Magyar cégek ezreit érinti: jön a NIS2 és felforgatja a hétköznapokat – szakembert kérdeztünk a törvényről
Az uniós szabályozás célja az ellátásbiztonság garantálása és a gazdaság sérülékeny pontjainak védelme, a megfelelés viszont új szervezeti, technológiai és pénzügyi kihívások elé állítja a piaci szereplőket. A Seacon Europe fejlesztési igazgatójával többek között arról beszélgettünk a NIS2-vel kapcsolatban,
- hogyan áll a szabályozással Magyarország,
- milyen iparágakat érint a törvény,
- és mivel jár a mesterséges intelligencia elterjedése?
Miért volt szükség a NIS2 törvényre, és milyen problémákra kíván választ adni a kibertámadások és a kritikus infrastruktúrák védelme terén?
Az Ipar 4.0, a hozzá kapcsolódó digitalizáció és hálózatba kötés jelentős előnyöket hozott a cégek számára, mondhatjuk forradalmasították a munka világát. A működő szervezetek aktívan használják vagy támaszkodnak az egyre fejlettebb IT-technológiákra, és gyakorlatilag eljutottak oda – egyébként nemcsak az ipar, hanem a társadalom is –, hogy egy olyan adatközpontú kultúrában élnek, amelyben az információ vezérli az intelligens döntéshozatalt.
Ez azonban nemcsak előnyöket, hanem veszélyeket is hozott magával, mivel a technológiai fejlődés felülmúlja sok szervezet azon képességét, hogy megfelelően kezelje az általa okozott kockázatokat. Kijelenthetjük, hogy szakadék alakult ki a kifinomult technológiák alkalmazása és a fejlett fenyegetések elleni védelem között, kritikus, hogy a szervezetek értékeljék a veszélyhelyzetet, hogy hatékony stratégiákat és rendszereket dolgozzanak ki a kockázat minimalizálása érdekében.
Persze a kibervédelem kiépítése nem olcsó dolog, a cégek nem is szívesen foglalkoznak vele.
Egy 2022-es felmérés szerint a cégek 74 százalékának nincs kockázatelemzése, 5-ből 4-nek pedig nincs reagálási terve incidens esetén. A növekvő kiberbűnözés, illetve a háború által generált kiberhadviselés egyre nagyobb veszélyt jelentett az unióra, ezért a nagypolitika is reagált a kialakult helyzetre, és 2022 decemberében megszavazta a NIS2 irányelvet. Ennek lényege, hogy az EU területén működő cégek egy jól meghatározott részének – jellemzően, akik fontos szerepet játszanak a nemzetgazdaságban – előírta egy magas szintű kibervédelmi irányítási rendszer kialakítási kötelezettségét. A legfontosabb cél, hogy a cégek által – a társadalomnak és a gazdaságnak – biztosított termékek-szolgáltatások egy esetleges kiberincidens esetén is – ha csökkentett kapacitással is – biztosítva legyenek.
Mely iparágakat és cégeket érint a NIS2 törvény, és hogyan érinti az informatikai szolgáltatókat?
Alapvetően két nagy csoportra osztja az ipari ágazatokban érintett cégeket a NIS2 irányelv honosítását meghatározó 2024. évi LXIX. törvény:
- Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, jellemzően a társadalom ellátásáért felelős cégek (például energetika, víz, egészségügy, hírközlés).
- A kockázatos ágazatokban működő szolgáltatók és szervezetek pedig olyan piaci szereplők, akik a magyar nemzetgazdaság számára kiemelt fontosságúak (például élelmiszer-előállítás, hulladékgazdálkodás, vegyszerek előállítása, ipari gyártók [TEÁOR 26-31], digitális szolgáltatók).
Az ágazatok mellett fontos kritérium, hogy nem mindenkire, csak bizonyos méret fölötti – 50 fő vagy 10 millió euró bevétel – cégekre, szervezetekre vonatkozik a kötelezettség. A dimenziók alapján néhány informatikai szolgáltató – például felhőszolgáltató, DNS-szolgáltató, online piactér-szolgáltató – alapvetően az érintettek körébe kerül, de a többséget – a törvényben és a végrehajtási rendeletében előírt kötelezettségek alapján – azok az IT-vállalkozások fogják jelenteni, akik beszállítanak a NIS2 hatálya alatt működő szervezeteknek. Ugyanis az érintett cégeknek kötelességük szerződést kötni a digitális beszállítóikkal, hogy az általuk nyújtott termékre vonatkozóan milyen kiberbiztonsági előírásokat kell betartani, így mintegy „lecsorog” a NIS2-előírások betartása minden beszállítóra is.
Milyen konkrét előnyöket várhatunk a törvény bevezetésétől a kiberbiztonság terén, és hogyan javíthatja az EU kibervédelmét?
Ha nagyon szarkasztikus lennék, akkor azt mondanám, hogy legalább lesz kibervédelem a cégeknél! Sajnos ezen a téren nagyon rosszul állunk, mert sem a tulajdonosi, sem a menedzsmentrétegben nem volt jelentős az igény, a cégeknél pedig nem igazán alakult ki az információbiztonsági kultúra.
Az a több ezer cég, amely a NIS2 hatálya alá került, egy elég magas színvonalú védelmet fog kiépíteni, és – ahogy az előző válaszomban mondtam – ez a beszállítók fejlesztéseire-szolgáltatásaira is erős hatást fog gyakorolni. Ha megugorjuk ezt a kihívást, biztosan nem mi leszünk a leggyengébb láncszem az EU-ban, és ugye ide is érvényes az a mondás, hogy minden lánc olyan erős, mint…
Milyen kihívásokat vagy esetleges hátrányokat jelenthet a törvény a cégek számára, különösen az informatikai szektorban dolgozó vállalkozásoknak?
Az érintett cégek első körben egy nagyon kemény felkészülésen fognak átesni, aminek mind erőforrás-felhasználási, mind pénzügyi vonzatai lesznek. A felkészülés után pedig a működési feladatok és költségek közé folyamatosan be fognak épülni a kibervédelmi tételek. Meg fognak változni a beszerzési eljárások, megnőnek az adminisztrációs kötelezettségek, pótolni kell a hiányosságokat, kétévente külső auditornak bizonyítania kell a törvénynek való megfelelést… lesz feladat és költség elég. De ahogy a cikk elején is felvezettem, a mai világban elemi érdekük a cégeknek, hogy védjék adataikat, mert csak így maradhatnak az értékterem tőlánc tagjai, így maradhatnak beszállítók az EU-ban, így maradhatnak életben a piacon.
Az IT-szektort is jelentősen érinteni fogja a NIS2, hiszen ha a megrendelő igényei változnak, a beszállítóknak is idomulniuk kell.
Termékeikben a kibervédelmi képességeket már tervezéskor figyelembe kell venni, és gyártáskor meg kell valósítani, csak így tudnak majd eladni. Meg fognak változni a szállítás utáni támogatási-követési feladatok is. A vevők meg fogják követelni, hogy folyamatosan figyeljük a termékünk – akár saját fejlesztésű, akár beépített részeire vonatkozóan – sérülékenységét, és ha egy új jelenik meg, akkor gondoskodni kell a javításról, és biztosítani kell a vevő számára a telepítést.
Így lehet megfelelni a NIS2-nek
Melyek a legfontosabb pontjai a törvénynek, és hogyan befolyásolja a cégek napi működését és biztonsági protokolljait?
Sok feladatot határoz meg a törvény és a végrehajtási rendelet, a teljesség igénye nélkül talán az alábbiak a legfontosabbak:
- önazonosítás, nyilvántartásba vételre jelentkezés,
- hatósági éves felügyeleti díj megfizetése,
- megfelelő és arányos technikai, operatív és szervezési intézkedések meghozatala – Információbiztonsági Irányítási rendszer kiépítése,
- az üzletmenet-folytonosság megteremtése és fenntartása,
- az információbiztonság beépítése az elektronikus információs rendszerek, szoftver- és hardvertermékek beszerzési, fejlesztési és üzemeltetési folyamataiban,
- szervezeti képesség kialakítása a biztonsági események kezelésére, beleértve a hatóság felé történő értesítési kötelezettség teljesítését is,
- gondoskodni kell a szervezet munkatársainak biztonsági képzéséről,
- a megfelelés bizonyítására kétévente független auditor által auditot kell végeztetni.
Hogyan hat a mesterséges intelligencia (MI) és az automatizált rendszerek fejlődése a NIS2 törvény végrehajtására, és milyen szerepet játszanak ezek a technológiák a kiberbiztonság erősítésében?
Az MI fejlődésének jelentős hatása lesz a kibervédelem területén. Segíteni fogja az incidensek-sérülékenységek felismerését, automatikus védelmi eljárások végrehajtását, a megnövekedett adminisztrációs feladatok elvégzését, a folyamatos értkelést … tulajdonképpen az irányítási rendszer működésének terhét fogja megkönnyíteni, ami által a NIS2-megfelelés is egyszerűbbé válhat. De sajnos ez kétélű fegyver, hiszen az MI tudása a támadók részére is rendelkezésre áll… ha példát kellene hoznom, szerintem egy olyan verseny fog kialakulni, mint ami a hagyományos fegyverek tekintetében évszázadok óta folyik páncélok és páncéltörők között.
Milyen lépéseket érdemes tenniük azoknak a cégeknek, amelyek még nem készültek fel a NIS2-megfelelésre, és hogyan támogathatják az informatikai vállalatok a folyamatot?
A felkészülés érdekében érdemes egy projektet indítani, ami egyrészt létrehozza az irányítási rendszert, másrészt felkészíti az érintett kollégákat a rendszer működésére. A legfontosabb lépések a projekt keretében:
- Információbiztonsági felelős, adatgazdák kijelölése
- Adatvagyon és elektronikus információs rendszerek (EIR) felmérése
- Elektronikus információs rendszerek biztonsági osztályba sorolása
- A védelmi katalógus alapján védelmi státusz (érettség) meghatározása – GAP elemzés
- Kockázatelemzés elvégzése
- Cselekvési terv elkészítése
- Információbiztonsági szabályzat elkészítése
- Eljárásrendekkel kapcsolatos feladatok elvégzése
- Oktatások megtartása
- Beszállítói szerződések módosítása
- Auditori szerződések megkötése
Persze ez nem a teljes feladatsor, és a napi munka mellett ezek általában három-hat hónapos átfutási idejű projektek, amiben intenzíven rész kell venniük belső alkalmazottaknak is. Én javaslom, hogy aki itt tart, az konzultáljon egy felkészítésben jártas tanácsadó céggel, vagy esetleg bízza rájuk a teljes felkészítést.
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.