Az Európai Bizottság NIS 2 irányelve összefoglaló kiberbiztonsági intézkedéseket és javaslatokat tartalmaz annak érdekében, hogy tovább fejlessze a proaktív védekezést és az incidenskezelési stratégiákat az illetékes hatóságokkal, valamint állami és magánszervezetekkel.
A NIS2 Uniós direktíva és a kapcsolódó egyik hazai jogszabály, a 2023. XXIII. törvény vegyes fogadtatásban részesült a hazai piacon. Az ellenállás mögött változatos érzések és tapasztalatok állnak, egyrészről sokan az új GDPR-t látják benne, másrészről a szabályozás olyan kritériumokat támaszt az érintettekkel szemben, amelyek megugrása komoly fejtörést okozhat még a jó IT infrastruktúrával és magas büdzsével rendelkező IT vezetők számára is.
Akárhogy is, a NIS2 alapjaiban igyekszik megváltoztatni az európai és regionális kiberbiztonságot, és olyan erős védvonalak közé szorítani, amin nehezen ütnek lyukat a most virágzó bevételt generáló „egyszerű” támadások. Az ellenállás és a szkeptikus fogadtatás a Szabályozott Tevékenységek Felügyeleti Hatóságának intenzív tájékoztatója kampányát látva azonban igencsak pozitív irányba kezdett elmozdulni.
Megváltozott a támadások jellege
Az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) 2023-ban is listázta azokat a fenyegetéseket, amelyekkel a vállalkozásoknak nap mint nap szembe kell nézniük az online térben: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek az olyan káros kódok, mint például a trójai vírusok és különféle kémprogramok. A túlterheléses támadások szintén napi szereplői a híreknek, illetve a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva. De hogyan változott ez a felsorolás mostanra, és melyek célozzák leginkább a cégeket, vállalkozásokat?
„Az ENISA éves jelentései nagyon jól leképezik a nemzetközi globális trendeket, tehát nem csak Európában figyelhetőek meg az előbb említett támadások, hanem a világ minden táján gyakorlatilag ezekről lehet hallani, kiegészítve mondjuk a rettentően sokféle adathalász támadásokkal és az úgynevezett. APT csoportok által elkövetett támadásokkal, akik az előbbi módszerek közül bármelyiket, akár többet egyszerre is használhatnak. Az APT (Advanced Persistent Threat) csoportok olyan kiberbűnözői szervezetek, amelyek hosszú távú, célzott támadásokat hajtanak végre az áldozataik ellen, akik jellemzően nagyobb gazdasági szervezetek és államok. A mai korban már amúgy is azt lehet inkább mondani, hogy a támadások jellege megváltozott, gyakran egymást kiegészítve, egymást erősítve használják ezeket a bűnözők. Például egy zsarolóvírus támadásnak roppant jól megágyazhat akár egy adathalász támadás, vagy egy sebezhetőség kihasználása, illetve a zsarolóvírus mellett mintegy kiegészítésként akár túlterheléses támadást is indíthatnak a kiberbűnözők egy-egy cég ellen”
– mondta Bor Olivér, kiberbiztonsági és kommunikációs szakértő.
A fentiekből jól körvonalazódik, hogy teljesen másfajta megközelítésre van szükség a védekezésben, mint 8-10 évvel ezelőtt. A hatékony védekezéssel kapcsolatban a szakértő arra a már szinte közhellyé vált dologra hívta fel a figyelmet, miszerint lehet bármennyire jó egy adott cég kiberbiztonsági ökoszisztémája és védelme, ha a munkavállalói – akár maga a vezetői állomány – nem kellően felkészültek és nincsenek felvértezve a védekezési információkkal, tudással, akkor a technika önmagában kevésnek fog bizonyulni.
NIS2 ≠ Kibertan.tv.
A NIS2-t a néhányan hajlamosak a mindent megoldó szabályozásként is kezelni, ami szinte varázsütésre megoldja a hazai színtéren (is) dúló kiberbiztonsági problémákat, a helyzet azonban közel sem ilyen egyszerű.
„Ez nem egy csodafegyver, nem fogja megoldani és kezelni a kiberfenyegetések jelentette kockázatokat, hiszen a szabályozás maga erre nem képes. Egyedül semmit sem ér, ehhez kellenek a tagállamok, kellenek az érintett vállalatok, kellenek az érintett cégeknél dolgozó munkavállalók és a kiberbiztonsági szakértők is. A NIS2 irányelv egy keretjogszabály, amely a címzett európai uniós tagállamok vonatkozásában bír jogi kötőerővel, kötelezettséget a tagállamok vonatkozásában állapít meg. Tehát ez egy kvázi zsinórmértéket szab a tagállamok számára az elérendő célok és a szabályozás alá vont területet érintő alapvető követelmények vonatkozásában, egyebekben a tagállamokra bízza, hogy milyen formában és módszerrel biztosítják nemzeti jogukban az irányelvben meghatározott célok és alapvető követelmények érvényesülését. Ez lehetőséget ad minden tagállamnak, hogy a nemzeti sajátosságait figyelembe véve (piaci körülmények, államigazgatási berendezkedés, kiberbiztonsági célkitűzések és szervezetrendszer) alakítsa NIS2 irányelvi megfelelését”
– mondta Bor Olivér.
Magyarországon az implementációs folyamat egyik legfontosabb eleme a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: Kibertan.tv), amely az Unión belül az egyik első ilyen nemzeti jogszabályként értelmezhető.
A törvény a NIS2 hatályba lépését követő négy hónapon belül kihirdetésre került. Ennek oka, hogy a NIS2 szabályozással érintett szervezetek, így a Kibertan.tv. szerinti érintett szervezetek többsége Magyarországon hasonló jellegű szabályzással korábban nem találkozott, a megfelelő felkészülési időt a jogalkotó szerette volna biztosítani a kötelezetteknek.
A NIS2 irányelv közvetlenül nem alkalmazható a tagállamokban, így a piaci szereplők vonatkozásában a Kibertan.tv. a vonatkozó jogi aktus. Fontos kiemelni, hogy a Kibertan.tv. nem terjed ki az összes, NIS2 által érintett ágazatokra, például nem tartoznak hatálya alá a közigazgatási intézmények, melyek a korábban említett 2013. évi L. törvény hatálya alá tartoznak, továbbá a pénzügyi- és banki szolgáltatók, melyek hatósági felügyeletét Magyarországon a Magyar Nemzeti Bank látja el. A másik oldalról vizsgálva a Kibertan.tv. a NIS2-höz képest egyes ágazatok tekintetében kibővített hatályt rögzített, ilyen – a NIS2-ben nem szereplő – alágazat például a közlekedésen belül a tömegközlekedési szektor. A Kibertan.tv. szerinti érintettek kiberbiztonsági felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el.
Ki az, aki érintett?
Nem lehet elégszer kérdezni, kiket érint pontosan a szabályozás, hiszen a törvény hatálya alá tartozó szervezeteknek saját maguknak kell felismerniük, hogy az érintettek csoportjába tartoznak és 2024. június 30-ig a rendeletben meghatározott adataikat az SZTFH felé nyilvántartásba vételre meg kell küldeniük.
Az érintetti kört Magyarországon nagyjából 2500 cégre lehet tenni. Összetétel tekintetében pedig meglehetősen heterogén a kör, hiszen – a NIS2 alapján többek között – érintett ágazat az energia, a közlekedés, az egészségügy, a gyógyszeripar, a digitális infrastruktúrák, a hulladékgazdálkodás, a járműgyártás, az élelmiszer előállítás és forgalmazás, vagy éppen az űripar is. A felsorolás nem teljes, ezt most ki kell emelni.
„Az érintett ágazatok közül azért akad olyan, ahol eddig nem fektettek akkora hangsúlyt a kiberbiztonságra, mint amennyire mondjuk jelen szabályozás kapcsán fektetniük kell majd. Fontos amúgy, hogy akkor élnénk egy kiberbiztonság szempontjából ideálisnak tűnő világban, ha az érintett ágazatokban tevékenykedő cégek maguktól, a szabályozások nélkül is sokat tennének a kiberbiztonsági érettségük érdekében. De azért azt sem szabad vitatni, hogy lesznek olyan vállalatok, akik azért magasabb érettségi szintről indítják majd a felkészülést”
– tette hozzá Bor Olivér.
Kritikussági szint szerint két kategóriába sorolhatóak az érintett szervezetek:
- A „Kiemelten kritikus” kategóriába tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.
- A törvény az „Egyéb kritikus” ágazatok kategóriába sorolja a postai és futárszolgáltatásokat, hulladékgazdálkodást, vegyszerek gyártását, előállítását és forgalmazását, élelmiszer-termelését, -feldolgozását és -forgalmazását, gyártást, a digitális szolgáltatókat, valamint a kutatást.
A jogszabály megismerését követően – amelyben a Hatóság többek között a rendszeres tájékoztató tevékenysége mentén nyújt segítséget – az első lépés az, hogy a cégek el tudják dönteni saját magukról, hogy érintettek-e a szabályozásban. Ezt követően szükséges felismerniük, hogy milyen információbiztonsági kockázatokkal kell szembenézniük a saját működésük során, illetve tisztában kell lenniük azzal, hogy milyen adatvagyon van a birtokukban. Érdemes és talán javasolt azon elgondolkodniuk, főleg ha a szervezeten belül nincs rá erőforrás, hogy tanácsadó segítségét veszik igénybe, akik segítenek csökkenteni a kockázatokat és feltárni a kiberbiztonsági hiányosságokat.
A hazai implementációs folyamat jelenleg is zajló konkrét lényeges eleme a cégek önazonosítása és nyilvántartásba vétele. Azon cégek, amelyek a hazai jogszabály (Kibertan.tv.) hatálya alá tartoznak, ezt 2024. június 30-ig tehetik meg a 420-as számú „Érintett szervezet nyilvántartásba vételére irányuló kérelem” elnevezésű űrlap kitöltésével és beküldésével. Az SZTFH ehhez kapcsolódó segédlete elérhető a Hatóság weboldalán. Amit mindenképpen hangsúlyozni kell, hogy ezzel az érintett szervezet feladata és tennivalója nem ér véget, hiszen – többek között – 2025 év végéig egy kiberbiztonsági auditon is át kell esniük, amelyet majd két évente szükséges lesz megismételni.
A szekértő kiemelte, hogy a tájékozódást segíti a Hatóság tavalyi kezdeményezése, miszerint az ország legnagyobb ipari központjaiban, kvázi egy roadshow keretein belül tartunk előadásokat az aktuális kiberbiztonsági trendekről, a vállalatokra leselkedő online veszélyekről, és magáról a NIS2-ről, illetve még inkább a hazai implementációs folyamat lényeges szabályozásáról, a Kibertan.tv-ről. Idén nyolc helyszínen tartunk ilyen tájékoztatókat, de nyárig heti szinten nagyjából 4-5 más rendezvényen is találkozhatnak az SZTFH munkatársaival az olvasók, hiszen rengeteg előadást tartunk és kerekasztal-beszélgetésen veszünk részt, mindent a cselekvő állam részeként, fókuszba helyezve az edukációt és a tájékoztatást. De kiemelném még a Minden Kiberül podcastet is, ahol az egyik legutóbbi adásban épp a Nemzeti Kibervédelmi Intézet munkatársaival veséztük ki a Kibertan.tv-t.
A NIS2 három legfontosabb eleme
A NIS2 kapcsán két dolog azonnal felmerül: a beszállítói lánc védelme és az incidensjelentési kötelezettség. A szabályozói csomag két legfontosabb eleme mellett azonban vannak még „kiemelkedők”.
„Ahhoz, hogy a teljes képet megértsük, induljunk egy kicsit messzebbről: a NIS2 azt mondja például, hogy a tagállamoknak nemzeti kiberbiztonsági stratégiákat kell készíteniük és elfogadniuk, valamint illetékes hatóságokat, kiberválságok kezelésével foglalkozó hatóságokat, kiberbiztonsággal foglalkozó egyedüli kapcsolattartó pontokat és számítógép-biztonsági eseményekre reagáló csoportokat (CSIRT-ek) kell kijelölni és létrehozni. Ebben az esetben azért itthon jól állunk: stratégia is van, hatóságok is működnek és CSIRT-ünk is van, ez a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetén belül működik”
– mondta Bor Olivér.
A NIS2 minden tagállam számára előírja, hogy az alapvető és fontos szervezetek (Kibertantv. szerint kiemelten kockázatos és kockázatos szervezetek) indokolatlan késedelem nélkül értesítsék a saját országukban működő CSIRT-et vagy adott esetben az illetékes hatóságát minden olyan eseményről, amely jelentős események tekinthető. Az, hogy mi a jelentős esemény, azt az irányelv egy kicsit bonyolultabban, de leírja. Itt még meg kell említeni, hogy bizonyos adott esetekben az érintett szervezeteknek indokolatlan késedelem nélkül értesíteniük kell a szolgáltatásaikat igénybe vevőket is azon jelentős eseményekről, amelyek valószínűleg hátrányosan érintik az említett szolgáltatások nyújtását. Ezen információkra a CSIRT-eknek az események határokon átnyúló hatásai miatt is szüksége van.
Ami az incidensek bejelentését illeti a NIS2 tekintetében, ott ismételten az indokolatlan késedelem nélküli kifejezést használja az EU, kiegészítve azzal, hogy a jelentős eseményről való tudomásszerzéstől számított 24 órán belül az érintett cégnek egy alap bejelentést kell tennie (korai előrejelzésnek nevezi ezt az irányelv), amelyben adott esetben fel kell tüntetni, hogy a jelentős eseményt vélhetően jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e határokon átnyúló hatása. Ezt követően a tudomásszerzéstől számított 72 órán belül szintén tenniük kell egy esemény-bejelentést, amely adott esetben aktualizálja a 24 órán belül bejelentett információkat, és tartalmazza a jelentős esemény első értékelését, beleértve annak súlyosságát és hatását, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat. Látható, hogy azért ez már egy komolyabb riport.
Mindezek a nemzetközi együttműködést és kommunikációt viszik előre, amely közvetett módon segíthet egyes támadások eszkalálódásának megelőzésében – summázta a kiberbiztonsági szakértő.
Felkészülnek a hazai vállalkozások
A kiberbiztonság kapcsán mindig külön kérdés a hazai vállalkozói szektor aktuális felkészültségi szintje, hiszen azért az tudva lévő, hogy a vállalkozások zömének a biztonságtudatossága nem áll a legmagasabb szinten. De vajon mennyire lesz nehéz megugrani a jogszabályban előírtakat a vállalkozásoknak és mennyire tűnik mindez életszerűnek számukra?
„Minden bizonnyal lesznek olyan cégek, akik nehezebb dolguk lesz, hiszen eddig nem vagy alig foglalkoztak, áldoztak a kiberbiztonságra. Vannak azonban olyan szervezetek, amelyekre korábban is vonatkoztak uniós kibervédelmi szabályok, de ezeknek a vállalatoknak is érdemes a nulláról indulni a felkészülésben, a NIS1 számonkérése és véghezvitele ugyanis nem igazán volt következetes, és nem nagyon hozta el a kívánt eredményt. Persze azért ezeknek a cégeknek egy vagy két fokkal könnyebb dolguk lesz. Azonban akinek a fejlettsége átlagos vagy annál rosszabb (és szerintem tényleg ez a többség), annak minél előbb el kell kezdenie a felkészülést, egyszerűen nincs mire várni. Akár jelentős versenyelőnyt is elérhetnek azok, akik időben kapcsolnak és a kötelezettségeket előnyükre fordítva biztonságosan digitalizálják az informatikai rendszereiket”
– mondta a szakértő.
Bor Olivér szerint a NIS2 – és a hazai szabályozás – előírásai nem jelentenek azonnali és elviselhetetlen terheket egyetlen érintett számára sem. A cégeknek bő egy éve van arra, hogy elvégezzék az első kiberbiztonsági auditot, azonban ez nem ok arra, hogy hátradőljenek. Minden szervezet számára ez saját üzleti érdek, és valójában már kötelezettség nélkül is meg kellett volna valósulnia. Fontos látni, hogy ezek a dolgok a jogszabályi kötelezettség nélkül is az adott cég érdekét szolgálják, hiszen a szervezetek saját jól felfogott érdeke, hogy rendszereik minél biztonságosabbak legyenek, ezzel is erősítve – többek között – a szolgáltatásaikba, a termékeikbe vetett bizalmat.
A büntetés itt is az elrettentést szolgálja
A kiberbiztonsági követelmények megvalósulásának ellenőrzésére a Kibertan.tv. felügyeleti jogkörrel ruházza fel a Szabályozott Tevékenységek Felügyeleti Hatóságát és rögzíti az ellenőrzés, nyilvántartás és szankcionálás rendjét. A jogalkotó szankciós lehetőségeket is rögzített a törvényben, amelyeket a Hatóság a jogsértéssel arányos módon alkalmazhat a kiberbiztonsági követelmények nem vagy nem megfelelő teljesítése esetében. Az érintett szervezet vonatkozásában a figyelmeztetésen kívül határidő tűzésével előírhatja a megfeleléshez szükséges intézkedések végrehajtását vagy eltilthatja a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől. Ha valamely alkalmazott intézkedés nem vezet eredményre, az SZTFH-nak lehetőségében áll bírságot kiszabni, amely nem teljesítés esetén megismételhető.
Azon szervezetek számára, akik nem felelnek meg az elvárásoknak, a NIS2 irányelv büntetési tételeket is megfogalmaz:
- Kiemelten Kritikus szervezetek esetén maximum 10.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 2%-a
- Kritikus szervezetek esetén maximum 7.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 1,4%-a
Az elvárások nem teljesítése esetén a kiszabott bírságok újból kiszabhatóak. A bírság kiszabására vonatkozó hazai szabályok a jövőben Kormányrendeletben kerülnek meghatározásra.
Mik a legfontosabb határidők?
“A NIS2 EU-s irányelv 2022 decemberében jelent meg hivatalosan, az átültetésére pedig bőven van a tagállamoknak ideje, egészen pontosan 2024. október 18-ig. De október előtt, most, azon van a fő fókusz, hogy a szervezetek felismerjék az érintettségüket és bejelentkezzenek a nyilvántartásba. Ezt 2024. január 1 és június 30-a között tehetik meg. Alapvetően a június 30-as határidő csak és kizárólag azokra a szervezetekre vonatkozik, akik 2024. január 1. előtt már megkezdték a működésüket, és érintett szervezetnek minősülnek. Előfordulhat, hogy akár a mai napi adatszolgáltatásával egy szervezet átlépi a statisztikai számaival a foglalkoztatotti létszámot, vagy a törvény hatálya alá tartozó új tevékenységet kezd meg. Rájuk a fő szöveg szerinti rendelkezések vonatkoznak, tehát a működésének megkezdését és érintett szervezetté válását követően 30 nap áll rendelkezésre a nyilvántartásba vételre. Az újonnan érintetté válókkal szemben emiatt kvázi szigorúbb a szabályozás.”
–hangsúlyozta Bor Olivér.
2024. október 18-tól válik esedékessé az éves felügyeleti díj megfizetése, melynek maximális mértékét ugyan a Kibertantv. már rögzítette (éves árbevétel 0,015%, de maximálisan 10 millió forint), a pontos díjat, illetve a fizetési határidőket egy későbbi SZTFH rendelet fogja tartalmazni. Ez a dátum azért is fontos még, mert a védelmi intézkedéseket ettől a naptól kezdve kell alkalmaznia az érintett szervezeteknek úgy, hogy a – társadalmi egyeztetésen átesett, kihirdetés előtt álló – miniszteri rendelettervezetben foglaltak alapján már besorolták az elektronikus információs rendszereiket biztonsági osztályokba.
Az érintett szervezeteknek ezt követően 2024 év végéig le kell szerződniük egy auditor céggel abból a célból, hogy 2025. december 31-ig – a védelmi intézkedések megvalósítását – egy kiberbiztonsági auditon tudják bizonytani. Ehhez az audithoz majd az SZTFH által nyilvántartásba vett auditor céget kell megbízniuk.
(Képek: ICT Global)
