Kihirdetésre került a NIS 2 Irányelv. Hogyan tovább?
Tóth Tamás
2023.01.10
A korábbi cikkemben (link) bemutattam az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló NIS2 Irányelv alapjait. A jelen cikkemben néhány érdekességgel tarkítva az újdonságokat és néhány érdekességet kívánom összefoglalni.
Az Európai Unió Bizottsága 2022. december 27-én kihirdette a NIS2 Irányelvet (a továbbiakban: Irányelv). A szabályozás 2023. január 16-án fog hatályba lépni, a tagállamoknak pedig 2024. október 17-ig kell átültetniük először a saját jogrendszerükbe az előírásokat.
NIS2 hatálya alá tartozó szervezetek
Az Irányelv hatálya alá tartozó szervezetek köre, vagyis a fontos- és alapvető szervezetek. Ezekről részletesen a korábbi cikkemben írtam.
Vezetőség felelőssége
Az Irányelv szövege szerint a tagállamoknak biztosítaniuk kell, hogy az alapvető és fontos szervezetek vezető testületei jóváhagyják az e szervezetek által a 21. cikknek való megfelelés érdekében tett kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék annak végrehajtását és felelősségre vonhatók legyenek az említett cikknek a szervezetek általi megsértéséért.
Ez egybevág azzal az általános „tankönyvi” állásponttal, hogy az információbiztonságért végső soron a szervezet vezetése felelős, illetve hasonlóságot mutat a német információbiztonsági szabályozással (IT-Sicherheitsgesetz 2.0 – „IT-SiG 2.0), ahol szintén előírták a vezetés felelősségét.
Az Irányelv nem állt meg a vezetés felelősségének a meghatározásánál, ugyanis a szöveg szerint a tagállamoknak biztosítaniuk kell, hogy az alapvető és fontos szervezetek vezető testületeinek tagjai számára kötelező legyen a képzéseken való részvétel.
A vezetés kötelező képzésének előírása segíthet kiberbiztonsági terület fontosságának megértésében és ezáltal az elkötelezettség növelésében.
Kiegészített védelmi intézkedések
Az Irányelv korábbi szövegében kevesebb védelmi intézkedést írtak elő, mint a jelenlegi, elfogadott verzióban. A hálózati és információs rendszerek kockázatokkal arányos védelmét a kihirdetett Irányelv szerint az alábbi védelmi intézkedésekkel kell biztosítani:
- kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
- eseménykezelés;
- üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés;
- az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
- biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
- szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
- alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
- a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
- humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
- adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.
A felsorolt védelmi intézkedések nem elég konkrétak az implementáció megkezdéséhez. Ehhez a meglévő keretrendszereket (pl. a 2022-ben frissített ISO 27001 szabványt, a felülvizsgálat alatt álló NIST Cybersecurity Framework – CSF), valamint az ágazati standardokat lehet segítségül hívni. Az Irányelv a szabványosítás keretében ösztönzi a hálózati és információs rendszerek biztonsága tekintetében releváns európai és nemzetközi szabványok és műszaki előírások alkalmazását.
Az Irányelv szövege szerint Európai Unió Bizottsága további követelményeket fogadhat el a védelmi intézkedések technikai és módszertani követelményeinek meghatározása céljából, ami további segítséget adhat a megfeleléshez.
Jelentéstételi kötelezettség
Az Irányelv szigorú incidens bejelentési elvárásokat is meghatározott, amit érett incidensmenedzsment folyamatok és SIEM megoldások nélkül aligha tud teljesíteni egy szervezet. Gyakran az incidensek detektálása sem történik meg, vagy csak hosszú idő után, amit az IBM 2022 Cost of Data Breach Report-ja támaszt alá 277 napos átlagos észlelési idővel.
A jelentős eseményekről késedelem nélkül értesíteni kell az adott tagállami CSIRT-eket, vagyis a „számítógép-biztonsági eseményekre reagáló csoportokat”, ami Magyarországon várhatóan a Nemzeti Kibervédelmi Intézet lesz. Az Irányelv elég tágan fogalmaz, szerinte akkor jelentős egy esemény, ha
- súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban, vagy pénzügyi veszteséget okozott az érintett szervezetnek;
- az esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett, vagy képes érinteni.
Az incidensekről a CSIRT-en kívül a szolgáltatást igénybe vevőket is értesíteni kell. Ha az incidensben személyes adat is érintett volt, akkor azt az adott tagállam adatvédelmi hatóságának is jelenteni kell.
A bejelentéseknek több fajtája lehet:
- Korai előrejelzés: minden esetben a jelentős eseményről való tudomásszerzéstől számított 24 órán belül kell beadni, amelyben fel kell tüntetni, hogy a jelentős eseményt vélhetően jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e határokon átnyúló hatása,
- Eseménybejelentés: a jelentős eseményről való tudomásszerzéstől számított 72 órán belül kell beadni, amely aktualizálja a korai előrejelzésben említett információkat, és tartalmazza a jelentős esemény első értékelését, beleértve annak súlyosságát és hatását, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat;
- Közbenső helyzetjelentés: CSIRT vagy az illetékes hatóság eseti jelleggel kérheti;
- Zárójelentés: összefoglaló jelentés, amit az eseménybejelentés benyújtását követő egy hónapon belül kell beadni és tartalmazza az alábbiakat:
- az esemény részletes leírása, beleértve annak súlyosságát és hatását;
- az eseményt valószínűleg kiváltó fenyegetés vagy kiváltó ok típusa;
- alkalmazott és folyamatban lévő mérséklési intézkedések;
- adott esetben az esemény határokon átnyúló hatása.
Tanácsok a megfeleléshez
Minden szervezetnek azt javasoljuk, hogy első körben vizsgálja meg, hogy az Irányelv hatálya alá tartozik-e. Ha a válasz igen, akkor erősen ajánlott minél előbb megkezdeni a megfelelésre való felkészülést és nem érdemes megvárni az Irányelv 2024-es magyar jogba való átültetésének határidejét. Ha egy szervezetnek alacsony érettségi szintű kiberbiztonsági képességei vannak, akkor időbe fog telni az elvárt megfelelési szint elérése, követelményekből pedig nincs hiány.
Konkrét tanácsokat a korábbi „Új Európai Uniós kiberbiztonsági szabályok a láthatáron” című cikkem Tanácsok a megfeleléshez fejezetben adunk. A felkészülés strukturált megközelítéséhez pedig a Kiberbiztonsági projektek megközelítése az „ITIL 4 Continual Improvement Model alapján” című cikkem ajánlom.
Kapcsolódó bejegyzések
A NIS2 és az OT viszonya
Hüvelyes Péter
2024.07.09
A NIS2 irányelv az OT rendszerekre is vonatkozik, előírva a kockázatkezelést és biztonsági intézkedéseket a kritikus infrastruktúrák védelme érdekében.
Megjelent a NIS2 – Kibertantv. részletes követelmény tervezet – elemzés
Tóth Tamás
2024.02.07
A Kibertantv. részletes követelményei alapján a NIS2 irányelv keretei szerint kockázatmenedzsment és védelmi intézkedések szükségesek az IT rendszerek védelmére.
Multi Faktoros Hitelesítés és a NIS2 kapcsolata
Krékity Gusztáv
2024.09.10
A Multi Faktoros Hitelesítés (MFA) alapvető a NIS2 megfelelőséghez, erősítve a vállalati kiberbiztonságot és védelmet nyújtva a jogosulatlan hozzáférések ellen.