Cookie / Süti tájékoztató
Kedves Látogató! Tájékoztatjuk, hogy a weboldal működésének biztosítása, látogatóinak magasabb szintű kiszolgálása, látogatottsági statisztikák készítése, illetve marketing tevékenységünk támogatása érdekében cookie-kat alkalmazunk. Az Elfogadom gomb megnyomásával Ön hozzájárulását adja a cookie-k, alábbi linken elérhető tájékoztatóban foglaltak szerinti, kezeléséhez.
Elfogadom
Nem fogadom el
Minden, amit a NIS2-ről tudni érdemes
2024.03.04

Minden, amit a NIS2-ről tudni érdemes

Kire érvényes a szabályozás? Mik az első és legfontosabb lépések, amiket meg kell tennie egy cégnek? Hogyan profitál ebből egy szervezet? És miért nem érdemes megúszásra játszani…? Az Infotér Egyesület Kiberbiztonsági Szakmai Napján rengeteg hasznos információt tudhattak meg a résztvevők a hamarosan életbe lépő Uniós direktíváról.

Erdei Csaba, az Infotér Egyesület kiberbiztonsági tanácsadója köszöntőjében hangsúlyozta: egyértelmű volt, miről is fog szólni ez a második szakmai nap. „A kiberbűnözés és -hadviselés ma hot topic. Ráadásul elemi érdekünk, hogy védekezzünk ezekkel szemben, amire az EU számos szabályozása is reagál.” Vágújhelyi Ferenc, a Nemzeti Hírközlési és Informatikai Tanács (NHIT) elnöke már név szerint említette meg a nap egyik központi témájának számító, új Uniós direktívát. „A 2016-ban bevezetett kibervédelmi szabályzatot a 2023-ban hatályba lépett NIS2 aktualizálta, amely új ágazatokra és szervezetekre terjed ki, méghozzá olyanokra, amelyek nagy mértékben támaszkodnak az információs és kommunikációs technológiákra.”


AZ IT BIZTONSÁG KOMPLEX FELADAT

Nem véletlen, hogy a legnagyobb izgalom Dr. Váczi Dániel, a 4iG IT-biztonsági tanácsadói csoportvezetőjének tapasztalata szerint is azt a kérdést övezi, vajon érintett-e egy adott cég a NIS2-ben. „Hogy kire vonatkozik a szabályozás, azt a KKV törvény határozza meg – világított rá. – Középvállalkozástól felfelé már alaposan át kell nézni, kell-e foglalkoznunk vele. A cégméret mellett a másik fő indikátor a vállalkozás tevékenységi köre.”

A 4iG-hoz legtöbbször a cégek IT-vezetői fordulnak, akik jellemzően tanácsot várnak például abban is, hogy hogyan győzzék meg a menedzsmentet arról: áldozni kell a kibervédelemre. Váczi Dániel ezt rövidre zárta előadásában azzal, hogy a szabályzatnak megfelelni kötelező, ez az első, igen nyomós érv. A folyamat megkezdéséhez azt javasolta, gondoljuk végig üzleti érdekeinket, legyen egy intézkedési tervünk. A roadmap már abban is segít, hogy megválaszoljuk a bűvös mennyibe fog nekem ez kerülni kérdést. A csoportvezető egyébként úgy saccolt, néhány millió forinttal már el lehet indulni. A felkészülési szakasz után azonban intézkedési tervre is szükségünk lesz, ami már azt rögzíti, milyen lépések kellenek a kiberbiztonsági fejlesztéshez az adott cégnél. „Ezt még egy külső szakértő sem tudja a semmiből megmondani, hiszen minden cég más és más jellemzőkkel indul.”

Zámbó Marcell, az Andews IT Engineering Kft. Head of SOC pozíciójából két nagyon fontos dolgot emelt ki a NIS2 kapcsán. Egyrészt egy jó kockázatkezelési és intézkedési tervvel le lehet fedni a szabályzat későbbi elvárásait. Másrészt nagyon fontos figyelni az incidensjelentési kötelezettségre. „24 órán belül kell jelenteni, ha bekövetkezett a baj, függetlenül attól, mikor történik az incidens. A 0. határidő az incidens bekövetkezése. 72 órán belül részletesebb update-et kell adnunk, arról, hogyan történt a támadás, egy hónapon belül pedig zárójelentést.”

A szabályzat szerint az úgynevezett jelentős eseményeket kell bejelenteni. És itt merül fel a kérdés, hogy ez vajon mit is jelent. Zámbó Marcell az alábbi definícióval segített eligazodni: ha az esemény súlyos működési zavart okozott vagy képes okozni, illetve, ha jelentős vagyoni vagy nem vagyoni kár keletkezik miatta. A puding próbája azonban az evés lesz, hiszen ezek sok esetben még nehezen értelmezhető kitételek.

A szakmai nap előadói közül többen figyelmeztettek arra is, hogy a rejtett kockázat az igazi kockázat. Ha nem is látjuk, milyen veszély fenyeget és hogyan kéne az anomáliát felfedezni, képtelenek leszünk megfelelni a fenti kérdésekre. Az egyik lehetséges megoldás erre a SOC (Security Operations Center), vagyis egy olyan szervezeti egység a cégben, amelynek feladata, hogy átlássa az információbiztonsági veszélyeket és reagáljon ezekre. 

„A SOC három dologból áll: 20% múlik a technológiai tényezőn, 50 a szakértőkön és 30 a folyamatokon – mondta el Zámbó Marcell. – Az IT biztonság komplex feladat. Azonban az, aki már foglalkozott a legfontosabb kérdésekkel, mint például a business bővítésekből származó kockázatok, az identity menedzsment, a sérülékenységvizsgálat és a compliance, annak a NIS2-vel sok gondja nem lesz.”

 

NEM ÉRDEMES TRÜKKÖZNI A MEGFELELÉSSEL

A szabályozással kapcsolatban az egyik legfontosabb újdonság a korábbi verzióhoz képest, hogy jelentősen bővült azok köre, akikre érvényes a direktíva. Erre dr. Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) kiberbiztonsági tanúsítási igazgatója hívta fel a figyelmet.

„2500 cég érintett a szabályozásban. Nagy kérdés, hogyan leszünk képesek ezt kiszolgálni hatósági, tanácsadói és audit részről. A NIS2 ráadásul sokféle vállalkozásra nézve kötelező: kiterjed a közműszolgáltatóktól kezdve egészen az élelmiszer-előállításban vagy járműgyártásban tevékenykedő cégekre.” A folyamatot tekintve azt tanácsolta, először vizsgáljuk meg, milyen védelmi intézkedésekkel tudjuk csökkenteni vagy megszüntetni a kockázatainkat, illetve mi az az általános biztonsági szint, amit el tudunk érni, és ehhez milyen eszközök állnak rendelkezésre szervezeti, oktatási, vagy humán erőforrás oldalon.  

Bencsik Balázs kiemelte, hogy a kockázatok megjelölésén és rendszereink biztonsági osztályba sorolásán túl fontos elem és lényeges újdonság, hogy gondoskodni kell a beosztottak és a vezetők oktatásáról. Ezeken túl kétévente igazolni kell, hogy a cég ténylegesen megfelel az elvárásoknak. „Mivel 2500 cég érintett, nem elvárható, hogy az állami hatóság mindenkit egyenként ellenőriz. A jogalkotó éppen ezért auditori piacot nyitott, ahonnan megrendelhető a kiberbiztonsági auditot – avat be a részletekbe hatósági oldalról. – Az SZTFH-nál létrejött egy nyilvántartás azokról a szolgáltatókról, akik elvégezhetik ezt. Amennyiben valaki ezt nem teszi meg vagy nem felel meg az ellenőrzésen, komoly pénzbírságra számíthat.”

A szakmai nap résztvevői elsőkézből értesülhettek a legfontosabb dátumokról is. A nyilvántartásba vételt 2024. június 30-ig kell megtennie az érintett cégeknek. Aki ezt elmulasztja, az 5-150 millió forintos büntetéssel számolhat. EU-s szinten október 18-án lép hatályba a NIS2, a tagállamoknak innentől kezdve lesz kötelező alkalmazni az irányelvet. Magyarországon az audittal történő igazolás kötelezettségét egészen 2025. december 31-ig tolták ki.

Ahogy Váczi Dániel előadásában rámutatott, nem érdemes azzal letudnunk a megfelelést, hogy csak néhány dolgot vezetünk be, és bízunk abban, így is átcsúszik a cég a kötelező auditon. „Az az erőbefektetés, amivel trükközünk, sosem térül meg annyira, mint az, ha ténylegesen megoldjuk a problémákat.”

 

 

 

 

Következő esemény
2024.06.06 12:04
Következő esemény
2024.10.15 09:15
public.szechenyi.title