Mit ír elő a NIS2, és milyen megoldásokra van szükség ahhoz, hogy ne csak véletlenszerűen csusszanjunk át az auditon, hanem a gyakorlatban is megfeleljünk az emelt szintű biztonsági követelményeknek?

Még nem késtünk le semmiről, és sokkal könnyebb dolgunk lesz, ha a NIS2 irányelveit követve megtanulunk boldogan élni egy (kiber)biztonságosabb világban, mint ha eggyel több stresszfaktorként kezeljük az EU direktíváját és csak a szankciók elkerülésére koncentrálunk.
 

Mi a NIS2?

Az EU 2016-ban már bevezette a NIS irányelvet, amelynek célja, hogy a tagállamokban egységesen nőjön a biztonsági szint. A 2023-ban hatányba lépett NIS2 pedig a digitális transzformáció visszafordíthatatlan térnyerését hivatott újabb biztonsági szintre emelni.

A NIS 2 előírásai már a jelentősebb méretű (több mint 50 főt foglalkoztató vagy 10 millió euro éves árbevétellel rendelkező) illetve a kulcsfontosságú iparágakban működő (például energiaellátás, egészségügy, közigazgatás, hulladékgazdálkodás, stb), vállalatokra is vonatkoznak.


A NIS2 létjogosultsága

Egyre digitalizáltabb világunkban, ahol okoseszközök tömkelege teszi kényelmesebbé a mindennapjainkat, a smartmeterek automatizáltan olvassák le a közműórákat, szinte minden eszköz hálózatba van kötve - amelyek aztán további hálózatokhoz csatlakoznak - szükség van a biztonság fokozására és kikényszerítésére.

Az egyre szofisztikáltabb kibertámadások kivédése mellett ne feledkezzünk meg az elavult legacy rendszerek karbantartásáról, és kontrollálhatatlan eszközök felügyeletéről, az adatok tárolásának és adatforgalom titkosításának fontosságáról, és még sorolhatnánk.

Érdemes felülvizsgálnunk IT-biztonsági stratégiánkat, hogy az előírt szabályzatok és dokumentációk elkészítése vagy frissítése és implementálása mellett milyen eszközökkel tudjuk elérni szervezetünk biztonságosabb működését. De mi mindennek is kell megfelelnünk?

A NIS2 főbb követelményei

A GDPR-hoz hasonlóan a NIS2 követelményrendszerét is minden ország átülteti a saját jogrendszerébe, Magyarországon ezt a 2023. évi XXIII. törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza és a SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) ellenőrzi. A főbb irányelvek az alábbiak:

#1 Kockázatkezelés: A szervezeteknek átfogó kockázatkezelési programot kell bevezetniük, hogy azonosítsák, elemezzék és rangsorolják azokat a potenciális fenyegetéseket, amelyek kritikus infrastruktúrájukat érinthetik. Ez magában foglalhatja a fenyegetésmodellezést, a sebezhetőségi értékeléseket és a penetrációs tesztelést. Például egy energiaszolgáltatónak értékelnie kell a kibertámadásokkal kapcsolatos kockázatokat, amelyek megzavarhatják az elektromos hálózatot.

#2 Biztonsági intézkedések: A szervezeteknek létre kell hozniuk és fenn kell tartaniuk a műszaki és alapvető biztonsági intézkedések alapját, amelyek olyan területeket érintenek, mint a hozzáférés-kezelés, az biztonsági incidensekre történő reagálás, az üzletmenet folytonossága és a beszállítói lánc biztonsága.

#3 Vezetői felügyelet: A szervezet vezető testülete (pl. igazgatótanács, vezérigazgató) felelős a kiberbiztonsági kockázatkezelési program, a biztonsági intézkedések és az incidensreagálási tervek felügyeletéért és jóváhagyásáért. A vezetők felelősségre vonhatók ezen követelmények jelentős megsértéséért.

#4 Incidensjelentés: A szervezeteknek haladéktalanul értesíteniük kell a releváns hatóságokat minden olyan jelentős biztonsági incidensről, amely befolyásolja működésüket vagy szolgáltatásaikat. 24 órán belül egy „korai figyelmeztetés” jelentést kell benyújtani, jelezve, ha az incidens rosszindulatúnak tűnik. Ezt követi egy részletesebb „incidens értesítés” jelentés 72 órán belül, amely ismerteti a súlyosságot, a hatást és az esetleges kompromittáló jeleket. Végül egy hónapon belül egy átfogó „zárójelentést” kell benyújtani, amely részletezi az egész incidenst, annak kiindulópontját és a megtett helyreállítási lépéseket.

#5 Információmegosztás: A NIS2 előírja a tagállamok közötti jobb információmegosztást a nagyszabású kibertámadásokra adott összehangolt válaszlépések elősegítése érdekében. Ez magában foglalja a kiberfenyegetésekkel, sebezhetőségekkel és bevált gyakorlatokkal kapcsolatos információk megosztását.

NIS2 audit: nem elég jónak lenni, annak is kell látszani

Megelőzés
A fentiek megvalósításához olyan hálózatbiztonsági megoldásra van szükségünk, amely még azelőtt képes megállítani a támadások jelentős részét, mielőtt elérnék a rendszerünket. Olyan megoldást érdemes választani, ami rugalmasan testreszabható és könnyen integrálható a meglévő infrastruktúrába.

Titkosítás
Jelentősen növeli a vállalat biztonsági szintjét, ha ez a megoldás már hálózati szinten kikényszeríti a titkosítást, az azonosítást és a szerepkörök megjelölését. Mivel a NIS2 követelményeinek megfelelően titkosítani kell az adatforgalmat, fontos hogy a titkosított hálózati forgalomban is képes legyen mély csomagvizsgálatra, és ne csak az adatforgalom szűrésését hanem annak módosítását is megvalósítsa.

Adatgyűjtés, naplózás
Minél több információ és adat áll rendelkezésünkre, annál teljesebb képet kapunk a hálózatunk biztonsági állapotáról. Arra törekedjünk, hogy a legacy és IoT rendszerekről még az API-kon keresztül kommunikáló eszközökről is gyűjtsünk naplófájlokat. Biztosítsuk a folyamatos és részletes naplózást egy Zero Trust Architektúra alapú hálózati mikroszegmentációval.

A naplófájlok kikényszerítésével és azok elemzésével, illetve továbbításával más analitikiai rendszerekbe (például SOC - Security Operation Center) jelentősen növelhetjük az üzletfolytonosságunkat.

Automatizált, gyors incidens bejelentés
Fontos, hogy a hálózati forgalom mélységi vizsgálata során gyorsan és egyszerűen össze tudjunk gyűjteni minden szükséges adatot és információt, ami az incidensbejelentéshez elengedhetetlen. A NIS2 szigorú incidensbejelentési kritériumainak megfelelő átfogó képet kell kapjunk a teljes hálózati működésről, hogy egyből riportolhatók legyenek az esetleges támadásokról kapott azonnali riasztások.

Ideális esetben közvetlen csatorna hozható létre a vállalat és a felügyeletért felelős szerv bejelentési felülete között. Automatizáljuk az adatforgalmat, így töredékére csökkentjük a bejelentési időt, ami leegyszerűsíti a bejelentési folyamatot, és ezzel elkerülhetjük a késői bejelentésért járó büntetést.

Hogyan teljesíti a Proxedo Network Security a NIS2 követelményrenderét?

A Balasys Proxedo Network Security (PNS) hálózatbiztonsági  megoldása mindezen követelményt egyszerre teljesíti. A biztonsági követelmények kikényszerítése mellett teljeskörű támogatást nyújt az incidensbejelentési kötelezettségi követelmények betartásában. Teljes képet ad a hálózat átfogó működéséről, megfelelve a NIS2 kockázatkezelési, biztonsági, vezetői felügyeleti, incidensbejelentési és információmegosztási kritériumainak.
 

Fontos dátumok

- 2024. június 30: az önazonosítást követően be kell jelentkezni nyilvántartásba vételre (ez azon szervezetekre vonatkozik, akik 2024. január 1. előtt kezdték meg tevékenyégüket)

- 2024. október 18: fennáll a felügyeleti díj kötelezettség - a pontos összeg jelenleg az SZTFH oldala szerint még kidolgozás alatt áll -, és ez a kezdő napja, hogy az SZTFH gyakorolja felügyeleti és ellenőrzési feladatkörét, így a vállalatoknak eddigre már gondoskodniuk kell a védelmi intézkedések bevezetéséről

- 2024. december 31: auditort kell választani, és a feleknek eddigre szerződést kell kötniük

- 2025. december 31: el kell végezni az első auditot, amely egy adminisztrációs ellenőrzésből és egy gyakorlati, szimulált behatolási tesztből áll 

 

Biztonság

Megint hirdetésben froclizza a Samsung az Apple-t

A dél-koreai óriásnál szinte már tradíció, hogy reklámok formájában mutatnak rá legfőbb riválisuk egy-egy gyenge pontjára.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.