NIS2; kockázatok és lehetőségek a vállalkozások számára

Bevezetés és jogszabályi hivatkozások

A NIS a „hálózati és információbiztonság” rövidítése.

Ezzel a rövidítéssel az Európai Közösség azt a jogalkotási törekvést kívánta jelölni, amelynek célja egy egységes kiberbiztonsági megközelítés kialakítása az EU valamennyi tagállamában.

2018-ban elfogadták az első európai rendeletet, az úgynevezett NIS1-et (2016/1148/EU irányelv), amelyet nemzeti szinten a 2018. május 18-i 65. számú törvényerejű rendelettel ültettek át.

A NIS-rendelet előírta továbbá egy „nemzeti kiberbiztonsági stratégia” elfogadását, amelynek keretében létrehozták az olasz CSIRT-et (számítógépes biztonsági incidensekre reagáló csoportot), amelynek feladata a kiberbiztonsági incidensek megelőzése, az azokra való reagálás és azok nyomon követése, az európai CSIRT-ekkel együttműködésben.

A NIS1-et később a NIS2 (2022/2555/EU irányelv) váltotta fel; ezt a 2024. szeptember 4-i 138. számú törvényerejű rendelettel ültették át a nemzeti jogba.

A NIS 2 célja, hogy orvosolja a NIS 1 korlátait, amely túl nagy mérlegelési jogkört hagyott a tagállamokra az átültetés során, ami miatt nem sikerült megvalósítani a harmonizáció célkitűzését, és emellett kizárt bizonyos szervezetcsoportokat, amelyeket az európai piacra gyakorolt jelentőségük miatt szabályozni kellett volna.

Ezen túlmenően a NIS2-t azért vezették be, hogy reagáljon a digitalizáció ütemének növekedésére, amely minden tagállamban megfigyelhető volt, és amelyet a világjárvány még tovább gyorsított; ez ugyanis kiterjesztette a kibertámadások célpontjainak körét anélkül, hogy a biztonsági rendszerek ennek megfelelően bővültek volna.

Végül: a NIS2 másik célja, hogy a létfontosságú és fontos szolgáltatások üzemeltetőit, valamint a digitális szolgáltatókat arra kötelezze, hogy megfelelő biztonsági intézkedéseket hozzanak, és az incidenseket haladéktalanul jelentsék az illetékes hatóságoknak és szolgáltatásaik felhasználóinak.

Az új irányelvet összehangolták más, az európai szintű ágazati szabályozásokkal, többek között:

- a pénzügyi szektor digitális működési ellenállóképességéről szóló irányelv (DORA). Ez a 2022. november 10-én elfogadott rendelet, amelynek célja a pénzügyi szektor ellenállóképességét és kiberbiztonságát szolgáló biztonsági intézkedések megerősítése az információk integritását és a szolgáltatások kiberbiztonságát garantáló kötelező biztonsági intézkedések bevezetése révén;

- a kritikus infrastruktúrák ellenálló képességéről szóló irányelv (CER); amelynek célja a jogi egyértelműség biztosítása és a különböző irányelvek közötti összhang megteremtése.

Az érintett vállalatokat a következő csoportokba sorolták:

• Alapvető fontosságú szektorok (energia; közlekedés; egészségügy; vízellátás; közigazgatás; pénzügyek; űrkutatás; digitális infrastruktúra)
• Fontos szektorok (kutatás; vegyipar; élelmiszeripar; ipari termelés; digitális szolgáltatók; postai szolgáltatások; hulladékgazdálkodás)
• Közigazgatási szervek: Központi kormányzat (alkotmányos és az alkotmányhoz kapcsolódó szervek; a miniszterelnöki hivatal és a minisztériumok; adóhatóságok; független közigazgatási hatóságok) | Regionális kormányzat (régiók és autonóm tartományok) | Helyi önkormányzatok (nagyvárosok; 100 000 lakosnál nagyobb települések; regionális fővárosok; helyi egészségügyi hatóságok) | Egyéb közjogi szervezetek (gazdasági szabályozó szervek; gazdasági szolgáltatók; egyesületek; szociális, szabadidős és kulturális szolgáltatók; kutatószervek és intézmények; kísérleti állat-egészségügyi intézetek) | Egyéb típusú szervezetek (helyi tömegközlekedési szolgáltatásokat nyújtó szervezetek; kutatási tevékenységet végző oktatási intézmények; kulturális tevékenységet végző szervezetek; belső vállalatok; befektetési társaságok és állami ellenőrzés alatt álló vállalatok)
• Szolgáltatók: azoknak a szervezeteknek, amelyek az NIS2 hatálya alá tartozó szervezetek számára kritikus szolgáltatásokat nyújtanak, meg kell erősíteniük digitális biztonságukat, még akkor is, ha kifejezetten szerepelnek a kötelezően érintett ágazatok között.

A NIS2 tartalma

A NIS2 tartalmában foglalt általános kötelezettségek négy fő pillér alapján foglalhatók össze:

Irányítás: A vezetésnek jóvá kell hagynia a szervezet által bevezetett kockázatkezelési intézkedéseket, és időről időre fel kell mérnie azok hatékonyságát: rendszeresen részt kell vennie a kiberbiztonsági kérdésekkel kapcsolatos képzéseken, és hasonló képzéseket kell biztosítania a munkavállalók számára.

Kockázatkezelés: a szervezetnek fel kell mérnie a biztonsági és hálózati kockázatokat, és megfelelő, arányos műszaki, üzemeltetési és szervezeti intézkedéseket kell hoznia annak érdekében, hogy megelőzze az incidensek bekövetkezését, illetve minimalizálja azok hatását a szolgáltatásai igénybevevőire.

Üzletmenet-folytonosság: a szervezetnek olyan megoldásokat kell bevezetnie, amelyek biztosítják az üzletmenet folytonosságát (pl. biztonsági mentések, katasztrófa-elhárítási terv és válságkezelési eljárás), azzal a céllal, hogy a nyújtott szolgáltatások esetleges megszakadásainak hatását a lehető legkisebbre csökkentsék.

Ellátási lánc: a vállalatnak fel kell mérnie minden közvetlen beszállítója sebezhető pontjait, valamint beszállítói termékeinek általános minőségét és kiberbiztonsági gyakorlatát. Az értékelés kiterjed az IKT-beszállítókra és az egyéb kritikus beszállítókra is, amelyek zavart okozhatnak abban a szolgáltatásban, amelynek kapcsán a szervezetet bevonták az NIS2 hatálya alá.

A vállalatoknak ezért képesnek kell lenniük a következőket mérni és jelenteni:

• Kockázatelemzés és az információs rendszer biztonsági irányelvei
• Eseménykezelési eljárások
• Üzletmenet-folytonossági megoldások (biztonsági mentés és katasztrófa-helyreállítás), valamint válságkezelési és kommunikációs eljárások
• Az ellátási lánc biztonsági irányelvei (beszállítók és szolgáltatók)
• Az információs rendszerek és hálózatok sebezhetőségeinek felderítése, fejlesztése, karbantartása és kezelése során biztosítandó biztonság

A NIS2 ütemterve

A vállalatoknak és a közigazgatási szerveknek felmérést kell végezniük annak megállapítására, hogy az NIS2-irányelvben foglalt kötelezettségek vonatkoznak-e rájuk.

2024. december 1-jétől 2025. február 28-ig a vállalatoknak az ACN (Nemzeti Kiberbiztonsági Ügynökség) portálján SPID-hitelesítő adataikkal kell bejelentkezniük. Ezen időszak alatt a /Registration Service néven megjelölt felhasználóknak.

Különösen a vállalatoknak az alábbiakat kell teljesíteniük:

• Jelölje meg, hogy a gazdálkodó egység vállalatcsoporthoz tartozik-e, és adja meg az anyavállalat adószámát, amennyiben van ilyen.
  
• Sorolja fel a kapcsolódó vállalatokat, és adja meg azok adószámát.
  
• Sorolja fel azokat az ATECO-kódokat, amelyek a szervezet tevékenységét jellemzik.
• Adja meg a vonatkozó uniós ágazati szabályozásokat.
• Adja meg a forgalmat, a mérlegadatokat és az alkalmazottak számát a vállalat besorolásának meghatározásához.
• Sorolja fel azokat a szervezeteket, amelyekhez a vállalat tartozik.

2025. január 17-ig a legfelső szintű domainnév-nyilvántartók üzemeltetőinek, a domainnévrendszer- és domainnév-regisztrációs szolgáltatások nyújtóinak, a felhőalapú számítástechnikai szolgáltatóknak, az adatközpontoknak, a tartalomszolgáltató hálózatok szolgáltatóinak, a felügyelt szolgáltatások nyújtóinak, a felügyelt biztonsági szolgáltatások nyújtóinak, valamint az online piacterek, az online keresőmotorok és a közösségi hálózati szolgáltatók platformjainak üzemeltetőinek regisztrálniuk kell a platformon.

2025. március 31-ig az ACN a platformon keresztül beérkezett regisztrációk alapján összeállította a létfontosságú és fontos szervezetek listáját.

2025. április 1. és 2025. április 15. között az ACN értesítette az érintett szervezeteket arról, hogy felvették-e őket a létfontosságú vagy fontos szervezetek listájára.

2025. április 15-ig az értesítést kapott szervezeteknek külön jogi aktussal ki kellett jelölniük egy olyan szervezetet, amely a rendeletben előírt kötelezettségek teljesítéséért felelős.

Ezt követően az irányelv hatálya alá tartozó szervezeteknek további követelményeknek kell megfelelniük:

• 2026. január 1-jéig; eseményjelentési kötelezettség
• 2026. október 1-jéig; az igazgatási szervekre és a biztonsági intézkedésekre vonatkozó kötelezettségeket teljesíteni kell

Az ACN minden évben frissíti az érintett szervezetek listáját. A vállalatok és a közigazgatási szervek minden évben, január és február között regisztrálhatnak, amennyiben úgy vélik, hogy az érintett szervezetek közé tartoznak.

Kockázatok a vállalatok számára, de egyúttal lehetőségek is

A NIS2 hatálybalépését és az érintett üzemeltetők azonosítását követően az illetékes hatóságok felügyeleti tevékenységet folytathatnak és helyszíni ellenőrzéseket végezhetnek annak megállapítására, hogy azok betartják-e az irányelv előírásait. A szabályok be nem tartása esetén az érintett vállalatokra szankciókat szabnak ki.

A szankciók rendkívül szigorúak: nagyvállalatok esetében legfeljebb 10 millió euró vagy a globális forgalom 2%-a; középvállalkozások esetében legfeljebb 7 millió euró vagy a globális forgalom 1,4%-a.

Bár a szabályozás betartása egyértelmű erőfeszítéseket és beruházásokat igényel a vállalatok részéről, azt is el kell ismerni, hogy maguk a szabályozások is arra törekednek, hogy hatékony megoldást nyújtsanak a kibertámadások problémájára, amelyekre az olasz vállalatok továbbra is nagyon érzékenyek, és amelyeket imázsuk védelme érdekében gyakran eltitkolnak. Gazdasági szempontból az egyes kibertámadások becsült átlagos kára meghaladja a 2 millió eurót, függetlenül a vállalat forgalmától.

Hogyan segíthet az ERA az NIS2-megfelelés kezelésében

A fentiek ellenére – amelyek arra utalhatnak, hogy a vállalatok rendkívül érdeklődnek a kiberbiztonsági kérdések iránt és aktívan foglalkoznak velük – nem ritka, különösen a kis- és középvállalkozások körében, hogy olyan cégeket találunk, amelyek eddig alig vagy egyáltalán nem tettek semmit ezekkel a kérdésekkel kapcsolatban, és jelenleg nem tudják meghatározni, milyen kockázatoknak vannak kitéve, sem technikai szempontból, sem a különböző hatályos szabályozásoknak való megfelelés tekintetében.

Egyes vállalatok biztosítási fedezettel oldják meg a kiberbiztonsági problémákat. A biztosítótársaságok azonban gyakran vonakodnak ilyen típusú védelmet nyújtani azoknak a vállalatoknak, amelyek még soha nem tettek konkrét lépéseket a kiberbiztonsági területen. Ennek oka, hogy nincs megbízható módszer a kibertámadás által okozott kár pontos becslésére. Ennek eredményeként a „NIS2 csomagok” a kiberkockázat-értékelési szolgáltatásokra összpontosítanak, de a hiányosságok orvoslásához szükséges intézkedések meghozatalát a vállalatokra bízzák. Az ERA átfogóbb szolgáltatást kínál, amely magasan képzett beszállítók hálózatára támaszkodik, rendkívül versenyképes kereskedelmi feltételekkel.

Részletesen: az ERA támogatása a következőket foglalja magában:

• A vállalat szervezeti és műszaki felépítésének értékelése; előre meghatározott mutatókat tartalmazó önértékelő kérdőívek segítségével;
• Tudatosságnövelő és képzési programok; az összes alkalmazott számára szóló alapkurzusokkal, valamint a felső- és középvezetés számára kidolgozott haladó modulokkal; az NIS2 irányelveknek megfelelően;
• A sebezhetőségi elemzésre, az adathalász-támadások kezelésére és a zsarolóvírusok kockázatértékelésére irányuló speciális és magas színvonalú vizsgálatok;
• Az értékelést követő helyreállítási szakaszban elkötelezett tanácsadók által nyújtott támogatás;
• Elkötelezett tanácsadók által nyújtott szakértői támogatás a kiberbiztonsági területen hozandó stratégiai döntésekhez.

Megoldásunk magában foglalja az NIS2-előírásoknak való megfelelés elemzését, ami kétségkívül a legsürgetőbb feladat; emellett azonban támogatást nyújtunk az ügyfélnek a javítási szakasz projektmenedzsmentjében is, vagyis abban a szakaszban, amelyben az ügyfélnek orvosolnia kell a diagnosztikai folyamat során feltárt különböző „hiányosságokat”; ez az a szakasz, amelyben egyes vállalatok nehézségei a legszembetűnőbbek, mind a belső szakértelem, mind pedig az idő és az erőforrások rendelkezésre állása tekintetében.