Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

NIS2-minikörkép: iparágazati helyzet és az általános felkészültség

MEGOSZTÁS

A csapból is a NIS2 folyik, ennek ellenére változatos képet mutat a hazai piac a felkészültséget és a szabályozás iránti lelkesedést tekintve. Kik a szabályozás abszolút nyertesei és kik azok, akiknek a legnehezebb lesz megugrani az előírtakat?

Az idén január 1-jén hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH-rendelet. Ez a gyakorlatban azt jelenti, hogy a NIS2 kiterjed a korábbi NIS-szabályozásban szereplő alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra. Ennek értelmében az újragondolt direktíva az állami, a közigazgatási szervezetekre, illetve a magánkézben lévő közép- és nagyvállalatokra egyaránt vonatkozik. Rengeteg ágazat érintett. A teljesség igénye nélkül idesorolható az energetika, a közlekedés, az egészségügy, az élelmiszer-előállítás, a -feldolgozás, a -forgalmazás, a hulladékgazdálkodás, de a sort hosszasan lehetne folytatni. 

Ami azonban jól körvonalazódik, hogy rengeteg különféle cég érintett, ami óhatatlanul maga után vonja az eltérő felkészülési startpozíciókat. 

A cég előélete nagyban befolyásolja a sikerességet

„Lassan ébrednek az érintett informatikai szolgáltató cégek. Bár nagyon korrekt infografikákkal segítik a hatóságok az önazonosítás, illetve a hatósági regisztráció folyamatát, van sok elbizonytalanító tényező. Mi a felkészülésben, illetve a regisztráció kapcsán jól állunk, elsők között vettük az akadályt. Egyre tisztábban látunk, tapasztalatunk, a tudásunk, a kapcsolatrendszerünk és az alkalmazott/alkalmazandó technológiai megoldásaink bátorítanak arra, hogy vállaljunk NIS2-felkészítést, ne csak elméleti, hanem gyakorlati alapon is”

– osztotta meg tapasztalatait Bódis Péter, az SMP Solutions Zrt. IT-biztonsági vezetője. 

A piac másik szegmenségből érkező kiberbiztonsági szakértő, Biró Gabriella szerint a tényleges felkészülés még egyik érintett szektorban sem nem áll olyan jól. „Alapvetően a pénzügyi szektorban dolgozom, ahol most a DORA-val foglalkoznak, de azt látom, hogy a NIS2-téma is lépten-nyomon szembejön, és nem olyan rózsás a helyzet.” 

Persze sok minden befolyásolja, hogy egy adott cég éppen hol tart a versenytársakhoz képest a NIS2 által előírtak teljesítésében.

„Egyértelműen azoknak lesz nehezebb a felkészülés, akiknek korábban nem kellett szigorúan szabályozott környezetben dolgozniuk. A nagyobb, jól szabályozott szektorokban működő cégeknél rendelkezésre áll a struktúra, megvannak a szervezeti egységek, amelyeknek az a feladata, hogy az ilyen típusú elvárásoknak való megfelelést kezeljék, de a kisebb, eddig nem szabályozott szereplőknek ez teljesen új terep”

– mondta Biró Gabriella. 

Bódis Péter megítélése szerint abban a szektorban nagyon nehéz és szokatlan, ahol ennek semmilyen előzménye nincs, ahol az ilyen típusú információbiztonsági auditra való felkészülés még nem volt a napi munka része. Az államigazgatásban és a kritikus infrastruktúra üzemeltetésében résztvevőknek komoly tapasztalata és tudása van, ott talán könnyebb lépések ezek. 

NIS2 szektorális körkép
NIS2 szektorális körkép

A NIS2-re való felkészülés legnagyobb és legkisebb akadályai

Bódis Péter szerint komoly gát az, hogy hiányzik a végrehajtási rendelet, az akadályozó tételek számbavétele mentén haladva Biró Gabriella két másik dolgot is megnevezett:

„Egyfelől most túl nagy a zaj, mindenki a NIS2-ről beszél, de ettől még nem mindenki ért hozzá, és nem mindig könnyű kiszűrni, hogy kire érdemes hallgatni. Másrészt ez egy új irányelv, még zajlik az átültetése, ráadásul országonként, tehát még vannak nyitott kérdések, és az is lehetséges, hogy egy több országban működő cégcsoportnak többféle értelmezéssel kell megküzdenie.”

Természetesen az érem másik oldalát sem szabad elhanyagolni, hiszen a NIS2 kapcsán felmerülő ezernyi nehézség mellett akadhat olyan része a szabályozásnak, amit könnyebb megugrani, ám Biró Gabriella nem ennyire optimista, azzal üti el a kérdést, hogy nem mer ilyet mondani. Bódis Péter a NIST 800-53 Rev 5 tanulmányozását ajánlja, ami mint forrás biztosan hasznos lehet.

Fókuszban a beszállítói láncok – egységben az erő?

A NIS2-ben hangsúlyos szerepe van az incidensbejelentési kötelezettség mellett a beszállítói láncok biztonságának is, amire az elmúlt néhány év nyomós okot szolgáltatott. 

„Ha megnézzük az elmúlt pár év legsúlyosabb IT-biztonsági incidenseit, amik a sajtót is megjárták, sok olyan esetet találunk, ami a beszállítói lánchoz köthető. Azt gondolom, hogy ezeket a kockázatokat szerette volna hatékonyabban kezelni a szabályozó”

– tette hozzá Biró Gabriella. Azzal folytatta, hogy „mindenképp aktuális volt a 2016-ban kiadott NIS-direktíva felülvizsgálata, tehát az nem kérdés, hogy szükség volt a NIS2-re. Hogy beváltja-e a hozzáfűzött reményeket, azt csak néhány év múlva lehet megmondani, de az már most látszik, hogy – valószínűleg a szélesebb hatókör miatt – nagyobb figyelmet kap, mint a korábbi szabályozás.”

„Komoly támadási lehetőség és módszer a beszállítók blokkolásával a cél elérése, a vállalat működésének akadályozása, viszont a NIS2-direktíva mindenképpen, végre operatív módon kontrollálja az információbiztonság követelményrendszerének alkalmazását az adott szervezetnél”

– zárta Bódis Péter.

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

PODCAST

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!