1. A NIS2 a rengeteg érintett miatt az egész piacot felforgatta, egymást érik a kapcsolódó webináriumok, konferenciák. Miért kell ennyit beszélnünk a témáról?

Az Európai Unión belüli kiberbiztonság megerősítése kiemelten fontos. A digitális társadalom és gazdaság egyre inkább függ az informatikai rendszerektől, ezért elengedhetetlen, hogy megvédjük azokat a kibertámadásoktól és fenyegetésektől. A reziliencia, vagyis a vállalatok és rendszerek ellenálló képessége kritikus szempont a kiberbiztonság terén. A NIS2 nem csak a szabályozásokat, dokumentációs keretrendszert érinti. A két kiemelt újdonság, amelyet a NIS2 hoz a vállalatok életébe a technológiai vizsgálatok szükségessége, valamint a beszállítók magasabb szintű ellenőrzése. Az új technológiai fejlesztések - például az új generációs tűzfalak és védelmi rendszerek -, hozzájárulnak a kiberbiztonság növeléséhez, de csak akkor, ha ezek megfelelően vannak konfigurálva, paraméterezve. Ezt pedig legegyszerűbben technológiai vizsgálatokkal (pl. sérülékenységvizsgálat) lehet jól megállapítani. Emellett a beszállítók is kulcsszerepet játszanak a védekezés sikerében, hiszen az adatok, termékek és szolgáltatások védelmében fontos szerepük van.

2. Milyen tipikus alapkérdéseket kell megválaszolnia az előkészítés során a szervezetnek?

A felkészülés során figyelembe kell venni, hogy amennyiben a szervezet rendelkezik különböző telephelyekkel, akkor a felmérésben minden telephely érintett. Az informatikai (IT) és az üzemviteli technológiai (Operation Technology, OT) rendszereket érdemes előre összegyűjteni, a nyilvántartásokat aktualizálni, hiszen a rendszerek biztonsági osztályokba sorolásához elengedhetetlenek a naprakész adatok. A vizsgálat részét képezi a sérülékenységvizsgálat, amely kitér például a szerverek, tűzfal ellenőrzésére, illetve az internet irányából elérhető hosztok és szolgáltatások átvizsgálására is. A szervezet érettségét leginkább az IT/OT biztonsági stratégia és a szabályzatok megléte határozza meg. Emellett fontos szerepük van a kockázatértékeléssel és kockázatok kezelésével foglalkozó cselekvési terveknek is. Az érvényes információbiztonsági tanúsítványok komoly előnynek tekinthetőek, de nem elégséges önmagában egyik sem a NIS2 megfeleléshez. A szervezet biztonságtudatosságának növelése és az erre való törekvések a tapasztalatok szerint a szervezet érettségét nagymértékben javítják.

3. Milyen követelményeket támaszt a NIS2 a rendszerek biztonsági osztályba sorolásával szemben?

Az elektronikus információs rendszerek besorolása kötelező eleme a felkészülésnek, különösen azon rendszereké, amelyek információkat tárolnak, továbbítanak és felhasználnak. A törvényhez kapcsolódó rendelet meghatározza a biztonsági osztályokba sorolás kritériumait és útmutatásait. No meg ennek határidejét, ami e hónap vége, 2024. június 30. Fontos megjegyezni, hogy a gyártó cégek esetében az üzemviteli technológia területét (OT) is be kell vonni a besorolásba.

Magától értetődően a naprakész rendszernyilvántartások elősegítik és gyorsítják a besorolási procedúrát. Az OT rendszerek csoportosítására több metódus, jó gyakorlat is alkalmazható. Ilyen lehet például a berendezés gyártója vagy a gyártósor szerinti, valamint a funkciócsoport, illetőleg technológiai folyamat szerinti szétbontás. Itt természetesen mindig figyelembe kell venni a lehetőségeket, a vállalat alaptevékenységét, adottságait. Az IT infrastruktúrában olyan komponensek is lehetnek, amelyeket egy rendszerhez lehet kapcsolni és egyben kezelni. Például az alkalmazáshoz kapcsolódó adatbázis szerverek ilyen komponensek. Ebben az esetben rendszerint az alkalmazást és a szervert egybecsomagolva soroljuk be a megfelelő biztonsági osztályba. Ugyanakkor különálló fájlszerverek esetén a sorok nem összevonhatók, ezen komponens jellemzően külön kezelendő.

Általánosságban elmondható, hogy az ERP rendszerek, amelyek nagy mennyiségű érzékeny információt, adatot tartalmaznak, a gyakorlat szerint legalább jelentős kategóriába kell tartozzanak. Az HR rendszerek, amelyek érzékeny munkaügyi információkat tárolnak, szintén a jelentős kategóriába sorolandók. A hálózati eszközök, mint a switch-ek, routerek és kiszolgáló infrastruktúra, osztott rendszerelemnek tekinthetők, és nem szükséges külön biztonsági rendszerbe sorolni őket.

Fontos megjegyezni, hogy ha legalább egy rendszer jelentős besorolásba kerül, akkor a szervezeti kontrollok szintjén is jelentős követelményeknek kell megfelelni. A legmagasabb rendszerspecifikus biztonsági osztály tehát meghatározza a szervezeti kontrollok szintjét és követelményeit, ezáltal célszerű körültekintően eljárni a besorolások kapcsán.

4. A biztonsági osztályon túl mik még a további feladatok, sikertényezők? Hogyan tud az érintett vállalat a lehető leghamarabb megfelelni a NIS2 követelményeinek?

• Belső kapacitás allokációja a felkészülésre: a felkészülésre szánt belső erőforrásallokációt komolyan kell venni, ahogyan magát a feladatot is. A felkészülés nagy feladatot ró a teljes szervezetre, és bár a további információbiztonsági irányelvekkel, szabványokkal (például az ISO 27001, TISAX, DORA) tetten érhető azonosság, átfedés, a NIS2-t függetlenül kell kezelni ezektől. A követelményrendszer nagy része a NIST SP 800-53 szabvány kontrolljait veszi alapul, és épít az L. törvény 41/2015-ös rendeletének kontrolljaira is. Előny, ha az információbiztonsággal kapcsolatban bármilyen előzetes felkészülési feladatokat már elvégzett a szervezet, de ez önmagában nem elégséges és nem jelent automatikus megfelelést a NIS2-nek.
• Naprakész nyilvántartások és belső dokumentációk: a rendszeresen frissített nyilvántartások és belső dokumentációk elengedhetetlenek. Ezek tartalmazzák azt az információs bázist, amire építeni lehet a felkészülés során.
• Vezetői elkötelezettség: a vezetőknek aktívan részt kell venniük az információbiztonsági felkészülési folyamatokban. Vezetői elkötelezettség nélkül nehéz fenntartani egy hatékonyan működő rendszert, és a megfelelőség sem garantált.
• Tanácsadói támogatás: a szervezeteknek rendszerint nincs kapacitásuk a szokásos üzletmenet mellett egy nagy volumenű NIS2 felkészülésre, különösen akkor, ha az információbiztonság érettségi szintje aránylag alacsony. Érdemes emiatt tanácsadót bevonni, aki végigkíséri az információbiztonsági fejlesztési folyamatot és ezáltal a NIS2 felkészülést. Az IFUA Horváth kollégái pragmatikusan, a jó gyakorlatok beépítésével, hatékonyan és eredményesen képesek támogatni a szervezetet a megfelelőség felé vezető úton.
• Információbiztonsági felelős: egy megbízható, a szakmát jól ismerő információbiztonsági felelős (IBF) kijelölése kulcsfontosságú. Ő felelős többek között az információbiztonsági keretrendszerek működtetéséért és a biztonsági intézkedések betartásáért, oktatások megtartásáért.
• SZTFH regisztráció: a NIS2 felkészülés egyik első lépése, hogy regisztrálni kell a Szabályozott Tevékenységek Felügyeleti Hatóságánal (SZTFH). Cégkapun keresztül kell benyújtani az ún. ’SZTFH 420 - Érintett szervezet nyilvántartásba vételére irányuló kérelem’ űrlapot. Erre a hivatalos határidők szerint már csak 2024.06.30.-ig van lehetősége az érintett szervezeteknek, így érdemes ezt mielőbb megtenni.
• Biztonságtudatosság képzés: az érintett szervezet alkalmazottainak rendszeresen biztonságtudatossági képzéseket kell tartani, hogy a vállalat egésze felkészülten, gyakorlati ismeretekkel a birtokában nézzen szembe az esetleges kibertámadásokkal, különféle fenyegetettségekkel. Ez a képzés hozzájárul az információbiztonság fenntarthatóságához a szervezeten belül és ebből az irányból is erősíti a vállalati kultúrát.
• Holisztikus megközelítés és fenntarthatóság: nem csak a szabályozási, dokumentációs keretrendszer kiépítése a feladat, hanem a technológiai szintek erősítése is kockázati alapon. Inkább hosszú távra tervezett, fenntartható megoldásokban érdemes gondolkodni, amelyet a szervezet képes működtetni.
• Szervezetbe való beépítés és rendszeres audit: az információbiztonságot be kell építeni a szervezeti kultúrába és a mindennapokba is. Az auditokat rendszeresen, 2 évente meg kell ismételni a NIS2 esetén. Így azon vállalatoknak, amelyek eddig nem foglalkoztak kiemelten információbiztonsággal, ezt a feladatot is fel kell venniük a portfóliójukba.
• Beszállítói/ellátási lánc biztonsága: a szervezeteknek a saját kiberbiztonságuk mellett fel kell mérniük a beszállítóik, alvállalkozóik kockázatkezelési intézkedéseit és általános kibervédelmi felkészültségét is. Ez biztosítja azt, hogy a teljes ellátási lánc magasabb szinten védhető legyen a külső támadásoktól, fenyegetésektől.

5. Itt már talán nem is csak a NIS2-ről, hanem a kiberbiztonságról, a kibervédelem egészéről is beszélni kell. A NIS2 mindenre megoldást ad?

Nem teljesen. A NIS2 nagy ugrás minden szervezetnek, a megfelelés pedig nem triviális feladat. Ugyanakkor nem szabad azt gondolni, hogy ezzel a vállalat elérte a 100%-os védelmet (amiről tudjuk, hogy nem is érhető el valójában). Nem elég csak dokumentációs szinten tekinteni az információbiztonságra, technológiai vizsgálatok is szükségesek, amelyek segítenek az esetleges sebezhetőségek és kockázatok azonosításában. A stuttgarti központú Horváth csoport – amelyhez az IFUA Horváth tartozik - minden évben készít felmérést vállalati pénzügyi vezetők (CFO-Study)  és egy másikat vállalati felsővezetők (CxO Priorities) körében. Mind a CFO-k, mind a CxO-k évek óta a legfontosabb témák között említik a kiberbiztonságot. Ezt a különböző megfelelőségi elvárások még inkább nyomatékosítják.

A NIS2 nagyságrendileg 2500 szervezetet érint, amelyek különböző iparágakban működnek, viszont információbiztonság szempontjából eddig nem feltétlenül voltak szabályozottak. Ebből kifolyólag a felkészültség mértéke is nagy szórást mutat. Tapasztalataink alapján az eltérő felkészültség vagy például az IT architektúrák sokszínűsége miatt nehéz a NIS2 felkészülési projektre tipikus méretet vagy átfutási időt mondani. A NIS2 bevezetése különösen a kevésbé felkészült iparágak, vállalatok számára jelenthet nagy kihívást. Esetükben az irányelvnek való megfelelés és a megfelelő védelem kiépítése komoly erőfeszítést igényel, amelyben az IFUA Horváth kiberbiztonsági üzletága képes támogatást nyújtani a felkészülés kezdeti szakaszától az akcióterv végrehajtásán, implementációján át egészen a majdani auditon való támogatásig.