat
A NIS2 a kritikus szektorokban tevékenykedő közepes méretű és nagyvállalatokra vonatkozik, beleértve a közlekedési és energiaszektort, a banki és pénzügyi ágazatot, az egészségügyet, a digitális infrastruktúra területeit és a közigazgatást.
A BlueVoyant szakértőinek tapasztalatai szerint az iparági szabályozások kifejezetten hasznosak és szükségesek. „Fontos figyelembe venni, hogy aki már most jól működő kibervédelmi rendszert épít ki, az jobban felkészül az új szabályozásokra, amelyek a következő években válnak számukra kötelező érvényűvé. A vállalatok ezzel nem csupán a szabályozásokat előzik meg, de a kiberbűnözőket is. Elemi érdekük már most foglalkozni a kérdéssel, folyamatosan napirenden tartani a témát és nyomon követni a legújabb fejlesztéseket, fejleményeket és trendeket. Nem kell megvárniuk, amíg törvénybe iktatják a jó gyakorlatokat. Az ugyanis a legjobb gyakorlat, ha szabályozás nélkül is gondoskodnak az erős védelemről” – foglalta össze Csendes Balázs, a BlueVoyant kelet-közép-európai, valamint a közel-keleti térségekért felelős értékesítési igazgatója.
Kiberbiztonsági kockázatkezelési intézkedések
A direktíva tartalmazza a kockázatelemzéstől és IT-rendszerek biztonságától kezdve a incidenskezelésen át a üzletmenet- és ellátási lánc folytonosságát biztosító biztonsági előírásokat.
Érintett szervezetek
- Energia (Villamos energia, Távfűtés és -hűtés, Olaj, Gáz, Hidrogén)
- Szállítás (Légi, Vízi, Vasúti, Közúti)
- Banki szolgáltatások
- Pénzügyi piaci infrastruktúrák
- Egészségügy
- Ivóvíz
- Szennyvíz
- Digitális infrastruktúra (pl. Internetkapcsolódási pont szolgáltatók, DNS-szolgáltatók, Felhőszolgáltatók)
- Közigazgatás
- Világűr
- Postai és futárszolgáltatások
- Hulladékgazdálkodás
- Vegyszerek gyártása, előállítása és forgalmazása
- Élelmiszer-előállítás, -feldolgozás és -forgalmazás
- Gyártás (NACE nemzetgazdasági áganként pl.: Számítógépek, elektronikai és optikai termékek gyártása, Orvostechnikai és diagnosztikai eszközök gyártása, Gépjárművek, pótkocsik és félpótkocsik gyártása, Máshova nem sorolt gépek és gépi berendezések gyártása)
- Digitális szolgáltatók (Online piacterek szolgáltatói, Online keresőmotorok szolgáltatói, Közösségi hálózati szolgáltató platform szolgáltatói).
A megfelésre való felkészítés nagy üzleti lehetőséggel bír, legyen szó szolgáltatásokról, eszközökről vagy licenszekről.
SOC: Szolgáltatás, amelyet egyre többen vesznek igénybe
NIS2 irányelv (az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedések előírt cselekvései, mint A biztonsági- eseménykezelés és reagálás, technológiai kihívás elé állítja a vállalatokat. Két út van: kiépített technológia, amely alkalmas az incidens detektálásra és elhárításra, vagy SOC-szolgáltatás igénybevétele, amely során a szolgáltató rákapcsolódik a vállalat digitális rendszerére és elvégzi azt a feladatot, amely mostanra törvényi előírás lett.
Van itt még valaki… DORA
A Digital Operational Resilience Act (DORA), a pénzügyi szektor védelmének erősítését célzó rendelet, amely 2023. január 16-án lépett életbe, 2025. január 17-től kell alkalmazni, és a pénzügyi szektor ellenállóságát kívánja erősíteni a kibertámadásokkal szemben egy egységes követelményrendszeren keresztül. Az új jogszabály meghatározza az uniós szabályozást, és igazítja a meglévő uniós pénzügyi szolgáltatásokról szóló irányelveket a 2022/2256 irányelvhez. Húszféle pénzügyi szervezetre terjed ki, illetve a külső IT-szolgáltatóikra, beleértve a felhőszolgáltatást, a szoftverfejlesztést, a supportot, a digitális szolgáltatásokat és adatszolgáltatást biztosító vállalatokat.
Mit jelent mindez a gyakorlatban?
A DORA rendelet a jelenleg rendelkezésre álló információk alapján a pénzügyi szektor informatikai biztonsági szabályaival kapcsolatban fogalmaz meg szigorúbb előírásokat, hogy ezek az intézmények és szervezetek kritikus működési zavarok esetén is rugalmasan tudjanak reagálni. Az érintett vállalatoknak többek között foglalkozniuk kell digitális reziliencia stratégiával, incidenskezelési eljárásrenddel, kockázatkezelési rendszerrel és információbiztonsági irányítórendszerrel.
A NIS2-nél központi elem a kiberbiztonsági reziliencia: olyan rendelkezéseket foglal magába, amelyek betartásával a szervezetek hatékonyabban tudnak felkészülni, védekezni és elhárítani a kiberbiztonsági incidenseket és megvédeni a kritikus infrastruktúrákat. Az érintett vállalatoknak nem csupán a saját rendszereikre kell figyelmet fordítaniuk, hanem az ellátási láncukra is. Folyamatosan monitorozniuk kell saját infrastruktúrájuk mellett a teljes beszállítói hálózatukat is, hogy gyorsan azonosíthassák, validálhassák és rangsorolhassák a kockázatokat, és szükség esetén rövid időn belül elháríthassák a kiberbiztonsági problémákat. Konkrét gyakorlatok nem szerepelnek az irányelvben, ezért a végleges követelmények országonként eltérhetnek majd attól függően, hol hogyan ültetik át a rendelkezéseket a helyi jogba.
A pontos követelményeket, kontrollokat nem az irányelv, hanem a tagállamok határozzák meg, tehát a magyar jogszabályban, amely a XX. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről címmel jelent meg.
Határidő: 2024. október 18-tól kötelezően alkalmazni kell a szabályokat és meg kell felelni az előírásoknak
Nagyjából másfél évük van az érintett szervezeteknek a felkészülésre.
Hatóság: Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH)
Van megoldás
A kibervédelemmel foglalkozó vállalatok, akár technológiával, akár szolgáltatással képesek magas szinten biztosítani egy-egy válallat számára a kibervédeleméhez szükséges elemeket. Ebben a felkészülési időszakban, amely egy-másfél év megkönnyíthetik a szervezetek számára a különböző szabályozásokkal járó kötelezettségek teljesítését.
Segítenek felépíteni és működtetni az előírások teljesítéséhez szükséges képességeket. Például átfogó megoldást kínálnak az ellátási láncok monitorozásához, ami az előzetes információk alapján fontos pont lesz a NIS2 követelményei között.
