Közeleg a NIS2 keretrendszer kialakításának határideje, így mérsékelhetők a többletköltségek

Megosztás Tetszik

Az Európai Unió az egyre gyakoribbá váló kiberfenyegetések miatt még 2023 januárjában fogalmazta meg a NIS2 kibervédelmi irányelvet, amely csak hazánkban több ezer céget érint. Magyarország az első uniós tagállamok között adta ki a vonatkozó törvényt, amelynek értelmében a vállalatoknak 2024. december 31-éig kell megfelelniük a szabályzás követelményeinek.

Több ezer hazai céget érint a felülvizsgált uniós kibervédelmi irányelv (NIS2), amely miatt számos hazai vállalkozásnak teljesen az alapoktól kell kiépítenie kibervédelmi rendszerét. Az új szabályok a legalább 50 főt foglalkoztató vagy 10 millió eurót meghaladó éves árbevétellel rendelkező, a jogszabályban meghatározott tevékenységet végző cégekre, illetve minden, az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót ellátó szervezetre vonatkoznak. Az érintett vállalkozásoknak idén június 30-áig kellett jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, és ez év végéig, 2024. december 31-éig kell megfelelniük a szabályozás követelményeinek.

Mit jelent ez a gyakorlatban?

A követelmények főbb pontjai közé tartozik

– a kockázatelemzés és -kezelés,
– a kiberbiztonsági incidensek megelőzése és felismerése, azok adott időablakon belüli jelentése és kezelése,
– a hozzáférés-kezelés,
– a titkosítás használata és
– az üzleti folyamatok folytonosságának biztosítása a kiberbiztonsági incidensek alatt.

A védelemnek ki kell terjednie az elektronikus információs rendszerek és az ezek által használt szoftver- és hardvertermékek beszerzésére, fejlesztésére és üzemeltetésére is. A direktíva szerint minden vállalkozás valamilyen biztonsági kockázati csoportba sorolható, és az adott kategóriához társított konkrét adminisztratív, logikai és fizikai intézkedéseket kell megvalósítania.

A NIS2 követelmények teljesítése szempontjából kritikus kérdés az, hogy az adott vállalat korábban foglalkozott-e a kiberbiztonsági kérdésekkel. Ha az érintett cégnek az új irányelvek miatt teljesen az alapoktól kell kiépítenie egy rendszert, az jelentős befektetést, és mind infrastrukturális, mind humánerőforrás szempontból plusz terhelést jelent – magyarázza Berki Gergő. Számos vállalkozás esetében hiányoznak a direktívának való megfeleléshez szükséges alapok, például nincs digitális adatbázis az elektronikai eszközökről és azok hollétéről. Ahhoz, hogy kiberbiztonsági rendszert építsen egy vállalat, először meg kell teremteni az ehhez szükséges adminisztrációs hátteret – ecseteli a szakértő.

A szervezeteknek ki kell nevezniük továbbá egy információbiztonsági felelőst (IBF) is. Az ő feladata lesz biztosítani, hogy a cég megfeleljen a törvényi előírásoknak, illetve, ha információbiztonsági incidens keletkezik, ő felelős az eset jelentéséért is. Ez azt jelenti, hogy az IBF tartja a kapcsolatot a Szabályozott Tevékenységek Felügyeleti Hatóságával, a Nemzeti Kibervédelmi Intézettel és a Kormányzati Eseménykezelő Központtal (GovCert) is. Az új direktíva szerint minden gyanúsnak vélt kiberbiztonsági incidenst jelenteni kell a Felügyeleti Hatóság felé, akik ezeket aztán továbbítják a felelős uniós szervnek. A legmagasabb kockázati kategóriába tartozó események bejelentési időablaka 72 óra, ami nagyon komoly adminisztrációs nyomást helyez majd az IBF-ekre – mutat Berki Gergő.

Nemcsak a kiberbiztonsági szakemberek feladatainak mennyisége, de az egész szervezetre vonatkozó adminisztratív teher is jelentősen nőni fog. Ezért a vállalatoknak szükségük van olyan támogató rendszerre, amelyben egy helyen láthatják az eszközeiket és kezelhetik a kiberbiztonsági incidenseket, megjelölve, hogy melyik incidens jár bejelentési kötelezettséggel. Erre alkalmasak a szolgáltatásmenedzsment-rendszerek, amelyek amellett, hogy egy platformon összegzik a digitális eszközöket, képesek kommunikálni az információbiztonsági és SIEM-rendszerekkel, tűzfalakkal, amelyek érzékelik az illegális rendszerbelépéseket és a gyanús cselekményeket.

Megelőzhető incidensek

Egy ilyen rendszer a szakértő szerint jelentős összegeket megspórolhat a cégeknek. Mivel az információbiztonsági szakemberek egy digitális platformon folyamatosan nyomon követhetik a vállalat elektronikus eszközeit és az azokkal kapcsolatos karbantartási és frissítési feladatokat, azonnal látni fogják, hogy melyik szerver okoz gyanúsan sok problémát, és melyik felhasználótól jön túl sok bejelentés. Az adatok alapján pedig már azelőtt láthatják a kiberbiztonsági problémákat, hogy azok bekövetkeznének, például megállapíthatják, hogy melyik szervert fenyegeti meghibásodás, és mivel egy helyen láthatók az incidensek, az is prediktív módon meghatározható, hogy milyen komplexebb kiberbiztonsági események bekövetkeztére lehet számítani.

Az üzletágvezető szerint attól függően, hogy az adott cég milyen fázisban van, a szervezet igényeit felmérő tanácsadók segítségével néhány hét, maximum 1-2 hónap alatt kiépíthető a támogató rendszer, amely egy komplex kiberbiztonsági szisztéma alapját képezheti.

Az első NIS2 auditot 2025. december 31-éig kell lebonyolítaniuk a cégeknek, azaz eddig van idejük a Magyarországon működő vállalkozásoknak arra, hogy kiépítsenek egy támogató rendszert, és az arra épülő kiberbiztonsági szisztémát.