Amit tudni érdemes a NIS2-ről
A Hálózat- és Információbiztonsági Irányelv, azaz NIS2 (Network and Information Systems Directive 2), az Európai Unió egyik legfontosabb jogszabálya a kiberbiztonság terén. Célja, hogy megerősítse az EU kritikus infrastruktúráját és szolgáltatásait a kibertámadások ellen, továbbá elősegítse az ágazatok közötti együttműködést és az információcserét.
Az EU NIS2 irányelv az Európai Unió kiberbiztonsági területen tett első átfogó lépése, mellyel magas közös kiberbiztonsági szintet érhet el a tagállamok között, és hatékonyan kezelheti a digitális társadalom növekvő kihívásait. De mi is pontosan a NIS2, és miért olyan fontos?
A NIS2 Irányelv Röviden
A NIS2 irányelv a kritikus infrastruktúrák és digitális szolgáltatók kiberbiztonságának megerősítését célozza meg. Ide tartoznak többek között az olyan fontos kiemelt ágazatok, mint az energiaellátás, a közlekedés, a bankok, az egészségügyi rendszerek és a digitális platformok.
A NIS2 irányelv hatálya széles körű, és nemcsak bizonyos kritikus vagy nagy kritikusságú ágazati közép- és nagyvállalatokra, hanem azok alvállalkozóira, szállítóláncaira, kisvállalkozásaira és közvetetten más iparági szereplőkre is kiterjed.
Az Elfogadás Folyamata
Az kritikus információs rendszereket és a világszinten elterjedt web, valamint mobil alkalmazásokat érő támadások drasztikus emelkedése égetően szükségessé tette a forráskód-elemző megoldásokat.
Az Európai Parlamentben az ügy az Ipari, Kutatási és Energiaügyi Bizottsághoz került. A bizottság 2021. október 28-án elfogadta a jelentést, míg a Tanács 2021. december 3-án elfogadta álláspontot, így a törvényhozók 2022. május 13-án provizórikus megállapodásra jutottak. (Egy átmeneti, rugalmas megoldás, amely lehetővé teszi a probléma azonnali kezelését, amíg a hosszú távú megoldás kidolgozásra kerül, a szerk.) A politikai megállapodást hivatalosan elfogadta a Parlament, majd a Tanács 2022 novemberében, maga az irányelv pedig 2023. január 16-án lépett hatályba. A tagállamoknak most pár hónapjuk maradt arra, hogy átültessék intézkedéseiket a nemzeti jogba, egészen 2024. október 17-ig.
Az Irányelv Főbb Pontjai
- Kiberbiztonsági Követelmények: A NIS2 meghatározza a kritikus infrastruktúrák és digitális szolgáltatók számára a kötelező kiberbiztonsági intézkedéseket. Ide tartozik a hálózatok és rendszerek védelme, a támadások elleni védelem, a biztonsági incidensek jelentése és a válságkezelés.
- Beszállítási Lánc Biztonsága: Az irányelv figyelembe veszi a beszállítói láncok biztonságát. A digitális szolgáltatóknak gondoskodniuk kell arról, hogy a beszállítóik is megfeleljenek a kiberbiztonsági követelményeknek. Tehát a szolgáltatónak nem csak magára kell kötelező érvényűen kezelnie az irányelveket, de meg kell bizonyosodnia arról is, hogy partnercégei sem jelentenek kockázatot.
- Jelentési Kötelezettségek: A NIS2 megszabja a biztonsági incidensek jelentési kötelezettségeit. A digitális szolgáltatóknak gyorsan és hatékonyan kell reagálniuk a támadásokra, továbbá értesíteniük kell a hatóságokat és az érintett feleket.
- Felügyelet és Szankciók: Az irányelv szigorúbb felügyeleti intézkedéseket vezet be, beleértve az EU-n belüli harmonizált szankciókat is. A tagállamoknak hatékonyan kell ellenőrizniük a szolgáltatókat és büntetéseket kel kiszabniuk a szabályszegőknek.
A NIS2 kiemelt szereplői
A NIS2 irányelv számos szereplőt érint, akik közvetlenül vagy közvetve részt vesznek az Európai Unió kiberbiztonságának megerősítésében. Nézzük meg, kik ezek:
- Kritikus Infrastruktúra Üzemeltetők: Ide tartoznak az energiaellátás, közlekedés, víz- és szennyvízkezelés, egészségügyi rendszerek, bankok és más olyan szolgáltatók, amelyek működése elengedhetetlen a társadalom számára. Ezeknek a szervezeteknek megfelelő kiberbiztonsági intézkedéseket kell hozniuk a fenyegetések ellen.
- Digitális Szolgáltatók: Az irányelv kiterjeszti a korábbi NIS irányelvet, amely elsősorban a szolgáltatókat érintette, most már a digitális szolgáltatókra is vonatkozik. Ide tartoznak például a felhőszolgáltatók, online piacterek, DNS-szolgáltatók és egyéb digitális platformok.
- Beszállítók és Alvállalkozók: Ahogy már említettük, beszállítói lánc biztonsága kiemelt fontosságú. A digitális szolgáltatóknak gondoskodniuk kell arról, hogy a beszállítóik is megfeleljenek a kiberbiztonsági követelményeknek.
- Nemzeti Hatóságok és Felügyeleti Szervek: A tagállamoknak hatékonyan kell ellenőrizniük a szolgáltatókat, és szükség esetén szankciókat kiszabniuk. A NIS2 irányelv bevezeti az EU-n belüli harmonizált szankciókat is.
- Biztonsági Szakértők és Tanácsadók: A kiberbiztonsági szakértők és tanácsadók segítenek a szervezeteknek megfelelő intézkedéseket kidolgozni és végrehajtani a NIS2 irányelv alapján. A vállalatok átvilágításán kívül, a teljes projekt menedzsmentet el kell tudniuk végezni, valamint tevékenységük érvényességét is igazolniuk kell. Éppen ezért nagyon fontos, hogy körültekintően válasszuk meg NIS2 szakértő partnerünket.
Milyen veszélyekkel szemben nyújt védelmet a NIS2?
- Kibertámadások: A NIS2 irányelv erősíti a kritikus infrastruktúrák és digitális szolgáltatók védelmét a kibertámadásokkal szemben. Ide tartoznak a DDoS (elosztott szolgáltatás megtagadás) támadások, malware fertőzések, phishing kísérletek és más online fenyegetések.
- Beszállítási Láncot Érintő Kockázati Tényezők: A digitális szolgáltatóknak gondoskodniuk kell arról, hogy a beszállítóik is megfeleljenek a kiberbiztonsági követelményeknek. Ez csökkenti a beszállítói láncokon keresztül érkező támadások kockázatát.
- Rendszerhibák és Sebezhetőségek: A NIS2 előírja a rendszerek és hálózatok sebezhetőségeinek folyamatos felügyeletét és javítását. Ez magában foglalja a sérülékenységkezelést, a frissítéseket és a biztonsági réseket.
- Incidensek Jelentése és Reagálás: A NIS2 pontosítja és kiemelten kezeli a biztonsági incidensek jelentési kötelezettségeit, mely nagyban hozzá járul, az esetek megelőzhetőségéhez.
Milyen szankciókat vonhat maga után a NIS2 irányelvek megsértése?
A NIS2 szigorúan kezeli az irányelveinek megsértését, és különböző szankciókat határoz meg azok számára, akik nem tartják be a kiberbiztonsági előírásokat. Nézzük meg, milyen következményekkel járhat a NIS2 irányelvek megsértése:
- Nem Pénzügyi Következmények:
- Kötelező intézkedések: A nem pénzügyi következmények közé tartozik a kötelező intézkedések elrendelése és azok végrehajtása. Ide tartoznak a megfelelési rendeletek, kötelező utasítások, biztonsági auditok, végrehajtási rendeletek és fenyegetési értesítések a szolgáltatók ügyfeleinek.
- Büntetőjogi Szankciók: Az irányelv lehetővé teszi a tagállamoknak, hogy büntetőjogi szankciókat szabjanak ki a szervezetek vezetőinek, ha a kiberbiztonsági incidens után súlyos gondatlanság bizonyítható. Ez magában foglalhatja a megsértések nyilvánosságra hozatalát, a felelős személyek azonosítását és a vezetői pozíciókból való ideiglenes kizárást is, ha az érintett szervezet kritikus infrastruktúra része.
-
- Pénzügyi Büntetések:
- Az irányelv különbséget tesz az alapvető és fontos szervezetek között:
- Alapvető Szervezetek: Ide tartoznak a közszolgáltatók és magánvállalatok olyan ágazatai, mint a közlekedés, a pénzügy, az energia, a víz, az egészségügy, a közszolgáltatások és a digitális infrastruktúra. Ezekre a szervezetekre legalább 10 millió eurós vagy a globális éves bevétel 2%-a vonatkozik, attól függően, melyik magasabb.
- Fontos Szervezetek: Ide tartoznak a közszolgáltatók és magánvállalatok olyan ágazatai, mint az élelmiszeripar, a digitális szolgáltatók, a vegyipar, a postai szolgáltatások, a hulladékkezelés, a kutatás és a gyártás. Ezekre a szervezetekre legalább 7 millió eurós vagy a globális éves bevétel 1,4%-a vonatkozik, szintén attól függően, melyik magasabb.
- Az irányelv különbséget tesz az alapvető és fontos szervezetek között:
- Pénzügyi Büntetések:
Kiemelt jelentőségű incidensek
Az elmúlt években számos kibertámadásos incidens igazolja és mutat rá a NIS2 irányelv fontosságára és szükségességére. Rohamosan digitalizálódó társadalmunkban ezeknek a száma is jelentősen növekedik, az MI megjelenésével pedig egy új, hatékony eszköz is rendelkezésükre áll a kiberbűnözőknek.
SolarWinds Hack (2020): A SolarWinds szoftvercég szervereibe történő behatolás révén a támadók hozzáférést szereztek több amerikai kormányzati ügynökség és magáncég rendszereihez. Ez a támadás rávilágított a beszállítói láncok biztonságának fontosságára és a kritikus infrastruktúrák védelmének szükségességére.
Colonial Pipeline Ransomware Attack (2021): A Colonial Pipeline, az Egyesült Államok legnagyobb olajvezeték-hálózata, egy ransomware támadás áldozata lett. A támadás leállította az olajszállítást és súlyos gazdasági következményekkel járt. Ez az eset rámutatott a kritikus infrastruktúrák sebezhetőségére.
Az irányelv betartása számos előnnyel jár. Az adatvédelmi és kiberbiztonsági intézkedések végrehajtása segíthet megelőzni a kibertámadásokat, és minimalizálni a károkat, amelyeket ezek az események okozhatnak. Emellett javíthatja a vállalatok ügyfélbizalmát és hírnevét, ami kulcsfontosságú a versenyképesség és a fenntartható növekedés szempontjából.
Kíváncsi vagy milyen egyéb tanúsítványok és irányelvek alapján bizonyosodhatsz meg egy vállalat megbízhatóságáról? Nézz körül nálunk: ESG, ISO, Dun&Bradstreet, EcoVadis.