A magyar cégek jól járhatnak, ha megfelelnek a NIS2 irányelveknek
A magyar cégek jól járhatnak, ha megfelelnek a NIS2 irányelveknek
Az Európai Unió új kiberbiztonsági irányelve, a NIS2 kulcsfontosságú az IT-biztonságban.
A NIS2 az EU új kiberbiztonsági szabályozása, amelynek célja, hogy megerősítse a tagállamok alapvető szolgáltatásokat nyújtó ágazatainak és a termelésben kiemelt fontosságú szektorok kibervédelmét.
A NIS2 irányelv jelentős lépés a digitális tér biztonságosságának fokozásában, és hozzájárul a gazdasági stabilitás, illetve a fogyasztói bizalom erősítéséhez, valamint biztosítja a folyamatos és biztonságos működést.
Magyarországon is számos ágazatban kellett felmérni a kitettséget, a veszélyforrásokat, és a szabályozás értelmében érdemi fejlesztéseket kell végezni.
A HVG BrandLab podcast-sorozatában Bede Ádám, a 4iG senior információbiztonsági tanácsadója és Herk Imre, az Invitech IT sec termékcsoport presales vezetője beszélgetett a szabályozásról. Arról is szó volt, hogy mi a szabályozás lényege, kik a leginkább érintettek a NIS2-ben, és milyen előnyökkel járhat az irányelv alkalmazása.
Mely területek, iparágak érintettek leginkább a NIS2-ben?
A NIS2 bevezetésében érintettek a logisztikai cégek, az élelmiszeripar szereplői, valamint a gyártó vállalatok. Bár nem a kritikus infrastruktúra körébe tartoznak (mint amilyenek mondjuk az ivóvíz-ellátásért felelős vízművek), mégis fontos láncszemei a magyar és európai gazdaságnak.
Az, hogy kire vonatkozik a NIS2, a vállalat tevékenységétől, az árbevételétől és a cégnél dolgozók létszámától is függ.
Mi a NIS2 lényege?
Az egyik legfontosabb, hogy a szabályozás miatt olyan cégek számára is lényegessé vált az IT biztonság, amelyeknél eddig nem ez volt a kiemelt terület: például élelmiszer beszállítók, gépgyártással vagy logisztikával foglalkozó cégek. Viszont az irányelv az ő javukat is szolgálja.
A NIS2-vel ugyanis biztonságosabban működhetnek a vállalatok, hiszen nem csak az adott cégnél kell megtenni a megfelelő lépéseket, hanem a beszállítókat is ellenőrzés alá kell vonni. Az irányelv azt is tudatosítja a vállalatokban, hogy ők az európai piac szereplői, így egy biztonsági incidens tovább gyűrűzhet és a partnereiket is érintheti.
A cégeknél az irányelv értelmében az elektronikus információs rendszereket kell besorolni módszertanok alapján, kockázatarányosan. Vagyis azt kell felmérni, hogy milyen IT alapú információs rendszereket működtet a cég, majd párhuzamba kell állítani az üzleti folyamatokkal. Ez alapján egy kockázati analízissel fel kell tárni, hol találhatók hiányosságok vagy kockázati pontok a működési tevékenységben és az IT rendszerben. Így beazonosítható, hol kell a vállalatnak lépéseket tenniük, hogy megfeleljen a kibervédelem irányelveinek.
Azt kell tehát feltárni, hogy az információs rendszer kiesése milyen hatást gyakorol a cég működésére. Alap, jelentős és magas biztonsági besorolással vannak bekategorizálva azok a biztonsági kontrollok, amelyeknek meg kell felelni. Ennek megfelelően kell bevezetni a biztonsági kontrollokat. Vagyis azt kell megállapítani, mekkora lesz az adatvesztés mértéke egy esetleges incidensnél.
Milyen határidők vonatkoznak a NIS2-ben érintett cégekre?
Azoknak a cégeknek, amelyre érvényesek a NIS2 irányelvek, és regisztrálták magukat a hatóságnál, 2024. október 18-ig kellett rendelkezniük egy intézkedési tervvel. Ebben az szerepel, a lehetséges hibákat hogyan kívánja javítani, és a potenciális kockázatokat semlegesíteni.
2024. december 31-ig pedig egy auditáló céggel kell szerződniük, akik az intézkedési terv alapján ellenőrzik vissza, hogy a vállalatok teljesítik-e a jogszabályban foglaltakat. Gyakran egészen egyszerű intézkedésekre kell gondolni, például hogy a recepciósnak ne legyen rendszergazda vagy adminisztrátor szintű hozzáférése, és hogy a vállalatnál világosan le legyen fektetve, kinek mihez lehet hozzáférése és milyen lépéseket kell követni, ha esetleg mégis bekövetkezne egy incidens.
Mivel jár a NIS2?
Előbb-utóbb elkerülhetetlen a cégek számára a NIS2 követelményeinek való megfelelés, mert kérheti majd ezt a biztonságos működés érdekében az üzleti partner. Ezért valószínűleg a nagyobb cégek beszállítóinak is meg kell felelniük majd az irányelvnek. A megfeleléssel viszont piaci előnyre tehetnek szert a versenytársakkal szemben. Ezzel ugyanis azt kommunikálják a piac felé, hogy nagyon sok lépést megtettek a kiberbiztonság érdekében és a lehetséges kockázatok elkerülésére.
Visszafelé is igaz: ha nem felel meg egy cég a NIS2-nek, nem implementálja az irányelvet, akkor előbb-utóbb hátrányt szenvedhet el a piacon.
A kiberbiztonság tehát kulcsfontosságú, mivel - mint azt a szakemberek hangsúlyozták - nem csak pénzben mérhető értéke, hanem üzenetértéke is van: kommunikálni is lehet vele magáról a cégről.
A gyakorlati részletek a podcast második felében hallhatók.