NIS2 az IT biztonsági szakemberek számára – mi is ez, és hogyan lássunk neki az implementálásának

A NIS2 irányelv új kötelességeket ró az Európai Unió tagállamaiban működő cégekre a kiberbiztonság terén.  Azoknak a vállalatoknak, amelyekre a jelen jogszabály-módosítás kiterjed, többek között biztosítaniuk kell informatikai rendszereik működési folyamatosságát, jelenteniük kell a biztonsági eseményeket, és gondoskodniuk kell alkalmazottak kiberbiztonsági képzéséről.

Mivel a kirótt kötelességek teljesítésének elmulasztásáért kiszabott bírságok fájók lehetnek, érdemes figyelmesen tanulmányozni a témát, és megfelelően felkészíteni szervezetüket a változtatások bevezetésére. Kit érint a NIS2? Mikortól hatályos az irányelv, és hogy lehet felkészülni a bevezetésére? Ezekre és más kérdésekre is választ talál az alábbi cikkben.

Mi a NIS2?

Az Európai Parlament és a Tanács Irányelve az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS2) a digitálisan feldolgozott adatok védelméről szóló jelenlegi jogszabályok módosítása. Helyettesíti a 2016. évi előző irányelvet  – a NIS-t (Network and Information Security): kibővíti annak a hatályát és szigorúbb követelményeket vezet be.

Az Európai Unió kiber-ellenállóképességének az erősítését többek között azáltal kívánja elérni, hogy a tagállamokban egységes biztonsági standardot vezet be az informatikai hálózatokat és rendszereket illetően. Az új jogszabályok célja a szervezet ellenállóképességének a növelése a kibertámadásokkal szemben, ezzel pedig a zavarok kockázatának a csökkentése az EU tagállamok alapvető szolgáltatásai és infrastruktúrája működésében. 

Az irányelv meghatározza a kiberbiztonsággal kapcsolatos célokat, és azokat a követelményeket, amelyek ezen a téren a NIS2 hatálya alá eső szervezetekre vonatkoznak. Nem tartalmaz viszont részletes utasításokat azokra a módszerekre és megoldásokra vonatkozóan, amelyekkel a cégek biztosíthatják a feldolgozott adatok biztonságát, hanem bizonyos mértékben szabad kezet nyújt nekik. Fontos szempont azonban, hogy az egyes szervezetek által hozott intézkedések legyenek arányosak az azonosított fenyegetésekkel.

NIS2 – a legfontosabb változások dióhéjban

A NIS2 által bevezetett legfontosabb általános változtatások a 2016. évi elődhöz képest a következők:

• Az új jogszabályok jóval több szervezetre terjednek ki, mint az eddigiek. Korábban az irányelv hatálya 11 ágazatra terjedt ki, a NIS2 ezt a számot 18-ra növelte, és csökkentette a minősítési küszöböt az ágazatokban működő cégek számára. 
• A vállalatoknak biztosítaniuk kell a kiberbiztonságot az egész szállítási láncban, a kiberkockázat kezelése pedig kötelezővé vált számukra. 
• A cégek dolgozóit ki kell oktatni arról, milyen fenyegetések leselkednek rájuk a digitális világban. 
• Az igazgatótanácsok és a felsőszintű menedzserek most személyes felelősséget viselnek azokért a károkért,   amelyek a kiberbiztonság kezelésére vonatkozó követelmények hibás teljesítéséből adódnak.
• A cégeket jelentéstételi kötelezettség terheli a megfelelő országos szervek felé a náluk bekövetkezett, biztonságot sértő eseményekről.
• A tagállamok kötelesek egy, a számítógépes biztonsági eseményekre reagáló országos csoportot kijelölni (CSIRT, Computer Security Incident Response Team). A nemzeti egységek szorosan együtt fognak működni egymással az unió egész területén. 

Mik a jogszabályi változtatások céljai?

A NIS2 által bevezetett módosítások választ jelentenek az utóbbi években Európában feltűnt digitális fenyegetések széles körére. A kibertámadások egyre gyakoribbak és fejlettebbek. A NIS2 célja, hogy jobban felkészítse a szervezeteket és a társadalmat arra, hogyan birkózzanak meg a fokozódó kiberfenyegetésekkel, és hogyan biztosítsák az állam megfelelő működéséhez lényeges szolgáltatások és infrastruktúra folyamatosságát.

A jogszabályok egységesítése az EU egész területén meg fogja könnyíteni a tagállamok közötti együttműködést, és hatékonyabbá teszi az adatok védelmét. Lehetővé teszi a gyorsabb és hatékonyabb választ az eseményekre, az információcserét a fenyegetésekről és az intézkedések európai szintű koordinálását.

NIS2 irányelv – kire vonatkozik?

Az új irányelv hatálya alá tartoznak mindazon (mind magán, mind állami) szervezetek, amelyek az Európai Unió területén működnek, és alapvető szolgáltatásokkal jelennek meg a piacon. 

A NIS2 irányelv két kategóriába sorolja a szervezeteket – alapvető és fontos szervezetek. Ezek nagy és közepes, a társadalom és a gazdaság működése szempontjából alapvető jelentőségű, (az alább említett) ágazatokban tevékenykedő szervezetek. Az adott csoportba való tartozást a vállalat nagysága dönti el. 

Az irányelv hatálya olyan természetes vagy jogi személyekre és jogi személyiség nélküli szervezeti egységekre terjed ki, amelyek nagy vagy közepes vállalatnak minősülnek, tehát olyannak, amelyek az alábbi feltételeket együttesen felülmúlják (alapvető) vagy teljesítik  (fontos szervezetek):

• alkalmazotti létszám: 50 és 250 fő között,
• éves forgalom: 10 és 50 millió euró között, a teljes éves mérleg összege pedig 10 és 43 millió euró között.

Lényeges, hogy az adott cég a méretétől függetlenül a NIS2 hatálya alá eshet, ha fontos szerepet játszik az egyik – az állam működése szempontjából kiemelt fontosságú – ágazatban.

NIS2 – kiemelt ágazatok

Ebbe a csoportba tartoznak az állam működése szempontjából kiemelt fontosságú ágazatokban működő szervezetek:

• Energia – elektromos energia, földgáz, kőolaj, hőenergia és hidrogén előállítása, elosztása és továbbítása.
• Szállítás – légi, vasúti, vízi és közúti szállítás, szállítási infrastruktúra üzemeltetői.
• Bankszektor – hitel- és befektetési intézetek.
• Pénzügyi piaci infrastruktúra – értékpapír-tőzsdék, központi értékpapír-letétek, elszámolási irodák, fizetési és elszámolási rendszerek.
• Egészségügy – kórházak, gyógyászati szolgáltatók, orvostechnikai eszközök gyártói és forgalmazói, laboratóriumok.
• Ivóvíz – ivóvízellátás.
• Digitális infrastruktúra – digitális szolgáltatások szolgáltatói (pl. felhő-szolgáltatások, online keresőprogramok, elektronikus kereskedési platformok), nyilvános elektronikus hírközlési hálózati szolgáltatók, doménnév-nyilvántartók (DNS) szolgáltatásai, bizalmi szolgáltatások (pl. elektronikus aláírás és pecsét).
• Közigazgatás – központi és regionális igazgatás.
• Űrágazat – műholdas rendszerek üzemeltetői, űrben használt felszerelések gyártói, indítási szolgáltatások.
• Élelmiszer-termelés, -feldolgozás és -forgalmazás – élelmiszer-termelők, -feldolgozók és -forgalmazók.
• Postai szolgáltatások – nyilvános szolgáltatásokat nyújtó postai szolgáltatók.
• Hulladékgazdálkodás – hulladékok gyűjtésével, szállításával, újrahasznosításával és ártalmatlanításával foglalkozó szervezetek.

NIS2 – fontos ágazatok

Azok az ágazatok, amelyek működése szintén jelentős a társadalom és a gazdaság szempontjából, de annak zavara kevésbé fájdalmas, mint az alapvető jelentőségű szervezeteké. Ebbe a csoportba tartoznak:

• Postai és futárszolgáltatások – postai és egyéb közszolgáltatásokat nyújtó szolgáltatók és futár-szolgáltatók.
• Bizonyos kritikus termékek gyártása – vegyi anyagok, gyógyászati termékek, számítógépes hardver, elektronikus és optikai felszerelés, gépek és berendezések, motoros járművek, pótkocsik és nyerges pótkocsik, egyéb szállítási eszközök gyártása.
• Digitális szolgáltatások – digitális szolgáltatók (pl. közösségi média platformok, videómegosztó platformok, információcsere platformok), adatközpont-kezelő szolgáltatók, internet-szolgáltatók, nyilvános elektronikus hírközlési hálózati szolgáltatók, doménnév-nyilvántartók (DNS), bizalmi szolgáltatások (pl. elektronikus aláírás és pecsét) szolgáltatói.
• Kutatás és fejlesztés – a nemzetbiztonság vagy gazdaság számára kiemelt jelentőségű területeken kutatást vagy fejlesztést végző szervezetek.

Vajon az Ön cégére kiterjed-e a NIS2 hatálya?

Az új jogszabályok kötelezik a cégeket az önazonosításra, ami azt jelenti, hogy önállóan kell értékelniük, vonatkozik-e rájuk a NIS2-ből eredő szabályozás. 

Hogy segítsük Önt ebben az értékelésben, összeállítottunk egy rövid kérdőívet, amely figyelembe veszi a minősítés legfontosabb elemeit:

NIS2 – követelmények a kiberbiztonság terén

A NIS2 hatálya alá tartozó cégek kötelesek bevezetni egy sor, a kiberbiztonsággal és az események bejelentésével kapcsolatos „műszaki, műveleti és szervezési” intézkedést. 

Az intézkedések legyenek megfelelőek és arányosak.

Érdemes itt kihangsúlyozni, hogy ezek az intézkedések „megfelelőek és arányosak” legyenek, ami azt jelenti, hogy eltérőek lesznek egyes konkrét vállalatok esetében, ugyanis nekik maguknak kell értékelniük, milyen védelmi szint lesz megfelelő a fellépő kiberkockázat tükrében. 

Amint magában az irányelvben olvasható: „Az intézkedések arányosságának értékelésénél figyelembe kell venni a vállalat kockázati kitettségét, a szervezet nagyságát, az események fellépési valószínűségét és azok súlyosságát, ideértve azok társadalmi és gazdasági következményeit.”

NIS2 – kötelező elemek

Az új jogszabályok világosan meghatározzák azon intézkedések minimális körét, amelyeket a vállalatnak fel kell vállalnia, hogy megfeleljen a NIS2-nek. Ezek közé tartoznak:

• a kockázatelemzést és az informatikai rendszerek biztonságát illető politika kidolgozása; 
• események kezelése; 
• a működés folyamatosságának biztosítása, pl. biztonsági másolatok kezelése és a normál működés visszaállítása egy rendkívüli helyzet fellépése után, kríziskezelés; 
• gondoskodás a szállítási lánc biztonságáról, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságát érintő kérdéseket; 
• a biztonság garantálása a hálózatok és informatikai rendszerek beszerzési, fejlesztési és fenntartási folyamatában, beleértve a gyenge pontok esetén követendő eljárást és azok feltárását. 
• szakpolitikák és eljárások kidolgozása annak megítélésére, mennyire hatékonyak az intézkedések a kiberbiztonsági kockázatkezelés terén; 
• a kiberhigiénia alapvető gyakorlatának betartása és kiberbiztonsági képzések végzése; 
• a kriptográfiai – és indokolt esetben a titkosítási – politika és eljárás kidolgozása; 
• az emberi erőforrások biztonságának garantálása, beléptetési politika és forrás-menedzsment; 
• adott esetekben – többelemes vagy folytonos hitelesítés, védett beszéd-, szöveg- és video-összeköttetések, továbbá védett belső hírközlési rendszerek alkalmazása rendkívüli helyzetekben.

NIS2 – mikor lép érvénybe Magyarországon?

Az irányelvet legkésőbb 2024. október 17-ig átültetik a magyar jogrendbe. A vállalatok kötelesek önállóan megítélni, hogy az új szabályozások vonatkoznak-e rájuk, és ha igen, akkor jelezni ezt a tényt az irányelv alá tartozó szervezetek nemzeti nyilvántartásának. A digitális szolgáltatásokat nyújtó cégeknek erre 2025. január 17-ig van idejük, a többieknek pedig 2025. április 17-ig

Mivel fenyeget, ha nem felel meg a NIS2-nek?

Az adott cég besorolásától függően, a NIS2-ből eredő kötelességek elmulasztásáért akár 10 millió euró vagy az éves forgalom 2%-a (kulcsfontosságú szervezetek esetén), illetve 7 millió euró vagy az éves forgalom 1,4%-a (fontos szervezetek esetén) – közigazgatási bírság is kiszabható. 

Fontos, hogy a pénzbírságon kívül egyéb szankciókkal is sújthatók a cégek, például:

• adott intézkedések kötelező elvégzése a hiányosság megszüntetése és az irányelvnek való megfelelés céljából,
• kötelező érvényű utasítások kiadása adott biztonsági intézkedések bevezetését illetően,
• megbízás biztonsági audit lefolytatására,
• rendelkezés az ügyfelek értesítéséről, ha személyes adataik veszélybe kerültek,
• a szervezet működésének időleges felfüggesztése,
• a nyilvános versenytárgyalásokon való részvétel tilalma.

A kiszabott bírságok függenek attól, mennyire súlyosak a mulasztás következményei, és összegük figyelembe veszi a szervezet nagyságát és pénzügyi lehetőségeit – úgy, hogy a szankciók hatékonyak, de ne rombolóak legyenek.

NIS2 – hogyan lássunk neki, és mire ügyeljünk

Hogyan kezdjük felkészíteni a szervezetet az új jogszabályokból fakadó követelmények teljesítésére? 

Legjobb, ha a kiinduló állapot meghatározásától.  Ehhez elemezze, milyen informatikai rendszereket használ a cége, majd határozza meg azok jelentőségét az üzletmenet folytonosságát illetően, továbbá tárja fel a gyenge pontokat és azt, hogy azok milyen potenciális fenyegetéseknek vannak kitéve. 

Ennek alapján meg tudja határozni, hogy szükség van-e járulékos védelmi intézkedések bevezetésére és a cégnél hatályos biztonsági intézkedések esetleges módosítására. 

Az új jogszabályok kidolgozásánál a döntéshozók különös figyelmet fordítottak arra, hogy az informatikai rendszerek biztonsága csak akkor garantálható, ha az egyes folyamatokat folyamatosan monitorozzák. Nem elegendő tehát egyszer konfigurálni a rendszereket – folyamatosan ellenőrizni kell a működésüket, fel kell tárni az esetleges fenyegetéseket, és optimalizálni kell a beállításokat, fokozva ezzel hatékonyságukat a biztonság megőrzésében. 

A következő fontos lépés az eljárások felkészítése arra az esetre, ha olyan biztonsági események lépnek fel, amelyek fenyegetést jelentenek a rendszerek és az egész szervezet működésének folyamatosságára. Természetesen, ezek az események többé vagy kevésbé jelentősek lehetnek, és eltérő kockázati szintet képviselhetnek. A megtett intézkedések mindig legyenek arányosak a fellépő fenyegetéssel – a NIS2 által bevezetett változtatások kötelezővé teszik a szervezetek számára, hogy bejelentsék az eseményeket a megfelelő országos szerveknek. Minden esetben érdemes tehát verifikálni, hogy az esemény bejelentésre kötelesnek minősül-e.

A FOTC szakemberei segítenek Önnek, hogy megfeleljenek a NIS2 követelményeinek

Ha cége a NIS2 hatálya alá tartozik, de a téma túl bonyolultnak tűnik az Ön számára, és nem tudja, hogyan lásson neki a változtatások bevezetésének, lépjen kapcsolatba szakértőinkkel. A FOTC mérnökei segítenek Önnek egy olyan Google-felhőbe áttelepíteni az infrastruktúrát, amelyben biztosítva van a rendszerek működési folyamatossága, és a szigorú biztonsági standardok teljesítik a NIS2 által támasztott követelményeket. 

Az alábbi szolgáltatásaink segítenek Önöknek, hogy megfeleljenek a NIS2-nek:

• Cég migrálása a Google Workspace-be – A szolgáltatás teljesíti az olyan vállalatokra vonatkozó összes biztonsági követelményt, amelyek különösen szigorú előírásokat kötelesek betartani a feldolgozott információk védelmét illetően. Az adatok mind nyugalmi állapotban, mind pedig a küldés során titkosítottak, a rendszerek működési folyamatossága pedig a SLA által eléri a 99,9999% szintet.
• Google Workspace biztonsági monitoring – ez egy olyan szolgáltatás, amelynek révén folyamatosan tájékozódhat minden olyan komoly fenyegetésről, amely cégénél a Google Workspace csomagnál fellépett. A FOTC szakemberei 24/7 szerint monitorozzák a szolgáltatás biztonságát, és a megfelelően konfigurált riasztások lehetővé teszik az azonnali megelőző intézkedéseket. Mérnökeink pontos eljárásokat dolgoztak ki arra az esetre, ha biztonsági események lépnek fel.
• Képzés a felhasználók és a rendszergazdák számára – az ügyfelek felhő-infrastruktúrájának biztosítása terén szerzett gazdag tapasztalatainkat megosztjuk a képzésben résztvevő Google Workspace felhasználókkal és rendszergazdákkal:

Google Workspace biztonsági audit – a FOTC mérnökei által elvégzett audit alapján meghatározható az Ön Google Workspace beállításainak kiindulási szintje abból a szempontból, hogy mennyire védett az adatszivárgások, a kibertámadások és az alkalmazottak tisztességtelen tevékenysége ellen: A verifikálás kiterjed akár 237 kockázati pont részletes elemzésére a tizenegy kiemelt területen.