Új Európai Uniós kiberbiztonsági szabályok a láthatáron
Tóth Tamás
2022.06.28
Napjainkra az IT biztonság és kiberbiztonság terén is fokozódik a compliance nyomás, ami a legtöbb szervezetet komoly kihívások elé állítja. Beszállítóként vagy partnerként mindenki szembesülhet a szerződések biztonsági mellékleteivel, valamint az ezekhez tartozó értékelő táblázatokkal. Az utóbbi időben a klasszikus pénzintézeti és létfontosságú rendszerelemeket tartalmazó ágazatokon kívül is megjelentek kiberbiztonsági tematikájú jogszabályok, ebből a legújabb a NIS 2 irányelv (NIS 2 directive, a NIS rövidítés tartalma: Network & Information Systems). Fontos kérdés, hogy a NIS 2 irányelv lesz-e az új GDPR, vagy a korábbi NIS irányelvhez hasonlóan egy közepesen ismert compliance forrás lesz a többi hasonló szabályozás közül.
NIS2 szükségessége
A NIS 2 irányelv (hosszabb nevén: az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló Európai Parlament és Tanács irányelv) megalkotása nem újkeletű kezdeményezés az Európai Unió (EU) részéről. 2016-ban megalkották a NIS irányelvet, amely az első uniós szintű kiberbiztonsági jogszabály volt azzal a konkrét céllal, hogy magasabb szintű kiberbiztonságot érjenek el a tagállamokban. Az EU saját összefoglalója alapján ugyan növekedtek a kiberbiztonsági képességek, de az előírások teljesítése nehéznek bizonyult és nem volt egységes.
2016 óta napjainkig sok dolog történt, amelyek miatt módosítani, pontosabban hatályon kívül kellett helyezni és másik jogszabállyal kellett helyettesíteni a NIS irányelvet:
- A kiberbűnözők által elkövetett kibertámadások egyre gyakoribbak, kifinomultabbak és jövedelmezőbbek lettek, amit elsősorban az széleskörű és sikeres zsarolóvírus támadások példáján lehet szemlélni,
- A koronavírus pandémia szinte minden ágazatban felgyorsította a digitalizációt, de ez új fenyegetésekkel, több biztonsági incidenssel, valamint új függőségekkel jár,
- Az orosz-ukrán háború a kibertérben is zajlik, ami szintén sok gyengeségre világított rá az EU-n belül is.
A fentiek hatására az Európai Bizottság javaslatot nyújtott be a NIS-irányelv felváltására és ezáltal a biztonsági követelmények megerősítésére, az ellátási láncok biztonságának kezelésére, a jelentési kötelezettségek egyszerűsítésére és szigorúbb szabályok bevezetésére.
A „kiberreziliencia” kifejezés többször is feltűnik a NIS 2 irányelv szövegében, hiszen a jogszabály elsődleges célja ennek növelése. Kiberreziliencia alatt a kibertámadásokkal kapcsolatos ellenállóképességet értjük. 100%-os biztonság nem létezik, sajnos minden szervezetet elérhet egy-egy opportunista vagy célzott támadás. Egyedül az számít, hogy a szervezet felkészült legyen, a potenciális támadásokat időben észlelje, megfelelő és begyakorolt módon reagáljon rájuk és lehetőleg gyorsan, minimális veszteséggel vissza tudjon állni a normál működésre.
NIS2 irányelv hatálya
A NIS 2 irányelv hatálya a tagállamokon kívül az unióban működő úgynevezett alapvető szervezetekre és fontos szervezetekre vonatkozik, ami első hallásra és olvasásra korántsem egyértelmű.
Az alapvető szervezetek (essential entities) olyan szervezetek, amelyek szolgáltatásainak kiesése vagy fennakadása, közvetlenül vagy közvetetten, átmenetileg vagy hosszútávon súlyos hatást gyakorolhat a társadalmunk gazdaságára, energiaellátására, egészségügyre, hírközlésre és kommunikációra, valamint a közigazgatás működésére. Ez nem teljesen, de nagymértékben egybevág a létfontosságú rendszerelemekkel. A korábbi NIS irányelvnek is volt hasonló kategóriája, ott alapvető szolgáltatásokat nyújtó szervezetek megnevezést használták. A NIS 2 irányelv I. melléklete további EU-s jogszabályokra hivatkozva, taxatíve felsorolja az alapvető szervezeteket, amelyek ágazatai az alábbiak:
- Energia (Villamos energia, Távfűtés és -hűtés, Olaj, Gáz, Hidrogén),
- Szállítás (Légi, Vízi, Vasúti, Közúti),
- Banki szolgáltatások,
- Pénzügyi piaci infrastruktúrák,
- Egészségügy,
- Ivóvíz,
- Szennyvíz,
- Digitális infrastruktúra (pl. Internetkapcsolódási pont szolgáltatók, DNS-szolgáltatók, Felhőszolgáltatók),
- Közigazgatás,
- Világűr.
A fontos szervezetek (important entities) kategóriájába a NIS 2 irányelv II. mellékletében felsorolt ágazatokba tartozó állami és magánszervezetek tartoznak, amelyek kulcsfontosságúak a társadalmi és gazdasági tevékenységek szempontjából. A mikro- és kisvállalkozások viszont nem tartoznak az irányelv hatálya alá. A korábbi NIS irányelv a mostani fontos szervezetek kategóriáját csak a digitális szolgáltatókra vonatkozóan határozta meg, akiket a nemzeti jogban bejelentés-köteles szolgáltatóknak neveztek. A NIS 2 irányelv felsorolása alapján ez a kategória jelentősen bővült, ami meglepetést okozhat az érintett új szereplőknek, mert eddig nem voltak jellemzők a rájuk vonatkozó jogszabályi szintű IT biztonsági követelmények előírása:
- Postai és futárszolgáltatások,
- Hulladékgazdálkodás,
- Vegyszerek gyártása, előállítása és forgalmazása,
- Élelmiszer-előállítás, -feldolgozás és -forgalmazás,
- Gyártás (NACE nemzetgazdasági áganként pl.: Számítógépek, elektronikai és optikai termékek gyártása, Orvostechnikai és diagnosztikai eszközök gyártása, Gépjárművek, pótkocsik és félpótkocsik gyártása, Máshova nem sorolt gépek és gépi berendezések gyártása),
- Digitális szolgáltatók (Online piacterek szolgáltatói, Online keresőmotorok szolgáltatói, Közösségi hálózati szolgáltató platform szolgáltatói).
Követelmények
A NIS 2 irányelv sajnos csalódást fog okozni azoknak, akik egy újabb teljeskörű követelmény- vagy kontroll listát várnak a szabályozástól, ugyanis a szövegben a sokak által ismert, ám annál kevésbé megfogható kifejezések szerepelnek, miszerint megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére, figyelembe kell venni a technika állását, az intézkedéseknek biztosítaniuk kell a hálózati és információs rendszerek keltett kockázatnak megfelelő biztonsági szintjét. Intézkedések szintjén csak általános kategóriákat sorolnak fel:
- risk analysis and information system security policies,
- incident handling (prevention, detection, and response to incidents),
- business continuity and crisis management,
- supply chain security including security-related aspects concerning the relationships between each entity and its suppliers or service providers such as providers of data storage and processing services or managed security services,
- security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure,
- policies and procedures (testing and auditing) to assess the effectiveness of cybersecurity risk management measures,
- the use of cryptography and encryption.
A felsorolt általános intézkedések megvalósításán túl a NIS 2 irányelv előírja, hogy a hatálya alá tartozó alapvető és fontos szervezeteknek indokolatlan késedelem nélkül értesíteniük kell az illetékes hatóságokat vagy a CSIRT-et minden olyan eseményről és észlelt kiberfenyegetésről, amely jelentős hatással van szolgáltatásaik nyújtására vagy amely potenciálisan jelentős eseményhez vezethet.
A Nemzeti Kibervédelmi Intézet (NKI) hivatalos tájékoztatása szerint az irányelv jelenlegi szövegét egyes EU-s intézményeknek még hivatalosan jóvá kell hagyniuk. A tagállamoknak ezután az irányelv hatálybalépésétől számítva 2022 májusától 21 hónap áll majd rendelkezésükre, hogy átültessék a rendelkezéseket nemzeti jogukba. Ugyanakkor kérdéses, hogy a követelményeket nemzeti szinten mennyire fogják pontosítani, hiszen a korábbi NIS irányelv esetén a bejelentés-köteles szolgáltatást nyújtó szolgáltatókra csak a hatósági regisztrációval, biztonsági események (incidensek) bejelentésével és kezelésben történő együttműködésével kapcsolatban alkottak nemzeti törvényi és rendeleti előírásokat. A nemzeti törvények és rendeletek a követelmények (a korábbi NIS irányelv megfogalmazásában biztonsági elemek) tekintetében csak visszautaltak a korábbi NIS irányelvre, egyéb pontosítás nem történt. Az alapvető szervezetekre vonatkozó követelményeket valószínűleg a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. Törvényen (Lrtv.) keresztül a fogják meghatározni, ahogy azt a korábbi NIS irányelv során is tették az alapvető szolgáltatásokat nyújtó szervezetek esetén.
Ha már eljutottunk a korábbi NIS irányelv követelményeihez (biztonsági elemek), akkor összehasonlítva a fent felsorolt NIS 2 irányelv követelményekkel azt láthatjuk, hogy jelentősen kevesebb és még általánosabb követelményeket támasztottak 2016-ban:
- the security of systems and facilities;
- incident handling;
- business continuity management;
- monitoring, auditing and testing;
- compliance with international standards.
Szankciók
Jogi előírások nem léteznek szankciók nélkül, hiszen másképp nem lehetne őket kikényszeríteni. Így van ez a NIS 2 irányelv esetében is. Az irányelv csak a szankciók körét és az ezekkel kapcsolatos magasszintű elvárásokat (pl. arányosság elve) határozza meg, a részleteket majd a tagállamoknak kell kidolgozniuk.
A szankciók köre elég tág, ezek közül az alábbiak a legfontosabbak:
- figyelmeztetés kiadása, ha a szervezetek nem tartják be a kötelezettségeket,
- kötelező erejű utasítás (pl. végzés) kiadása, amelyek előírják a feltárt hiányosságok és ajánlások pótlását vagy a kötelezettségek teljesítését,
- a szervezetek kötelezése arra, hogy a kötelezettségek be nem tartásának szempontjait meghatározott módon hozzák nyilvánosságra,
- a szervezetek kötelezése arra, hogy tájékoztassák azon természetes vagy jogi személyeket, akiknek szolgáltatásokat nyújtanak vagy tevékenységeket végeznek, és amelyeket a jelentős kiberfenyegetés érinthet, minden lehetséges védelmi vagy helyreállítási intézkedésről, amelyet e természetes vagy jogi személyek megtehetnek a fenyegetés elhárítására,
- közigazgatási bírság kiszabása (elvárás, hogy hatékony, arányos és visszatartó erejű legyen).
A szankciókat elemezve szembetűnő, hogy a klasszikus figyelmeztetés, kötelező erejű jogi aktus (pl. végzés) kiadása, és bírság elemeken kívül újdonság az érdekelt felek kötelező tájékoztatása.
Természetesen mindenkit a bírságok érdekelnek, amelyek pontos összegét a nemzeti jogban fogják meghatározni. A bírság kiszabásakor például figyelembe kell venni a jogsértés súlyosságát és a megsértett rendelkezések fontosságát, a jogsértés időtartama, ideértve az ismételt jogsértések elemét, ténylegesen okozott károkat. Az irányelv szerint a kiszabható bírság maximuma 10 000 000 EUR vagy a szervezet globális éves forgalmának legfeljebb 2%-a, attól függően, hogy melyik összeg a magasabb. Érdekesség, hogy a bírság mértéke megegyezik a GDPR-ban meghatározott összeggel. Kérdéses, hogy az irányelv gyakorlati alkalmazásakor is hasonló mértékű bírságokat fog-e kiszabni a hatóság.
A NIS 2 irányelv magyarországi felügyeleti hatósága valószínűleg a Nemzetbiztonsági Szakszolgálathoz tartozó Nemzeti Kibervédelmi Intézet (NBSZ NKI) lesz, mivel a korábbi NIS irányelv hatálya alá tartozó bejelentés-köteles szolgáltatók esetén is ők látják el a felügyeletet és a szervezet tölti be a nemzeti CSIRT feladatokat is.
Tanácsok a megfeleléshez
Az irányelv hatálya alá tartozó új szereplőknek jogosan merülhet fel a kérdés, hogy hogyan tovább, milyen lépéseket kell tenniük a megfelelés érdekében. A NIS 2 által felsorolt védelmi intézkedésekre – csak az elméleti keretek közt ragadva – mondhatjuk azt, hogy nincs semmi különleges bennük, ezeket mindenkinek alkalmaznia kellene, de a gyakorlat sokkal árnyaltabb.
Elsősorban azt javasoljuk, hogy az érintett szervezet – amennyiben ezt korábban nem tette meg más okok miatt – válasszon ki egy nemzetközileg elismert, széleskörben alkalmazott szabványt, keretrendszert vagy kontroll listát (pl. ISO 27001 és 27002, NIST CSF, CIS Controls v8), és társítsa (mappelje) a NIS 2 által elvárt követelményeket a szabvány követelményeihez. Erre azért van szükség, mert az említett szabványok, keretrendszerek, illetve kontroll listák tartalmazzák a követelmények teljesítéséhez szükséges háttérinformációkat és javaslatokat, ami megtölti tartalommal a NIS 2 irányelv szűkszavú felsorolását.
Ha az irányadó szabvány kiválasztása után, a szervezetnek annak alapján fel kell mérnie a jelenlegi védelmi intézkedéseit (as is állapot), ami kiváló input a későbbi kockázatelemzéshez is. Következő lépésként ajánlott priorizálni felmérés eredményeként feltárt hiányosságokat és megbecsülni a megoldásukhoz szükséges erőforrásokat, majd az elérendő helyzet (to be állapot) meghatározásával kitűzni a célokat.
Ha a szervezet bizonytalan a megfelelése tekintetében és nem tartja magát jól felkészültnek, akkor az egész kezdeményezést – a felméréstől kezdve – célszerű egy formális projektként kezelni a buktatók elkerülése érdekében. Egy – információbiztonsági szempontból is – érett szervezetnek könnyebb dolga van, az esetükben egy rövidebb belső audittal is felmérhető a megfelelési szintjük és valószínűleg kevés hiányossággal fognak majd szembesülni.
Csak javasolni tudom, hogy a felkészülési projekt célja ne a sablon dokumentáció és kockázatelemzés elkészítése legyen, hanem minden szervezetnek érdemes törekednie a tényleges megfelelés elérésére, ami értéket teremthet. Hogy miért? A cikk elején már kitértem arra, hogy a compliance elkerülhetetlen, ami egy NIS 2 megfelelési projekt eredményterméke lehet (pl. szabályzatok, eljárásrendek, kockázatelemzés, pontos és naprakész inventory-k, üzletmenet-folytonossági tervek), az más kontextusban (pl. beszállítói audit) is fontos és elvárt lehet. Ha ezeket valódi tartalommal töltik meg és ténylegesen alkalmazzák a működés során, az kétségkívül hozzájárul a szervezet ellenállóképességéhez és megmentheti a szaporodó és folyamatosan fejlődő támadásoktól.
A megfelelési projektek sok azonosságot mutatnak egy ISMS bevezetésével, ezért minden olvasónak javaslom az ISMS és GRC témában megírt cikkeink tanulmányozását.
Konklúzió
Hamarosan egy új kiberbiztonsági szabályozással több lesz, ami új kihívás elé állítja a hatálya alá tartozó szervezeteket. A NIS 2 irányelv jelenlegi szövege (fordítási hiányosságok miatt ajánlott az angol verziót olvasni) az általános elvárt intézkedésekkel támpontot ad és érthetőek a jogforrás irányvonalai, ugyanakkor számos alkalmazási részletet a nemzeti jog kidolgozása fog megválaszolni, így mindenképp ajánlott követni az ezzel kapcsolatos híreket. Véleményem szerint komolyan kell venni a szabályozást, mindenkinek fel kell készülni, ugyanakkor a hatóságokon fog múlni, hogy ez lesz-e az új GDPR. Úgy gondolom, hogy felkészülés elsődleges motivációjának nem a bírság elkerülésének, hanem a szervezet, annak érdekeinek és ügyfeleinek védelmének kell lennie. Hogy mikortól lesznek kötelező erejűek a NIS 2 elvárásai az jó kérdés, erre valószínűleg szintén a nemzeti jog fog választ adni. Érdemes viszont már most elkezdeni a felkészülést, hiszen egy nagy méretű, komplex szervezet nem tud megfelelni egyik napról a másikra.
Ha vállalatát kibertámadás éri, mindössze 1-6 órája van arra, hogy a hatóságoknak jelentse a jogsértést. Tisztában van-e vállalkozása azzal, hogy az európai uniós jogalkotók milyen típusú információkat, kompetenciákat és tapasztalatot követelnek meg ehhez a kommunikációhoz?
Ingyenes interaktív prezentációnkat megtalálja az InfoSec Akadémián
Kapcsolódó bejegyzések
NIS2 – Kibertantv. státusz és Roadmap
Tóth Tamás
2024.06.14
A NIS2 alapján a Kibertantv. előírásai sok változást hoznak, ebben tud segíteni az EURO ONE, hogy mik ezek és hogy segítünk megtalálja cikkünkben.
Lépések a NIS2 megfeleléshez
Tóth Tamás
2023.02.09
Készüljön fel a NIS2 irányelv megfelelésére! Ismerje meg a szükséges lépéseket a gap assessmenttől a kockázatelemzésen át a fenntartható védelmi intézkedések kialakításáig.
Megjelent a NIS2 – Kibertantv. részletes követelmény tervezet – elemzés
Tóth Tamás
2024.02.07
A Kibertantv. részletes követelményei alapján a NIS2 irányelv keretei szerint kockázatmenedzsment és védelmi intézkedések szükségesek az IT rendszerek védelmére.