A gyorsan fejlődő kiberfenyegetésekhez való igazodás érdekében az Európai Unió 2022-ben megfogalmazta a NIS2 irányelvet. A NIS2 célja, hogy az első változat követelményeire építve kiszélesítse annak hatályát további iparágakra és szolgáltatásokra. A bejelentési követelmények szigorításával és egyéb biztonsági területek megerősítésével a NIS2 az EU egységes válasza a kibervédelem legújabb kihívásaira.
A tagállamoknak 2024-ig kell átültetniük az irányelvet a saját jogrendszerükbe. Az új ajánlás értelmében számos szervezetnek kell lépéseket tennie a megfelelés biztosítása érdekében, jelentős mértékben bővítve azon szervezetek számát, amelyekre a 2016-os NIS irányelvben foglalt követelmények vonatkoztak.
A legújabb irányelv szerint minden olyan szervezetnek, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót lát el, meg kell felelnie a NIS2-nek. A kibertámadások elleni védekezéssel a szervezetek (vállalkozások és nonprofit intézmények egyaránt) csökkenthetik az adatok kitettségének kockázatát.
Érinti a NIS2 az Ön szervezetét?
A NIS2 követelményeinek megértése fontos az Európai Unióban működő minden olyan szervezet számára, amely nélkülözhetetlen funkciókat lát el vagy alapvető szolgáltatásokat nyújt, legyen szó kormányzati vagy nonprofit intézményről, vagy vállalatról.
Ha az Ön szervezete a hatályos NIS irányelv követelményeinek hatókörébe tartozik, akkor a NIS2 előírásait is be kell tartania. Már az első NIS meghatározta az „alapvető” szervezetek körét, és a kiemelten kritikus ágazatok közé tartoznak a következők:
Bankszektor és más pénzügyi intézmények
Egészségügy, beleértve a gyógyszeripart, az orvostechnikai eszközgyártást és a kutatást
Közlekedés: közúti, légi, vasúti és vízi
Energia: villamosenergia, távfűtés és távhűtés, olaj-, gáz-, hidrogénenergia
Vízellátás: ivóvíz, szennyvíz
Digitális szolgáltatók: online piacterek, keresőmotorok, közösségi platformok
ICT-szolgáltatásmenedzsment (B2B): MSP-k és menedzselt biztonsági szolgáltatók (MSSP)
Digitális infrastruktúra: IXP szolgáltatók, DNS-szolgáltatók (kivéve a root névszerverek üzemeltetőit), legfelső szintű domain (TLD) névregiszterek, felhőszolgáltatók, adatközpont-szolgáltatók, hálózati tartalomszolgáltatók, bizalmi szolgáltatók (TSP), nyilvános elektronikus hírközlő szolgáltatók
Közigazgatás (központi és regionális)
Űrkutatás
A NIS2-irányelv ezek mellett további szervezetekre is kiterjeszti a „nélkülözhetetlen szolgáltatások” fogalmát. Ezek – többek között – következők:
Élelmiszerek előállítása, feldolgozása és elosztása
Kritikus termékek gyártása: orvostechnikai eszközök és in vitro diagnosztikai eszközök, számítógépes, elektronikus és optikai termékek, elektromos berendezések, gépek, gépjárművek, pótkocsik, közlekedési eszközök, gyógyszerek és egészségügyi felszerelések
Posta- és futárszolgálatok
Hulladékgazdálkodás
Közösségi oldalak (és egyéb adatközponti szolgáltatások)
Kutatás
Függetlenül attól, hogy egy szervezet az EU-ban hol található, köteles betartani a NIS2-irányelv biztonsági előírásait a bírságok elkerülése érdekében. Fontos megjegyezni, hogy még azoknak az EU-n kívüli szervezeteknek is meg kell felelniük a NIS2-nek, amelyek alapvető szolgáltatásokat nyújtanak egy uniós tagállam számára.
Újdonságok a NIS2-ben?
Bár az első NIS hatékony eszköznek bizonyult az Európai Unió kritikus infrastruktúrájának védelmére, a világjárvány óta felgyorsult digitális transzformáció rávilágított arra, hogy az EU-nak szigorúbb biztonsági előírásokat kell érvényesíteni.
A NIS2-t az újfajta kiberfenyegetések kockázatának csökkentése érdekében fejlesztették ki, az eredeti NIS dokumentum néhány hiányosságának kiküszöbölésével, illetve az alábbi szempontok figyelembevételével:
A kollektív kiberfenyegetésekkel szembeni felkészültség javítása az EU-ban. A NIS2 célja, hogy az egyre inkább összekapcsolt EU-ban növelje a nélkülözhetetlen funkciókat ellátó szervezetek általános tájékozottságát. A kollektív felkészültség révén a szervezetek hatékonyan kommunikálhatnak egymással, és azonosíthatják a fenyegetéseket. A NIS2 egy közös válaszadási protokollt is tartalmaz a kiterjedt kibertámadások esetére.
A kibertámadásokkal szembeni ellenállóképesség növelése. A támadásokkal szembeni „reziliencia” ugyanolyan fontos, mint a védekezés, az érintett szervezetnek ugyanis képesnek kell lennie a lehető leggyorsabban és legbiztonságosabban helyreállítani az alapvető szolgáltatásokat. A NIS2-irányelv intézkedéseket vázol fel a reziliencia javítása és a sérülékenységek minimalizálása érdekében.
Ellenállóképességre vonatkozó egyszerűsített elvárások és szigorúbb szankciók. A NIS2 harmadik fő célkitűzése a kibertámadásokkal szembeni ellenállóképesség ésszerűsítése. A szervezet típusától függetlenül minden alapvető szolgáltatásnak ugyanazokkal a képességekkel kell rendelkeznie a fenyegetések elleni védekezéshez. Az új NIS2 irányelv a NIS-nél szigorúbb szankciókat és biztonsági intézkedéseket határoz meg a következetlenségek csökkentése érdekében.
Soroljuk fel végül, hogy melyek a legjelentősebb új rendelkezések a NIS2 irányelvben:
Az alapvető szolgáltatások körének bővítése. A NIS2 irányelv sokkal nagyobb léptékben működik, mint elődje. Az élelmiszergyártástól és vízellátástól kezdve, a postai szolgáltatásokon át, a repüléstechnológiáig, a korábban még alulszabályozott szervezeteknek mostantól meg kell felelniük a NIS2-nek.
Az „alapvető fontosságú” szervezetek biztonsági helyzetét rendszeresen értékelni fogják, míg a „fontos” szervezetekét valószínűleg csak egy jelentős fenyegetés vagy incidens bekövetkezése után.
Az érintett szervezetek besorolása a személyzet létszáma és pénzügyi felső határ alapján. A NIS2 a nagyvállalatok mellett a kis és középvállalatokra is vonatkozik. Egy vállalat akkor minősül KKV-nak, ha több mint 50, de kevesebb mint 250 főt foglalkoztat, és éves forgalma meghaladja a 10 millió eurót, de nem haladja meg az 50 millió eurót, és/vagy éves mérlegfőösszege meghaladja a 10 millió eurót, de nem haladja meg a 43 millió eurót.
Az alvállalkozók, a beszállítók, a tanácsadók, a menedzselt (biztonsági) szolgáltatók, valamint az általuk használt szoftverek a NIS2 hatálya alá tartoznak.
Nagyobb kötelezettségek az incidensekre való reagálásban. A NIS2-irányelvvel az alapvető fontosságú szervezetek vezetőinek nagyobb felelősséget kell vállalniuk a követelmények betartásában. Ahelyett, hogy minden felelősség az IT-csapatokat terhelné, a felsővezetésnek proaktívan kell felügyelnie a NIS2-nek való megfelelést. A NIS2 továbbá lerövidítette az értesítési lánc maximális időtartamát, és jobb átláthatóságot követel meg a felhasználók riasztásában kiberfenyegetések esetén.
Szigorúbb bírságok és büntetések. A NIS2-nek való megfelelés érvényesítése érdekében az irányelv szigorúbb szankciókat ír elő a szabályok be nem tartása esetén. A felsővezetőkre kiszabott bírságok bizonyítékokon alapuló módját kínálják a megfelelés és a reziliencia javításának.
A fenyegetésekkel és sérülékenységekkel kapcsolatos információk megosztásának ösztönzése a reakcióképesség szervezetek közötti javítása érdekében.
A NIS2 bevezetésének ütemezése
A jelenleg is a NIS hatálya alá tartozó szervezetek esetében várhatóan növekedni fognak a NIS2-vel kapcsolatos biztonsági kiadások. Azon szervezetek esetében, amelyek jelenleg még nem tartoznak a NIS hatókörébe, a biztonsági költések várhatóan még ennél is nagyobb mértékben fognak megnövekedni.
A NIS2-irányelv terveztét 2022 elején fogalmazták meg és fogadták el az uniós tagállamok. Az Európai Parlament és az Európai Tanács 2022. november 15-én fogadta el a dokumentumot, az uniós tagállamoknak pedig 2024-ben kell hozzá jogalkalmazási keretet biztosítaniuk. Ez némi időt hagy az érintett szervezetek számára, hogy beütemezzék a megfelelés megvalósítását, illetve lehetővé teszi számukra, hogy a költségvetésükbe betervezzék a megnövekedett kiberbiztonsági kiadásokat.
Az átállás egy lehetséges forgatókönyve
A RelNet gyártói portfóliójában szereplő finn SSH.COM európai szoftverfejlesztőként kiemelt hangsúlyt fektet arra, hogy ügyfelei minél hatékonyabban és költségkímélőbben valósítsák meg a NIS2-nek való megfelelést.
Az SSH.COM a biztonságos kommunikáció és hozzáféréskezelés terén szerzett több évtizedes tapasztalatával segíthet a következőkben:
Távoli helyszínekhez való biztonságos hozzáférés a PrivX OT-vel a gyáripar, a szállítmányozás, az energiaipar, a hulladékgazdálkodás és a vízellátás területén működő szervezetek számára.
PrivX MSP a menedzselt szolgáltatók számára, amellyel az MSP-k az ügyfélkörnyezetekhez való hozzáférést kezelhetik.
A pénzügyi intézmények, bankok és biztosítók számára a Zero Trust Suite szolgáltatás teljes körű hozzáféréskezelési megoldást kínál a létfontosságú IT-környezetekhez, valamint jelszó- és kulcs nélküli titokkezelést.
A Deltagon Suite lehetővé teszi az e-mailek titkosítását, a dokumentumok elektronikus aláírását, az űrlap alapú információgyűjtést és az érzékeny információk biztonságos kezelését.
Keresse bizalommal tapasztalt munkatársainkat az SSH.COM megoldásaival és a NIS2-re való felkészüléssel kapcsolatban!
Forrás
A Guide to the NIS2 Directive
Kapcsolódó tartalom
SSH.COM képzések a RelNet eLearning programban
Hogyan érinti a NIS2 irányelv a magyar vállalatokat?