Írta: Com-Forth Kft.
2024. november 15. 12:44:08 CET
2024. október 18-án „A végítélet napja?” címmel élő Youtube-webináriumot rendeztünk, amely a NIS2 irányelv kihívásaira és lehetőségeire fókuszált. Az eseményünk meghívott vendégei között szerepelt Király Anna, a Szabályozott Tevékenységek Felügyeleti Hatóságának információbiztonsági mérnöke, aki az irányelv hatósági vonatkozásait és a szabályozás részleteit mutatta be, valamint Kocsis Tamás, az Alverad Technology Focus Kft. ICS/OT rendszerek kiberbiztonsági szakértője, aki az ipari rendszerek specifikus kihívásaira világított rá. A Com-Forth csapatát Bóna Péter ügyvezető-tulajdonos, műsorvezetőként pedig Szentléleky-Szabó Ágnes marketing manager képviselték.
A hiánypótló esemény különlegességét adta, hogy a másfél órás beszélgetés során nemcsak gyakorlati szempontból részleteztük a szabályozásra való felkészülést, hanem megválaszoltuk az egyedi nézői kérdéseket is.
A webinárium teljes adása elérhető itt, valamint a Telex-en is olvashatsz egy összefoglalót, ebben a blogpostban pedig összeszedtük a legfontosabb gondolatokat és kérdéseket, amelyeket érintettünk az élő adás során.
A NIS2 irányelv célja, hogy egységes európai szintű kiberbiztonsági védelmet biztosítson az ipari és kritikus infrastruktúrák számára. A magyar vállalatok felkészülése azért is kiemelten fontos, mert az OT (Operational Technology) rendszerek kibervédelme Magyarországon általában 20 évvel le van maradva az IT (Information Technology) rendszerek védettségi szintjéhez képest. A cégeknek fel kell készülniük arra, hogy a szabályozás miatt alapvető változtatásokat kell végrehajtaniuk a kibervédelmi stratégiáikban.
Még nem tudod, hogy van-e teendőd? Azt tanácsoljuk a cégeknek, hogy jogászaikkal és könyvelőikkel konzultáljanak azok, akik bizonytalanok abban, hogy a NIS2 vonatkozik-e rájuk. A törvényben meghatározottak alapján a könyvelők segíthetnek eldönteni ezt, hiszen különösen kapcsolt vállalkozások, holdingok esetén nem egyértelműek a létszám és árbevétel kritériumok.
Az auditálási folyamat során az auditorok megvizsgálják, hogy a vállalatok mennyire felelnek meg a kockázatelemzés és védelmi intézkedések követelményeinek. A felügyeleti díj mértékét az első évben még nem kell befizetni, annak összegét a hatóság később határozza meg. Fontos tudni, hogy az auditot nem a papíron megjelenített szabályok alapján, hanem a gyakorlatban megvalósított intézkedések szerint végzik.
A vállalatoknak alapos kockázatelemzést kell készíteniük, amely nemcsak a rendszerük technikai oldalát, hanem a működési folyamatokat és az üzembiztonságot is figyelembe veszi. Fontos, hogy a dokumentáció pontosan tartalmazza az elfogadott kockázatokat és az azokhoz rendelt védelmi intézkedéseket.
A megfelelés elmaradása komoly pénzbírságokat vonhat maga után. A NIS2 szabályozás értelmében az érintett cégeknek kockázatelemzéseket kell végezniük, és megfelelő védelmi intézkedéseket kell bevezetniük. A bírság összege az EU irányelve alapján akár az éves árbevétel 2%-a is lehet, amelyet az SZTFH 150 millió forintban maximalizált ugyan, de ez így is rendkívül súlyos következményekkel járhat a hazai iparvállalatokra nézve. A bírság nagysága is egyértelművé teszi a szabályok betartásának fontosságát.
A beszélgetés során tisztáztuk az IT (informatikai) és OT (operatív technológiai) rendszerek közötti különbségeket, mivel ezek eltérő működési jellemzői különböző kibervédelmi megközelítést igényelnek. Az OT rendszerek - például ipari vezérlőberendezések, PLC-k, SCADA rendszerek - közvetlen kapcsolatban állnak a fizikai környezettel, így nagyobb kockázatot jelent, ha nem megfelelően védettek. Az IT oldalon már jól bevált és bizonyított védelmi megoldásokat nem minden esetben lehet egyszerűen csak átemelni ezekre a rendszerekre, hiszen az OT oldalon a biztonság mellett a rendelkezésre állás és a stabilitás is kritikus.
Az elavult rendszerek védelme különösen fontos, de a teljes csere gyakran irreális megoldás. Ehelyett a cégek kompenzatív intézkedésekkel – például hálózati szegmentációval vagy tűzfallal – csökkenthetik a rendszerek kitettségét. Az újabb rendszerek tervezett frissítése ugyanakkor szintén ajánlott.
Igen, egy jól működő ISO 27001 tanúsítvány segíthet a NIS2-nek való megfelelésben, mivel az irányítási rendszer számos alapvető védelmi elvet lefed. Azonban az ISO 27001 nem váltja ki a NIS2 követelményeit, ezért külön figyelmet kell fordítani a szabályozás által előírt specifikus intézkedésekre.
A dokumentálás kiemelkedő jelentőségű, különösen az elfogadott kockázatok és az eltérések esetében. Ez biztosítja, hogy később is pontosan nyomon követhető legyen, mi alapján születtek meg a kockázatkezelési döntések. Ez az auditorok számára is jelzi a felelősségteljes döntéshozatalt.
A NIS2 bevezetése várhatóan fellendíti a kiberbiztonsági szakemberek iránti keresletet, különösen az OT és IT rendszerekre szakosodott szakértők esetében. Magyarországon jelenleg jelentős szakemberhiány van ezen a téren, ezért a vállalatoknak már most érdemes megkezdeniük a belső felkészítést és a képzések támogatását.
A NIS2 csak a kezdet. Az Európai Unió folyamatosan felülvizsgálja és finomítja a szabályozást. Valószínű, hogy a jövőben egy NIS3 szabályozás is napirendre kerül, amely még inkább figyelembe veszi a tagállamok visszajelzéseit és a piaci szereplők igényeit.
Ha még jobban elmélyednél a témában vagy több részletre vagy kíváncsi, nézd vissza a NIS2 webináriumunkat:
