Magyar cégek ezreit érinti: jön a NIS2 és felforgatja a hétköznapokat – szakembert kérdeztünk a törvényről

Az uniós szabályozás célja az ellátásbiztonság garantálása és a gazdaság sérülékeny pontjainak védelme, a megfelelés viszont új szervezeti, technológiai és pénzügyi kihívások elé állítja a piaci szereplőket. A Seacon Europe fejlesztési igazgatójával többek között arról beszélgettünk a NIS2-vel kapcsolatban,

• hogyan áll a szabályozással Magyarország,
• milyen iparágakat érint a törvény,
• és mivel jár a mesterséges intelligencia elterjedése? 

Miért volt szükség a NIS2 törvényre, és milyen problémákra kíván választ adni a kibertámadások és a kritikus infrastruktúrák védelme terén? 

Az Ipar 4.0, a hozzá kapcsolódó digitalizáció és hálózatba kötés jelentős előnyöket hozott a cégek számára, mondhatjuk forradalmasították a munka világát. A működő szervezetek aktívan használják vagy támaszkodnak az egyre fejlettebb IT-technológiákra, és gyakorlatilag eljutottak oda – egyébként nemcsak az ipar, hanem a társadalom is –, hogy egy olyan adatközpontú kultúrában élnek, amelyben az információ vezérli az intelligens döntéshozatalt.

Ez azonban nemcsak előnyöket, hanem veszélyeket is hozott magával, mivel a technológiai fejlődés felülmúlja sok szervezet azon képességét, hogy megfelelően kezelje az általa okozott kockázatokat. Kijelenthetjük, hogy szakadék alakult ki a kifinomult technológiák alkalmazása és a fejlett fenyegetések elleni védelem között, kritikus, hogy a szervezetek értékeljék a veszélyhelyzetet, hogy hatékony stratégiákat és rendszereket dolgozzanak ki a kockázat minimalizálása érdekében.

Egy 2022-es felmérés szerint a cégek 74 százalékának nincs kockázatelemzése, 5-ből 4-nek pedig nincs reagálási terve incidens esetén. A növekvő kiberbűnözés, illetve a háború által generált kiberhadviselés egyre nagyobb veszélyt jelentett az unióra, ezért a nagypolitika is reagált a kialakult helyzetre, és 2022 decemberében megszavazta a NIS2 irányelvet. Ennek lényege, hogy az EU területén működő cégek egy jól meghatározott részének – jellemzően, akik fontos szerepet játszanak a nemzetgazdaságban – előírta egy magas szintű kibervédelmi irányítási rendszer kialakítási kötelezettségét. A legfontosabb cél, hogy a cégek által – a társadalomnak és a gazdaságnak – biztosított termékek-szolgáltatások egy esetleges kiberincidens esetén is – ha csökkentett kapacitással is – biztosítva legyenek.

Mely iparágakat és cégeket érint a NIS2 törvény, és hogyan érinti az informatikai szolgáltatókat?

Alapvetően két nagy csoportra osztja az ipari ágazatokban érintett cégeket a NIS2 irányelv honosítását meghatározó 2024. évi LXIX. törvény:

• Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, jellemzően a társadalom ellátásáért felelős cégek (például energetika, víz, egészségügy, hírközlés).
• A kockázatos ágazatokban működő szolgáltatók és szervezetek pedig olyan piaci szereplők, akik a magyar nemzetgazdaság számára kiemelt fontosságúak (például élelmiszer-előállítás, hulladékgazdálkodás , vegyszerek előállítása, ipari gyártók [TEÁOR 26-31], digitális szolgáltatók).

Az ágazatok mellett fontos kritérium, hogy nem mindenkire, csak bizonyos méret fölötti – 50 fő vagy 10 millió euró bevétel – cégekre, szervezetekre vonatkozik a kötelezettség. A dimenziók alapján néhány informatikai szolgáltató – például felhőszolgáltató, DNS-szolgáltató, online piactér-szolgáltató – alapvetően az érintettek körébe kerül, de a többséget – a törvényben és a végrehajtási rendeletében előírt kötelezettségek alapján – azok az IT-vállalkozások fogják jelenteni, akik beszállítanak a NIS2 hatálya alatt működő szervezeteknek. Ugyanis az érintett cégeknek kötelességük szerződést kötni a digitális beszállítóikkal, hogy az általuk nyújtott termékre vonatkozóan milyen kiberbiztonsági előírásokat kell betartani, így mintegy „lecsorog” a NIS2-előírások betartása minden beszállítóra is.

Milyen konkrét előnyöket várhatunk a törvény bevezetésétől a kiberbiztonság terén, és hogyan javíthatja az EU kibervédelmét?

Ha nagyon szarkasztikus lennék, akkor azt mondanám, hogy legalább lesz kibervédelem a cégeknél! Sajnos ezen a téren nagyon rosszul állunk, mert sem a tulajdonosi, sem a menedzsmentrétegben nem volt jelentős az igény, a cégeknél pedig nem igazán alakult ki az információbiztonsági kultúra. 

Az a több ezer cég, amely a NIS2 hatálya alá került, egy elég magas színvonalú védelmet fog kiépíteni, és – ahogy az előző válaszomban mondtam – ez a beszállítók fejlesztéseire-szolgáltatásaira is erős hatást fog gyakorolni. Ha megugorjuk ezt a kihívást, biztosan nem mi leszünk a leggyengébb láncszem az EU-ban, és ugye ide is érvényes az a mondás, hogy minden lánc olyan erős, mint…

Milyen kihívásokat vagy esetleges hátrányokat jelenthet a törvény a cégek számára, különösen az informatikai szektorban dolgozó vállalkozásoknak?

Az érintett cégek első körben egy nagyon kemény felkészülésen fognak átesni, aminek mind erőforrás-felhasználási, mind pénzügyi vonzatai lesznek. A felkészülés után pedig a működési feladatok és költségek közé folyamatosan be fognak épülni a kibervédelmi tételek. Meg fognak változni a beszerzési eljárások, megnőnek az adminisztrációs kötelezettségek, pótolni kell a hiányosságokat, kétévente külső auditornak bizonyítania kell a törvénynek való megfelelést… lesz feladat és költség elég. De ahogy a cikk elején is felvezettem, a mai világban elemi érdekük a cégeknek, hogy védjék adataikat, mert csak így maradhatnak az értékterem tőlánc tagjai, így maradhatnak beszállítók az EU-ban, így maradhatnak életben a piacon.

Termékeikben a kibervédelmi képességeket már tervezéskor figyelembe kell venni, és gyártáskor meg kell valósítani, csak így tudnak majd eladni. Meg fognak változni a szállítás utáni támogatási-követési feladatok is. A vevők meg fogják követelni, hogy folyamatosan figyeljük a termékünk – akár saját fejlesztésű, akár beépített részeire vonatkozóan – sérülékenységét, és ha egy új jelenik meg, akkor gondoskodni kell a javításról, és biztosítani kell a vevő számára a telepítést.

Így lehet megfelelni a NIS2-nek

Melyek a legfontosabb pontjai a törvénynek, és hogyan befolyásolja a cégek napi működését és biztonsági protokolljait?

Sok feladatot határoz meg a törvény és a végrehajtási rendelet, a teljesség igénye nélkül talán az alábbiak a legfontosabbak:

• önazonosítás, nyilvántartásba vételre jelentkezés,
• hatósági éves felügyeleti díj megfizetése,
• megfelelő és arányos technikai, operatív és szervezési intézkedések meghozatala – Információbiztonsági Irányítási rendszer kiépítése,
• az üzletmenet-folytonosság megteremtése és fenntartása,
• az információbiztonság beépítése az elektronikus információs rendszerek, szoftver- és hardvertermékek beszerzési, fejlesztési és üzemeltetési folyamataiban,
• szervezeti képesség kialakítása a biztonsági események kezelésére, beleértve a hatóság felé történő értesítési kötelezettség teljesítését is,
• gondoskodni kell a szervezet munkatársainak biztonsági képzéséről,
• a megfelelés bizonyítására kétévente független auditor által auditot kell végeztetni.

Hogyan hat a mesterséges intelligencia (MI) és az automatizált rendszerek fejlődése a NIS2 törvény végrehajtására, és milyen szerepet játszanak ezek a technológiák a kiberbiztonság erősítésében?

Az MI fejlődésének jelentős hatása lesz a kibervédelem területén. Segíteni fogja az incidensek-sérülékenységek felismerését, automatikus védelmi eljárások végrehajtását, a megnövekedett adminisztrációs feladatok elvégzését, a folyamatos értkelést … tulajdonképpen az irányítási rendszer működésének terhét fogja megkönnyíteni, ami által a NIS2-megfelelés is egyszerűbbé válhat. De sajnos ez kétélű fegyver, hiszen az MI tudása a támadók részére is rendelkezésre áll… ha példát kellene hoznom, szerintem egy olyan verseny fog kialakulni, mint ami a hagyományos fegyverek tekintetében évszázadok óta folyik páncélok és páncéltörők között.

Milyen lépéseket érdemes tenniük azoknak a cégeknek, amelyek még nem készültek fel a NIS2-megfelelésre, és hogyan támogathatják az informatikai vállalatok a folyamatot?

A felkészülés érdekében érdemes egy projektet indítani, ami egyrészt létrehozza az irányítási rendszert, másrészt felkészíti az érintett kollégákat a rendszer működésére. A legfontosabb lépések a projekt keretében:

• Információbiztonsági felelős, adatgazdák kijelölése
• Adatvagyon és elektronikus információs rendszerek (EIR) felmérése
• Elektronikus információs rendszerek biztonsági osztályba sorolása
• A védelmi katalógus alapján védelmi státusz (érettség) meghatározása – GAP elemzés
• Kockázatelemzés elvégzése
• Cselekvési terv elkészítése
• Információbiztonsági szabályzat elkészítése
• Eljárásrendekkel kapcsolatos feladatok elvégzése
• Oktatások megtartása
• Beszállítói szerződések módosítása
• Auditori szerződések megkötése

Persze ez nem a teljes feladatsor, és a napi munka mellett ezek általában három-hat hónapos átfutási idejű projektek, amiben intenzíven rész kell venniük belső alkalmazottaknak is. Én javaslom, hogy aki itt tart, az konzultáljon egy felkészítésben jártas tanácsadó céggel, vagy esetleg bízza rájuk a teljes felkészítést.