ÜZLETI IT- Tartalmas, előremutató, vicces de közben halálosan komoly

EURO ONE

Kihirdetésre került a NIS 2 Irányelv. Hogyan tovább?

Tóth Tamás cikke

Facebook Tetszik
0
2023. január 10. - EURO ONE

A korábbi cikkemben bemutattam az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló NIS2 Irányelv alapjait. A jelen cikkemben az újdonságokat és néhány érdekességet kívánom összefoglalni.
nis2-blogposzt.jpg

Az Európai Unió Bizottsága 2022. december 27-én kihirdette a NIS2 Irányelvet (a továbbiakban: Irányelv). A szabályozás 2023. január 16-án fog hatályba lépni, a tagállamoknak pedig 2024. október 17-ig kell átültetniük először a saját jogrendszerükbe az előírásokat.

NIS2 hatálya alá tartozó szervezetek

Az Irányelv hatálya alá tartozó szervezetek köre, vagyis a fontos- és alapvető szervezetek. Ezekről részletesen a korábbi cikkemben írok. 

Vezetőség felelőssége

Az Irányelv szövege szerint a tagállamoknak biztosítaniuk kell, hogy az alapvető és fontos szervezetek vezető testületei jóváhagyják az e szervezetek által a 21. cikknek való megfelelés érdekében tett kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék annak végrehajtását és felelősségre vonhatók legyenek az említett cikknek a szervezetek általi megsértéséért.

Ez egybevág azzal az általános "tankönyvi" állásponttal, hogy az információbiztonságért végső soron a szervezet vezetése felelős, illetve hasonlóságot mutat a német információbiztonsági szabályozással (IT-Sicherheitsgesetz 2.0 - "IT-SiG 2.0), ahol szintén előírták a vezetés felelősségét.

Az Irányelv nem állt meg a vezetés felelősségének a meghatározásánál, ugyanis a szöveg szerint a tagállamoknak biztosítaniuk kell, hogy az alapvető és fontos szervezetek vezető testületeinek tagjai számára kötelező legyen a képzéseken való részvétel.

A vezetés kötelező képzésének előírása segíthet kiberbiztonsági terület fontosságának megértésében és ezáltal az elkötelezettség növelésében.

Kiegészített védelmi intézkedések

Az Irányelv korábbi szövegében kevesebb védelmi intézkedést írtak elő, mint a jelenlegi, elfogadott verzióban. A hálózati és információs rendszerek kockázatokkal arányos védelmét a kihirdetett Irányelv szerint az alábbi védelmi intézkedésekkel kell biztosítani:

  1. kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
  2. eseménykezelés;
  3. üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés;
  4. az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
  5. biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
  6. szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
  7. alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
  8. a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
  9. humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
  10. adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.

A felsorolt védelmi intézkedések nem elég konkrétak az implementáció megkezdéséhez. Ehhez a meglévő keretrendszereket (pl. a 2022-ben frissített ISO 27001 szabványt, a felülvizsgálat alatt álló NIST Cybersecurity Framework - CSF), valamint az ágazati standardokat lehet segítségül hívni. Az Irányelv a szabványosítás keretében ösztönzi a hálózati és információs rendszerek biztonsága tekintetében releváns európai és nemzetközi szabványok és műszaki előírások alkalmazását.

Az Irányelv szövege szerint Európai Unió Bizottsága további követelményeket fogadhat el a védelmi intézkedések technikai és módszertani követelményeinek meghatározása céljából, ami további segítséget adhat a megfeleléshez.

Jelentéstételi kötelezettség

Az Irányelv szigorú incidens bejelentési elvárásokat is meghatározott, amit érett incidensmenedzsment folyamatok és SIEM megoldások nélkül aligha tud teljesíteni egy szervezet. Gyakran az incidensek detektálása sem történik meg, vagy csak hosszú idő után, amit az IBM 2022 Cost of Data Breach Report-ja támaszt alá 277 napos átlagos észlelési idővel.

A jelentős eseményekről késedelem nélkül értesíteni kell az adott tagállami CSIRT-eket, vagyis a "számítógép-biztonsági eseményekre reagáló csoportokat", ami Magyarországon várhatóan a Nemzeti Kibervédelmi Intézet lesz. Az Irányelv elég tágan fogalmaz, szerinte akkor jelentős egy esemény, ha

  • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban, vagy pénzügyi veszteséget okozott az érintett szervezetnek;
  • az esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett, vagy képes érinteni.

Az incidensekről a CSIRT-en kívül a szolgáltatást igénybe vevőket is értesíteni kell. Ha az incidensben személyes adat is érintett volt, akkor azt az adott tagállam adatvédelmi hatóságának is jelenteni kell.

A bejelentéseknek több fajtája lehet:

  • Korai előrejelzés: minden esetben a jelentős eseményről való tudomásszerzéstől számított 24 órán belül kell beadni, amelyben fel kell tüntetni, hogy a jelentős eseményt vélhetően jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e határokon átnyúló hatása,
  • Eseménybejelentés: a jelentős eseményről való tudomásszerzéstől számított 72 órán belül kell beadni, amely aktualizálja a korai előrejelzésben említett információkat, és tartalmazza a jelentős esemény első értékelését, beleértve annak súlyosságát és hatását, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat;
  • Közbenső helyzetjelentés: CSIRT vagy az illetékes hatóság eseti jelleggel kérheti;
  • Zárójelentés: összefoglaló jelentés, amit az eseménybejelentés benyújtását követő egy hónapon belül kell beadni és tartalmazza az alábbiakat:
    • az esemény részletes leírása, beleértve annak súlyosságát és hatását;
    • az eseményt valószínűleg kiváltó fenyegetés vagy kiváltó ok típusa;
    • alkalmazott és folyamatban lévő mérséklési intézkedések;
    • adott esetben az esemény határokon átnyúló hatása.

Tanácsok a megfeleléshez

Minden szervezetnek azt javasoljuk, hogy első körben vizsgálja meg, hogy az Irányelv hatálya alá tartozik-e. Ha a válasz igen, akkor erősen ajánlott minél előbb megkezdeni a megfelelésre való felkészülést és nem érdemes megvárni az Irányelv 2024-es magyar jogba való átültetésének határidejét. Ha egy szervezetnek alacsony érettségi szintű kiberbiztonsági képességei vannak, akkor időbe fog telni az elvárt megfelelési szint elérése, követelményekből pedig nincs hiány.

Konkrét tanácsokat a korábbi "Új Európai Uniós kiberbiztonsági szabályok a láthatáron" című cikkem Tanácsok a megfeleléshez fejezetben adunk. A felkészülés strukturált megközelítéséhez pedig a Kiberbiztonsági projektek megközelítése az "ITIL 4 Continual Improvement Model alapján" című cikkem ajánlom.

Szólj hozzá!
cyber security tóthtamás tothtamas nis2

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://euroone.blog.hu/api/trackback/id/tr5018023158

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása