Aggódik a NIS2 direktíva miatt?

Először is tisztázzuk, mi az a NIS2 direktíva, és mit tartalmaz. Ez egy frissített uniós jogszabály, amelynek fel kell váltania az eredeti NIS-irányelvet. A fő cél az összes tagállam kiberbiztonsági szintjének növelése, és ezzel egyidejűleg a kritikus és fontos vállalatok infrastruktúrájának védelmi javítása.

Az irányelv átkerült a Szlovák Köztársaság új kibertörvényének első tervezetébe, és jelenleg tárcaközi véleményezési eljárás alatt áll. Ez a folyamat magában foglalja a különböző minisztériumok, a szakmai közösség és a nagyközönség nyilatkozatait, javaslatait, amelyek még befolyásolhatják e jogszabály végleges szövegét. A törvény végleges formájának jóváhagyására 2024. október 17-ig, az Európai Unió által meghatározott határidőig kell megtörténnie. A törvény így néhány hónappal a jóváhagyása után, 2025. január 1-jén lép életbe. Ez az érintettek számára nem csak a felkészülés, hanem a szükséges intézkedések végrehajtása szempontjából is igencsak forgalmas időszak.

Kikre vonatkozik a NIS2 irányelv?

Az eredeti NIS direktívához képest az alkalmazási kör meglehetősen kibővült. Ez magában foglalja az ágazatok szélesebb körének bevonását, beleértve az egészségügyet, a közlekedést, az energiát, a hulladék- és vízgazdálkodást, valamint a pénzügyi és digitális forrásokat. Ide tartoznak a felhőszolgáltatók és az online piacterek is. A feldolgozóipar sem lesz kímélve, az irányelv érinti az orvostechnikai eszközök, gépek, elektronikai eszközök, valamint a gépjárművek és egyéb közlekedési eszközök gyártóit. Ha összefoglalnánk, a NIS2 irányelv megközelítőleg 7000 szervezetet érint közvetlenül Szlovákiában.

Milyen kötelezettségeket és intézkedéseket kell teljesíteniük a szervezeteknek?

- észlelni, azonosítani és regisztrálni a biztonsági eseményeket

- fontos az incidensek kezelésére szolgáló eljárások, valamint az incidens utáni helyreállítási és üzemeltetési terv kidolgozása

- elengedhetetlen a teljes kockázatelemzés

- a kiberbiztonságért felelős személy meghatározása (jelentések fogadása, rögzítése)

- a kiberbiztonsági dolgozók rendszeres képzésének biztosítása minden szinten 

Mikor lép életbe a NIS2?

Az irányelv tervezett hatálybalépése 2025. január 1-je. Az ebbe tartozó szervezeteknek 12 hónap áll rendelkezésükre, hogy minden követelménynek megfeleljenek. 

Szankciók a kötelezettségek megszegése esetén

 Ha a szervezet nem teljesíti a NIS2 direktíva követelményeit, az magas, akár 10 millió eurós vagy a nettó éves forgalom 2%-ának megfelelő pénzbírságot vonhat maga után. Attól függ, melyik a magasabb összeg. Ez elsősorban a kritikus szolgáltatások üzemeltetőit érinti. A normál szolgáltatóknál ez 7 millió euró vagy a forgalom 1,4%-a lehet. Mindenesetre meglehetősen jelentős összegről van szó, az ellenőrző hatóság e határok kétszereséig ismételten szankcionálhat.

A NIS2 hatása a kis- és középvállalkozásokra

Bár a NIS2 elsősorban a nagy szervezeteket és a kulcsfontosságú szolgáltatókat célozza meg, nem kerüli meg a kkv-kat bizonyos ágazatok, ellátási láncok és mások esetében.

Bölcs dolog, ha most elolvassa a NIS2 irányelvet, és fontolja meg, hogyan érinti az Ön vállalkozását, ágazatát és mit tehet. A kiberbiztonság manapság elkerülhetetlen, és minden 50 vagy annál több alkalmazottat foglalkoztató szervezet elsősorban önmagáért teszi ezt, nem pedig a szabályozás miatt.

Azok a szektorok, amelyek ide tartoznak

 – egészségügy

- szállítás

- energia

- banki piacok

– pénzügyi piacok

- digitális infrastruktúra

- IKT-szolgáltatások menedzselése

- közigazgatás

- világűr

- víz és légkör

- termelés (kiválasztott termelési ágazatok)

- kutatás

- hulladékgazdálkodás

- vegyipar

- élelmiszeripar

-digitális szolgáltatások

- postai és futárszolgálat

Ezen ágazatok kötelessége a Nemzetbiztonsági Ügynökség értesítésének eleget tenni. Biztonsági incidens azonosítása és rögzítése, valamint az incidensek eljárásának és megoldásának elkészítése egy kidolgozott incidens utáni eljárással. Átfogó kockázatelemzés elvégzése és megfelelő biztonsági intézkedéscsomag végrehajtása. Az általunk már említett felelős, felhatalmazott személy, és természetesen képezi és képezi át alkalmazottait a kiberbiztonság területén. 

A szervezetek számára a legnagyobb kockázatot a hálózatszegmentáció hiánya, a kerület elégtelen védelme, a nem biztonságos vagy rosszul biztosított internet-hozzáférés, az e-mail szolgáltatások gyenge vagy teljesen hiányzó védelme, a végállomások alacsony biztonsága jelenti.

További kritikus pontok: a gyakori felhasználók túlengedélyezése, a többtényezős hitelesítés hiánya, gyenge jelszóval és a felhasználói identitások nem működő ciklusával, elavult, sebezhetőséget tartalmazó hardver és szoftver, valamint a hálózati forgalom alacsony láthatósága. 

Mindez bajba sodorhatja Önöket. Ennek a láncnak az alján a rossz vagy hiányzó naplókezelés és központosítás, valamint az elégtelen biztonsági mentés, a helyreállítási tervek és a biztonsági incidensekre való gyors reagálás hiánya található.

Gyakori kockázat a gyenge és nem kellően tájékozott, képzett munkavállaló. Ahogy mondani szokták, tévedni emberi dolog, ezért ne becsüljük alá a dolgozók ilyen irányú képzését. Pontosan a rutin munkafeladatok során jelenik meg egy repedés egy kiberincidens megjelenéséhez. Jó eljárás a nulla bizalom fogalmának használata. Feltételezi, hogy egyetlen felhasználó, eszköz vagy hálózat sem megbízható, még a vállalati infrastruktúrán belül sem. A szervezetnek az identitások központi kezelésére is összpontosítania kell, ideértve a privilegizáltakat is.

A kiberbiztonság meglehetősen összetett terület, és alapvetően nincs mindenki számára megfelelő megoldás. A megfelelés többé-kevésbé mindig az emberekről, a folyamatokról és a technológiáról szól. A NIS2 direktíva nem újdonság, éppen ellenkezőleg, a biztonság jól ismert koncepciójából merít.