NIS2, az idei év mumusa az IT szakmában?

NIS2 útmutató, NIS2 tanácsadás, NIS2 bevezetés - THE IT Solutions Kft.

A NIS2 az idei év egyik legfontosabb és legtöbbet elhangzott kulcsszava a kiberbiztonság és az IT területén. Összeszedtük a NIS2 direktíva kapcsán leggyakrabban felmerülő kérdéseket és válaszokat. Amennyiben Önben is felmerültek már ezek a kérdések, akkor érdemes elolvasnia ezt a cikket.

(1) Mi is az a NIS2?
(2) A hatálya alá tartozom én is? Vonatkozik a NIS2 a mi vállalatunkra?
(3) Elkéstem már, vagy hol kellene éppen tartanom?
(4) Milyen témákat ölel fel a NIS2?
(5) Hogyan fogom teljesíteni a NIS2 irányelv jogszabályi követelményeit?

1) Mi is az a NIS2?

A NIS2 (Network and Information Systems Directive) egy új EU-s irányelv, ami alapján minden ország megalkotja a saját vonatkozó jogszabályát.

A kibertérben egyre gyakoribbá váló kibertámadásokra kíván reagálni ez a direktíva, aminek kapcsán itt, Magyarországon az SZTFH-val (Szabályozott Tevékenységek Felügyeleti Hatósága), mint felügyeleti szervvel, illetve az NKI-val (Nemzeti Kibervédelmi Intézet) fogunk gyakran találkozni.

A cél egy olyan minimális IT biztonsági szint kikényszerítése, aminek segítségével az egész EU-ban növelni tudjuk a kibertámadások elleni védelmet és az információbiztonságot. Ebből következik, hogy a NIS2 nem csak a hatálya alá tartozó cégek számára tűzi ki célként a biztonsági szint növelését, de az ellátási lánc teljes egészén.

2) A hatálya alá tartozom? Vonatkozik a NIS2 a mi vállalatunkra is?

A jó hír, hogy a NIS2 irányelv különbséget tesz cégek között, azokat kategóriákba sorolja be (illetve a cégek saját magukat), és az alapján állapítja meg a különböző követelményeket.

A Nemzeti Jogszabálytárban meghatározásra kerülnek azok a szolgáltatók, illetve szervezetek, amik a NIS2 direktíva hatálya alá tartoznak. A törvény a különböző szervezeteket ágazatok és alágazatok szerint kategorizálja. Az ágazatok, akiket érint a NIS2 irányelv, a következők:

Kiemelten kockázatos ágazatok:

Energetika
Közlekedés
Egészségügy
Ivóvíz, szennyvíz
Hírközlési szolgáltatás
Digitális infrastruktúra
Kihelyezett IKT szolgáltatások
Űralapú szolgáltatás

Kockázatos ágazatok:

Postai és futárszolgálatok
Élelmiszer előállítása, feldolgozása és forgalmazása
Hulladékgazdálkodás
Vegyszerek előállítása és forgalmazása
Gyártás (pl.: orvostechnikai eszközök, számítógép, elektronikai és optikai termékek, villamos berendezések, gépjárművek stb.)
Digitális szolgáltatók
Kutatás

A teljes, részletes NIS2 jogszabály, az összes ágazattal és alágazattal itt tekinthető meg. („7. A kiberbiztonsági felügyelettel érintettek köre” fejezetben, illetve a mellékletekben találhatóak a részletek).

Szakértői TIPP: Ha a fentiek alapján nem tudja eldönteni, hogy az Ön cége beletartozik-e valamelyik jogszabályi kategóriába, akkor legjobb, ha felveszi a kapcsolatot az SZTFH-val az sztfh@sztfh.hu címen, ahol segíteni fognak ennek meghatározásában.

3. Elkéstem már, vagy hol kellene éppen tartanom?

Azt tehát már tudjuk, hogy a cél az IT hálózatok és rendszerek megerősítése a rosszindulatú kibertámadások ellen, illetve meg tudjuk határozni, hogy a rendelet alá tartozunk-e. Nézzük meg, hogy most hol tart ez a folyamat, hova kellene eljutnunk záros határidőn belül!

2024. január 1-től-től indult az érintett szervezetek nyilvántartásba vétele, amit legkésőbb 2024. június 30-ig meg kell tennie mindenkinek! Amennyiben ezt a határidőt valaki elmulasztja, akkor az már büntetésre számíthat.

Szakértői TIPP: A nyilvántartásba vételnek vannak előfeltételei, ami miatt már ezt sem szabad az utolsó pillanatra hagyni! Az erre vonatkozó információk kapcsán is érdemes körülnézni az SZTFH honlapján.

A regisztráció tehát csak az első lépés a NIS2 irányelv adaptálása során, amit követ majd a „Védelmi intézkedések alkalmazása” (2024. október 18-tól); az „Első kiberbiztonsági audit vonatkozásában a szerződéskötés auditorral” (2024. december 31-ig); majd végül az „Első kiberbiztonsági audit lefolytatása” (2025. december 31-ig).

4. Milyen témákat ölel fel a NIS2?

Mindenkiben az merül fel kérdésként, hogy mit is kell pontosan majd csinálni, illetve mennyire/mennyiben fog ez neki fájni.

Van 2 jó és 1 rossz hírünk.

A jó hírek: Nincs új a nap alatt. Akik eddig is fontosnak tartották a IT rendszereik és hálózataik biztonságát, és megfeleltek valamilyen IT biztonsági szabályozásnak, azok többnyire már most is teljesítik a NIS2 követelményeit. A szabályozás ráadásul kimondja, hogy kockázatarányosan kell a védelmi intézkedéseket foganatosítani, tehát nem kell mindenkinek csillagrombolót építenie.

A rossz hír pedig az, hogy komolyan kell venni a NIS2-t. Nem csak a büntetések mértéke miatt, hanem azért is, mert a cégeknek saját érdekük a hálózati és információs rendszereiknek védelme.

Pénzbe fog kerülni a fejlesztés, viszont ezért a pénzért cserébe valóban kapni is fogsz valami pluszt. Ez a plusz pedig, az alábbi (tervezett) tételek kidolgozása, implementálása és az általuk nyújtott extra biztonság:

Programmenedzsment
Hozzáférés-felügyelet
Tudatosság és képzés
Naplózás és elszámoltathatóság
Értékelés, engedélyezés és monitorozás
Konfigurációkezelés
Készenléti tervezés
Azonosítás és hitelesítés
Biztonsági események kezelése
Karbantartás
Adathordozók védelme
Fizikai és környezeti védelem
Tervezés
Személyi biztonság
Kockázatkezelés
Rendszer- és szolgáltatásbeszerzés
Rendszer- és kommunikációvédelem
Rendszer- és információsértetlenség
Ellátási lánc kockázatkezelése

5. Hogyan fogom teljesíteni a NIS2 irányelv követelményeit?

Ez így első látásra elég ijesztőnek tűnhet, de nem kell megijedni, sem mumusként tekinteni a NIS2 irányelvre.

Az elengedhetetlen felkészülés és a NIS2 követelményeinek való megfelelés nem csak jogi kötelezettség, hanem a vállalatok és az egész EU digitális biztonságának növelése érdekében is szükséges.

A NIS2-vel kapcsolatosan felmerülő kihívásokra és megoldásokra fókuszáló cikkünkben bemutattuk, hogyan lehet hatékonyan alkalmazkodni az új szabályozáshoz. Az IT világában az idei év egyértelműen a NIS2 körül forog, és ezek a változások a legtöbb vállalatot érintik, különösen azokat, melyek a kritikus infrastruktúrákhoz kapcsolódnak.

Vállalatunk, a THE IT Solutions Kft. szakértői folyamatosan aktívan követik és elemezik a NIS2-höz kapcsolódó legfrissebb fejleményeket és híreket, mindezt azért, hogy időben felkészüljünk az Ön és szervezete támogatására. Mi is a NIS2 irányelv hatálya alá tartozunk, így saját tapasztalataink alapján is szívesen nyújtunk Önnek elméleti és gyakorlati segítséget a megfelelő időben.

A THEIT segítségével biztosíthatja azt is, hogy a kiberbiztonság terén ne csak a minimális követelményeket teljesítse, hanem a legmagasabb szintű védelemmel álljon készenlétben a potenciális kiberfenyegetések esetén.

Amennyiben további kérdései merültek fel a NIS2 direktíva kapcsán, vagy IT biztonsági tanácsadásra van szüksége, keressen minket a nis2@theit.hu email címen, vagy honlapunkon, a www.theit.hu oldalon, a Kapcsolat menüpontra kattintva; hálózatbiztonsági szakembereink szívesen állnak a rendelkezésére.

A NIS2 irányelv szakmai cikk szerzője Andrási Miklós, a THE IT Solutions Kft. senior hálózatbiztonsági rendszermérnöke. Érdekelődés és kapcsolat: nis2@theit.hu