A legfontosabb tudnivalókat nem lehet elégszer hangsúlyozni a NIS2 kapcsán. Az idei INFOPARLAMENTen stratégiákat és megoldásokat soroltak a témában szervezett panelbeszélgetés résztvevői, hogy a hallgatóság átfogó képet kapjon az irányelvvel kapcsolatban, illetve útmutatót a gyakorlati felkészüléséhez.
Az Invitech security pre-sales vezetőjének, Gerner Viktornak felvezető előadásából is kiderült, érdemes érvekkel alátámasztani a vállalatok vezetőségének, miért kell időt, pénzt fordítani a felkészülésre és mérlegelni a kockázatokat, kihívásokat. A panelbeszélgetésben már konkrét példákat is hozott erre Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági szakértője, Cserháti Vencel, a Huawei Technologies Magyarországért és a Nyugat-Balkánért felelős kiberbiztonsági vezetője, Szabó Lajos, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet igazgatója, Szegfű László, a Magyar Nemzeti Bank informatikai felügyeleti főosztályvezetője, Stecher Tamás, senior pre-sales mérnök, a 4iG főosztályvezetője és Vereckei Béla, biztonsági igazgató a Pro-M Zrt. képviseletében.
A moderátor, Oláh István, a HTE Információbiztonsági Szakosztályának alelnöke, az OTP Bank IT kockázatkezelési vezető tanácsadója első körben arra volt kíváncsi, hogy a résztvevők miért tartják fontosnak a szabályozást. „Abban hiszek, hogy a NIS2 magasabb szintű kiberbiztonságot tesz lehetővé a cégeknél – kezdte Bor Olivér. – Az SZTNH missziója a tudatosítás, nagyon fontosnak tartom az erről való diskurzust.” A biztonságtudatosságot emelte ki Stecher Tamás is, aki szerint ebben a büntetési tétel is segíthet. Bár szakértő kollégája rögtön visszavette a szót, miszerint remek lenne, ha nem csak a bírság miatt akarnának megfelelni a cégek. „Induljunk ki inkább abból, mekkora kárt tudnak okozni a kiberbűnözők.”
GLOBÁLIS KIBERBŰNÖZÉS: TÍZEZER MILLIÁRDOS BIZNISZ
Európában a vállalatok 99%-a kis- és középvállalkozás, és ez a szektor a leginkább kitett a kibertámadásoknak. Erre már Cserháti Vencel emlékeztetett. „Ugyanakkor a leginkább érintett az ellátási láncban is. Ergo nem elég a nagyobb vállalatok kiberbiztonsági szintjét megemelni, ugyanez szükséges az ellátási lánc szereplőinél.” Szabó Lajos rögtön hozzátette, hogy lehet, hogy a kkv szektorban a legnagyobb a kitettség, de az államigazgatást éri a legtöbb incidens. „A 2016-os NIS1 szabályozás mérföldkő volt az európai kiberbiztonságban, de eljárt felette az idő. A kiberbűnözés globális szinten tízezer milliárd dolláros biznisz lett.”
Vereckei Béla mintegy történeti áttekintésként emlékeztetett arra, hogy a NIS1 hasonló nemes célt, magas kiberbiztonsági szintet tűzött ki anno, de a 2019-es felülvizsgálat során az EU-s jogalkotók kénytelenek voltak megállapítani, hogy nem sikerült elérnie. „A tagállamok egyedileg próbálták beilleszteni a nemzeti jogrendekbe, a fragmentált szabályozás pedig nem volt célravezető. Most már tételes elvárásokat fogalmaztak meg, ez segíteni fogja az ügyet.”
És ha már tételes elvárások, a NIS2 kapcsán Bor Olivér hangsúlyozta, hogy aki még nem indította el a regisztrációs folyamatot, kezdjen bele a magyarorszag.hu-n keresztül. A 420-as kérelmet digitális úton kell beterjeszteni, ez átlagosan 6-8 percet vesz igénybe. Arra buzdított mindenkit, hogy házon belül próbálják meg értelmezni a jogszabályt, és ha végképp nem tudják eldönteni, hatálya alá esik-e a cég, indítsák el a nyilvántartási kérelmet, abból baj nem lehet.
A Nemzetbiztonsági Szakszolgálat esetében a legizgalmasabb kérdés az a rengeteg eseménybejelentés, amire számíthatnak. „Eddig 1000-2000 szervezet tartozott hozzánk, ez a szám most duplájára nő – mondta el Szabó Lajos. – Az NKI felügyeletébe fog tartozni a központi államigazgatás, az önkormányzati hivatalok, illetve az alapvető szolgáltatást nyújtó és létfontosságú rendszerek. Az elvárások pedig szigorodnak számunkra is, mert már 0-24-ben kell rendelkezésre állnunk.” A bejelentőknek 24 órán belül kell jelezniük az incidenseket, 72 órán belül leadni egy első, 30 napon belül pedig egy részletes riportot.
MÁR A TERVEZET ALAPJÁN IS EL LEHET KEZDENI A FELKÉSZÜLÉST
„2021-ben még a kiberincidensek 1%-a volt beszállítói lánccal kapcsolatos, egy évvel később ez a szám már 17-re emelkedett, és azóta is növekszik” – sorjázta a megdöbbentő számokat Cserháti Vencel, aki vállalata jógyakorlatait is elhozta a panelbeszélgetésre. A Huawei az ellátási lánc közepén található. A beszerzési osztályuk egy 42 kérdésből álló, 10 témakörös kérdőívet küld el a beszállítóknak, akik csak akkor felelnek meg az előírásoknak, ha 70%-os eredmény felett teljesítenek. Az alkatrészellátásban a beérkező anyagokat szigorú ellenőrzés alá vonják, és itt a mesterséges intelligenciát is használják. Létezik egy központi szoftver adatbázisuk is, így, ha mondjuk egy globális szinten fellépő sérülékenység tapasztalható, az ügyfeleknek gyorsan meg tudják mondani, az ő szoftvereik érintettek-e. Ezen kívül a logisztikában is a biztonságos folyamatokat, a nyomonkövethetőséget helyezik előtérbe.
A Nemzeti Kiberkoordinációs Tanács szakmai előkészítésével egy teljesen új jogszabály készül, erről Szabó Lajos beszélt. Nagy valószínűséggel a Magyarország Kiberbiztonsága nevet fogja kapni, és a Parlament elé az őszi időszakban kerül. Annak a közös követelményrendszernek is elvégezték már az előkészítő munkáját, amely a biztonsági osztályba sorolásról és az egyes osztályokon belül szükséges védelmi intézkedésekről szól.
Persze előfordulhat, hogy nehéznek tűnik alkalmazkodni a folyton mozgásban lévő jogszabályi környezethez. Bor Olivér elmondta, hogy a jogalkotás valóban folyamatban van, a szakma elkészítette a saját részét, ehhez a politikai konszenzust és a zöld lámpát várják. A már nyilvános szövegezés alapján viszont már el lehet kezdeni a felkészülést. Egy jótanáccsal is szolgált: „Nincs még kritériumrendszer az auditorok tekintetében, úgyhogy senki ne szerződjön le olyan céggel, aki ezt állítja magáról, mert nem mond igazat.
Hogy a gyártói oldal és a rendszerintegrátor hogyan tudnak készülni, hogyan ültetik át mindezt a mindennapokba, arra Cserháti Vencel, Vereckei Béla és Stecher Tamás egybehangzóan úgy feleltek, hogy figyelik, mikor jön ki a rendelet, de a tervezet alapján már fel is tudnak készülni az előttünk álló, minden bizonnyal magasabb kiberbiztonsági szintet szolgáló kihívásokra.
RÖVIDEN A DORA RENDELETRŐL
Szegfű László a panel során arról beszélt, hol tart a DORA kiberbiztonsági szabályozás átültetése a magyar jogrendbe. „Ennek egy része már megtörtént, az implementálás még folyamatban van. Az MNB kollégái közvetlenül vettek részt a 12 részletszabályt tartalmazó RTS és ITS kidolgozásában. Igyekeztek minél hatékonyabban nézni a nemzeti érdekeket, hogy a magyar pénzügyi közvetítőrendszer intézményeit a legkisebb sokkhatás érje.” Az MNB-nek most az adatszolgáltatás átalakítása a nagy feladat. A DORA egyébként 2023. január 17-től hatályos.