A GDPR semmi volt ehhez képest: közeleg a NIS2 keretrendszer kialakításának határideje

Több ezer hazai céget érint a felülvizsgált uniós kibervédelmi irányelv (NIS2), amely miatt számos hazai vállalkozásnak teljesen az alapoktól kell kiépítenie kibervédelmi rendszerét. Az új szabályok a legalább 50 főt foglalkoztató vagy 10 millió eurót meghaladó éves árbevétellel rendelkező, a jogszabályban meghatározott tevékenységet végző cégekre, illetve minden, az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót ellátó szervezetre vonatkoznak. Az érintett vállalkozásoknak idén június 30-ig kellett jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, és ez év végéig, 2024. december 31-ig kell megfelelniük a szabályzás követelményeinek.

De mit jelent ez a gyakorlatban?

A követelmények főbb pontjai közé tartozik a kockázatelemzés- és kezelés, a kiberbiztonsági incidensek megelőzése és felismerése, azok adott időablakon belüli jelentése és kezelése, a hozzáféréskezelés, a titkosítás használata és az üzleti folyamatok folytonosságának biztosítása a kiberbiztonsági incidensek alatt. A védelemnek ki kell terjednie az elektronikus információs rendszerek és az ezek által használt szoftver- és hardvertermékek beszerzésére, fejlesztésére és üzemeltetésére is. A direktíva szerint minden vállalkozás valamilyen biztonsági kockázati csoportba sorolható, és az adott kategóriához társított konkrét adminisztratív, logikai és fizikai intézkedéseket kell megvalósítania.

„A NIS2 követelmények teljesítése szempontjából kritikus kérdés az, hogy az adott vállalat korábban foglalkozott-e a kiberbiztonsági kérdésekkel. Ha az érintett cégnek az új irányelvek miatt teljesen az alapoktól kell kiépítenie egy rendszert, az jelentős befektetést, és mind infrastrukturális, mind humánerőforrás szempontból plusz terhelést jelent” – mondta Berki Gergő, a TOPdesk Magyarország üzletágvezetője. „Számos vállalkozás esetében azt látjuk, hogy a direktívának való megfeleléshez szükséges alapok hiányoznak, például nincs digitális adatbázis az elektronikai eszközökről és azok hollétéről. Ahhoz, hogy kiberbiztonsági rendszert építsen egy vállalat, először meg kell teremteni az ehhez szükséges adminisztrációs hátteret.”

A szervezeteknek ki kell nevezniük továbbá egy információbiztonsági felelőst (IBF) is. Az ő feladata lesz biztosítani, hogy a cég megfeleljen a törvényi előírásoknak, illetve, ha információbiztonsági incidens keletkezik, ő felelős az eset jelentéséért is. Ez azt jelenti, hogy az IBF tartja a kapcsolatot a Szabályozott Tevékenységek Felügyeleti Hatóságával, a Nemzeti Kibervédelmi Intézettel és a Kormányzati Eseménykezelő Központtal (GovCert) is. „Az új direktíva szerint minden gyanúsnak vélt kiberbiztonsági incidenst jelenteni kell a Felügyeleti Hatóság felé, akik ezeket aztán továbbítják a felelős uniós szervnek. A legmagasabb kockázati kategóriába tartozó események bejelentési időablaka 72 óra, ami nagyon komoly adminisztrációs nyomást helyez majd az IBF-ekre” – tette hozzá a szakértő.

De Berki Gergő szerint nem csak a kiberbiztonsági szakemberek feladatainak mennyisége, de az egész szervezetre vonatkozó adminisztratív teher is jelentősen nőni fog. Ezért a vállalatoknak szüksége van egy olyan támogató rendszerre, amelyben egy helyen láthatják az eszközeiket, és kezelhetik a kiberbiztonsági incidenseket, megjelölve, hogy melyik incidens jár bejelentési kötelezettséggel. „Erre alkalmas egy olyan szolgáltatásmenedzsment-rendszer, mint a TOPdesk. A rendszer amellett, hogy egy platformon összegzi a digitális eszközöket, képes kommunikálni az információbiztonsági és SIEM-rendszerekkel, tűzfalakkal, amelyek érzékelik az illegális rendszerbelépéseket és a gyanús cselekményeket – a rendszer az ilyen eseteket automatikusan hibajegyekké alakítja, amit az IBF egyetlen kattintással tovább is tud küldeni a megfelelő hatóságoknak.”

Megelőzhető incidensek

Egy ilyen rendszer a szakértő szerint jelentős összegeket is megspórolhat a cégeknek. Mivel az információbiztonsági szakemberek egy digitális platformon folyamatosan nyomon követhetik a vállalat elektronikus eszközeit és az azokkal kapcsolatos karbantartási és frissítési feladatokat, azonnal látni fogják, hogy melyik szerver okoz gyanúsan sok problémát és melyik felhasználótól jön túl sok bejelentés. Az adatok alapján pedig már azelőtt láthatják a kiberbiztonsági problémákat, hogy azok bekövetkeznének, például megállapíthatják, hogy melyik szervert fenyegeti meghibásodás, és mivel egy helyen láthatóak az incidensek, az is prediktív módon meghatározható, hogy milyen komplexebb kiberbiztonsági események bekövetkeztére lehet számítani.

Az üzletágvezető szerint attól függően, hogy az adott cég milyen fázisban van, a szervezet igényeit felmérő tanácsadók segítségével néhány hét, maximum 1-2 hónap alatt kiépíthető egy olyan támogató rendszer, ami aztán egy komplex kiberbiztonsági szisztéma alapját képezheti. Az első NIS2 auditot 2025. december 31-ig kell lebonyolítania a cégeknek, azaz eddig van ideje Magyarországon működő vállalkozásoknak arra, hogy kiépítsenek egy támogató rendszert, és az arra épülő kiberbiztonsági szisztémát.