Már egy évük sincs arra a jelentősebb méretű és kulcsfontosságú iparágakban működő válalatoknak, hogy informatikai rendszereiket és üzletmenetüket a megfelelő szintre hozzák a kibertérből érkező fenyegetésekkel szemben. Hogy pontosan mit jelent ez a megfelelő szint, arról az Európai Unióban a hálózatok és információs rendszerekre vonatkozó irányelv (Network and Information Systems, NIS) rendelkezik, amelynek a korszellemnek megfelelően frissített új verziója (NIS2) számos feladatot ró az IT-biztonság területén az érintett cégekre.
Sokakat érint
Az EY témában kiadott mai sajtóközleménye kiemeli, hogy a NIS2-t hazánk az uniós tagállamok közül az elsők között ültette át saját jogrendszerébe, ami a számítások szerint itthon hozzávetőleg 2600 céget, közvetlenül pedig munkavállalók százezreit érinti.
A szabályozás a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező minden olyan vállalatra és szervezetre vonatkozik, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót lát el.
Ezek közé a kritikus ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett IKT-szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, -feldolgozás és -forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és -forgalmazás, valamint a digitális szolgáltatás.
Ahogy azt egy korábbi, NIS2-ről szóló összefoglalónkban is írtuk, a szóban forgó vállalkozásoknak idén június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH), ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2-es szabályozásnak megfelelő kiberbiztonsági átvilágítást.
Van mit csinálni
Az EY sajtóközleménye a következőkben foglalja össze az új szabályrendszerhez kötődő legfontosabb tennivalókat: a NIS2-követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP-analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel.
Az értintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét.
Az uniós szabályozás ugyancsak elvárja, hogy társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.
Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében
"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.
Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni
A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak