NIS 2 Megfelelőségi Központ

Ismerje meg a NIS 2 lényegét. Rövid áttekintésünk után ügyvezető, tulajdonos, kiberbiztonsági igazgató és üzemeltető szerepek szerint tájékozódhat a legfontosabb alapokról és tennivalókról.

NIS 2 rövid áttekintés

A NIS 2 (Network and Information Systems 2) kiterjeszti az Európai Unió korábbi hálózati és információs rendszerek biztonságáról szóló direktíváját, amivel az nemzetgazdaság és az állampolgárok számára kritikus szolgáltatások való életben is hatékony, fejlett kibertámadások elhárítására bizonyíthatóan képes védelmét kívánja megteremteni.

Az új kiberbiztonsági szabályozás három pilléren alapul: nemzetállami szabályozáson, az érintett vállalatok és szervezetek számára szükséges hatékony kiberbiztonság kialakításán, valamint a nemzeti kibervédelmi együttműködés megteremtésén. NIS 2 megfelelőségi központunk ebből a vállalati feladatokkal foglalkozik; a többi két terület állam feladat marad.

Minden, NIS 2 által érintett vállalat számára kötelező

  • Döntéshozók és biztonsági vezetők személyes felelősségvállalása a kiberbiztonságért
  • Hatékony, bizonyíthatóan jól működő kiberbiztonság kiépítése és fenntartása
  • Incidensekről a nemzeti kibervédelmi központ gyors értesítése

Kiemelten kritikus tevékenységek

Kritikus tevékenységek

Forrás: NIS 2 áttekintés / NCSC Írország

NIS 2 hatálya alá tartozó tevékenységi körök és szervezetek: egészségügy, energia, szállítmányozás, vízszolgáltatás, digitális infrastruktúra és felhő szolgáltatások, szennyvízkezelés, űrkutatás, banki és pénzügyi tevékenységek, közigazgatás, IT szolgáltatások, kutatás, élelmiszeripar, postai és futár szolgáltatások, hulladékkezelés, gyártás és a vegyszeripar.

Vállalat méret és árbevétel

A NIS 2 direktíva minden, 50 főnél vagy 10 millió euró árbevételnél nagyobb szervezetre vonatkozik a fent leírt tevékenységi körökben (elsődleges tevékenységként). Néhány kiemelt esetben a kisebb létszámú / árbevételű szervezetek is érintettek, mint például az 50 főnél kisebb önkormányzatok, vagy a digitális infrastruktúrát üzemeltetők.

Tekintse meg az útmutatóban található táblázatot a pontos részletekért!

Jelentési kötelezettség

A NIS 2 hatálya alá szervezeteknek kötelességük tájékoztatni a Nemzeti Kibervédelmi Intézetet minden, „jelentős hatásúnak” ítélt incidensről. Ez a jelentési kötelezettség a teljes incidens megoldására vonatkozik, egészen egy záró riport elkészítéséig.

  • 1

    24 órán belül előzetes riasztás az észlelt incidensről

  • 2

    72 órán belül jelentés az incidens súlyosságáról, az érintett rendszerekről és az azonosított támadási indikátorokról (IoC)

  • 3

    Köztes jelentések a hatóság kérése alapján

  • 4

    1 hónapon belül összegző jelentés az incidens kezeléséről és lezárásáról. (Amennyiben az incidens még tart, akkor a lezárástól számított 1 hónapon belül.)

Hatósági ellenőrzés és NIS 2 büntetések

A kibervédelmi felügyeletet ellátó hatóság, az SZTFH számos jogkört kap a NIS 2 direktíva betartatásához: felszólíthat a biztonsági hiányosságok pótlására, NIS 2 felügyelőt nevezhet ki, felelősségre vonhatja a kiberbiztonsági igazgatót és a menedzsmentet, végső esetben pedig akár több millió eurós bírságot is kiszabhat, az éves, globális árbevétel 1,4 illetve 2 százalékáig.

Ismerje meg részletesen saját feladatait.

Milyen munkakört tölt be?

Ügyvezető és tulajdonos

A NIS 2 direktíva célja, hogy vállalata ellenőrizhetően jól működő kibervédelemmel rendelkezzen. Ez belső szabályozási, technológia vásárlási és biztonsági üzemeltetési feladatok együttes megoldását jelenti. A hatóság számára éves kibervédelem-felügyeleti díjat kell fizetnie és rendszeresen auditálni kell a kiberbiztonság megbízható működését.

Tovább

CISO, IT biztonsági igazgató

Biztonsági igazgatóként feladata, hogy jogi és technikai oldalról egyformán összehangolja a vállalati kiberbiztonságot: készítse el a belső szabályzatokat, amelyek alapján az üzemeltetés képes fenntartható kibervédelmet működtetni. Az egyes folyamatok megvalósításához megfelelő kibervédelmi termékeket kell beszereznie és pótolnia kell a meglévő hiányosságokat.

Tovább

Üzemeltető

A NIS 2 fontos szemléletváltást hoz, mert csak aktívan, folyamatosan üzemeltetett kiberbiztonsággal teljesíthető. Szerencsére, a mesterséges intelligencia jelentős biztonsági szaktudást képes már pótolni, viszont a folyamatos biztonsági üzemeltetés, incidenskezelés és a hatóságok felé történő jelentéskészítés állandó új feladatot fog jelenteni.

Tovább

NIS 2 feladatok ügyvezetők és tulajdonosok számára

Amennyiben az Ön cége NIS 2 hatálya alá esik, akkor a kiberbiztonságot alapvető és önálló üzleti funkcióvá kell tennie, hasonlóan például a könyveléshez.

Ha még eddig nem is érte a szervezetet kiberbiztonsági incidens és ebből adódó anyagi kár, ez nem jelenti azt, hogy a jövőben is szerencsésen elkerülhetik ezt. Ráadásul kritikus vállalatként nem csak a szervezetet, hanem kieső szolgáltatásaikon keresztül számtalan ügyfelet, alvállalkozót és állampolgárt érinthet jelentősen egy sikeres kibertámadás. A NIS 2 szabályozás ezért megszünteti az ideiglenes, kiberbiztonságot mellőző, a változást az első problémáig vagy büntetésig késleltető átmeneti állapotot.

A működő kiberbiztonság megvalósítása nem különbözik más üzleti funkcióktól. Hasonlóan például a könyveléshez, egy főkönyvelő vezeti a könyvelőket, akik a könyvvezetési szabályok szerint végzik a munkájukat, a megfelelő technikai háttér, például egy könyvelő program és vállalatirányítási rendszer használatával. Természetesen mint a könyvelés, a kiberbiztonság is kiszervezhető menedzselt biztonsági szolgáltatók (MSSP) segítségével.

A kibervédelmet a kiberbiztonsági igazgató (CISO) vezeti, aki a biztonsági szabályzatok megvalósításával vezeti a biztonsági elemzőket és személyes felelőséggel tartozik a kibervédelem helyes működéséért. Kisebb szervezetnél a biztonsági vezető mellett mesterséges intelligencia alapú üzemeltetés, vagy biztonsági központba (SOC) történő kiszervezés tudja áthidalni a szűkös emberi erőforrások problémáját.

A kiberbiztonság nem az IT problémája, hanem a teljes vállalaté. A kibertámadások sem csak a számítógépekben tesznek kárt, hanem a bankszámláktól az ügyféladatokig a működés minden pontját érinthetik.

Felelős vezetőként nem kizárólag a NIS 2 miatt kell most lépnie. Ha eddig szerencsésen elkerülték a kiber incidensek, ez valószínűleg a jövőben nem marad így: a támadások egyre könnyebbek, a szervezet növekedésével pedig egyre nagyobb célpontot jelent a kibertérben. Ha pedig egyszer felkerül egy kiberbűnözői csoport céltáblájára, akkor a bűnözők közötti egyszerű együttműködés miatt szinte hetente érik majd hasonló, újabb kibertámadások.

Ráadásul a NIS 2 személyes felelősséget is meghatároz, így komoly büntetésre számíthat, ha saját hibája vagy hiányos kibervédelmi felkészültség miatt incidens éri a vállalatot.

A hatékony kiberbiztonság viszont nem drága. Helyes útmutatással nincsenek rejtett, tervezhetetlen költségei és a megvalósításához sem kell ismeretlen feladatra vállalkoznia: hasonló kialakítású, hatékony kibervédelem már biztosan működik más ügyfeleinknél.

Miben segíthet a Yellow Cube?

Két évtizedes magyarországi tapasztalatunkkal minden ügyfelünk számára ki tudunk alakítani reális költségekkel fenntartható, hasonló iparágban működő vállalatoknál már bizonyított, teljes körű NIS 2 megfelelőséget biztosító modern kibervédelmet. Több száz képzett és minősített hazai telepítő partnerünk pedig Önhöz közel segít a szükséges lépésekben.

Forduljon hozzánk bizalommal! Minden NIS 2 tanácsadást, konzultációt ingyenesen végzünk, anyagainkat pedig díjmentesen használhatja.

Tudatosítás és vezetői döntés

A hatékony kiberbiztonság megteremtése vezetői döntés, ami a biztonsági igazgató (CISO) személyének kijelölésével és a megfelelő büdzsé biztosításával kezdődik. Az éves kiberbiztonsági büdzsé pedig szinte soha nem nagyobb, mint egyetlen sikeres támadás várható összköltsége.

Fenntartható megvalósítás

A kiberbiztonság kiakalakítása néhány egyszeri beruházással kezdődik, viszont alapvetően éves előfizetésekkel folyamatos költséget jelent. A technológia rendkívül gyorsan fejlődik, ezért fontos haladni a korral és kiváltani az alulteljesítő, ezért költséges kibervédelmi eszközöket.

Folyamatos teljesítmény mérés

A megfelelő eszközökkel pontosan mérhető a kiberbiztonság szintje és a védelem elhárítási képessége. Emberi (pen)tesztelőktől az automatikus mérőrendszerekig számos megoldással monitorozható a kibervédelem hatékonyságának változása az évek során.

NIS 2 feladatok a biztonsági igazgató, CISO számára

A kiberbiztonságért Ön személyes felelőséggel tartozik. Márpedig egy sikeres támadás beláthatatlan következményekkel járhat, anyagi káron túl még súlyosabb problémát is okozhat. Ezért a NIS 2 megfelelőség nem csupán törvényi kötelezettség, hanem a feladatköre ellátásának alapvető feltétele.

A kiberbiztonság már nem váltható ki egyetlen ötletszerű termék megvásárlásával. Az SZTFH által megvalósított kiberbiztonsági felügyelet célja, hogy a kibervédelem auditálható, ellenőrizhető módon, vagyis valóban működjön. A NIS 2 megfelelőség követelménye éppen ezért előre hozhat elnapolt beruházásokat, segít befoltozni a biztonsági réseket és valóban megadni a szükséges eszközöket ahhoz, hogy nyugodtan tudjon személyes felelősséget vállalni a kibervédelem működéséért.

Természetesen hibátlan védelem nincs és nem is reális cél, viszont a megfelelő védelmi rendszerek többrétegű kombinációja és az egyes védelmi vonalak hibáira való felkészülés valóban magabiztosságot adhat ahhoz, hogy Ön minden elvárható körültekintést megtegyen a vállalat kiberbiztonsága érdekében.

A NIS 2 szükségessé teszi a kibervédelem folyamatos felügyeletét és az incidensek kezelését. Éppen ezért a felhasznált technológia kiválasztása mellett a folyamatos üzemeltetés biztosítása is rendkívül fontos, akár saját, akár kiszervezett erőforrások felhasználásával.

Döntéseit számos módon mérheti és ellenőrizheti, sőt, fontos feladata egy adott új eszköztől, kiberbiztonsági terméktől várt eredmény validálása és az éves büdzsé folyamatos felülvizsgálata, az alulteljesítő biztonsági termékek kiváltása. A kiberbiztonsági piac rendkívül gyorsan fejlődik és sokszor maga alá gyűri a korábbi termékeket, ezért rugalmas, újdonságok felé nyitott szemlélettel biztonsan jobb eredményt érthet el, mint ha csak egyetlen régi gyártóhoz ragaszkodik.

A NIS 2 megfelelőség első lépése, hogy kialakítsa a vállalat számára releváns belső szabályozást, incidenskezelést és a folyamatos kibervédelmi tréningeket.

A papíron működő védelem gyakorlati megvalósítása a következő lépés, amikor a megfelelő eszközök megvásárlásával kialakul a folyamatosan üzemeltetett, fenntartható kiberbiztonság. Itt természetesen számos kiszervezési lehetőséggel élhet és MI-alapú termékekkel is élhet, amelyek segítenek pótolni a szakemberhiányt.

Az így kialakított, jól működő kibervédelem végül a vállalat üzleti sikeréhez lesz mérhető, támogatja a folyamatos növekedést és biztosítja a hosszú távú fenntarthatóságot: Öntől is ugyanúgy függ a vállalat sikere, mint bármelyik másik létfontosságú társosztály hatékonyságától.

Miben segíthet a Yellow Cube?

Két évtizedes magyarországi tapasztalatunkkal minden ügyfelünk számára ki tudunk alakítani reális költségekkel fenntartható, hasonló iparágban működő vállalatoknál már bizonyított, teljes körű NIS 2 megfelelőséget biztosító modern kibervédelmet. Több száz képzett és minősített hazai telepítő partnerünk pedig Önhöz közel segít a szükséges lépésekben.

Forduljon hozzánk bizalommal! Minden NIS 2 tanácsadást, konzultációt ingyenesen végzünk, anyagainkat pedig díjmentesen használhatja.

SZTFH felügyeleti bejelentés

Amennyiben a szervezet NIS 2 kötelezett, ezt mindenképp be kell jelentenie a kiberbiztonsági felügyeletet szolgáltató hatóságnál (SZTFH).

Hiányosságok pótlása

Incidenskezelés vagy detekció & reakció nélkül nincsen NIS 2 megfelelőség. Számos biztonsági modult pótolhat egyszerre, amire eddig nem jutott idő vagy költségkeret.

Fenntartható kiberbiztonság

Az üzemeltetői csapat működésének ellenőrzésével és az egyes eszközök hatékonyságának mérésével, objektív mérőszámokkal követheti a kiberbiztonság fejlődését és optimalizálhatja az éves kibervédelmi büdzsét.

NIS 2 feladatok IT/biztonsági üzemeltetők számára

Szakmai szemmel a NIS 2 legfontosabb kihívása a folyamatos, incidens-alapú üzemeltetés megteremtése. Ezt már nem lehet felügyelet nélküli, automatikusan működő biztonsági termékek telepítésével kiváltani.

A kiberbiztonság eddig sok IT üzemeltető számára mindössze pár biztonsági termék telepítését jelentette. Viszont a NIS 2 megfelelőséghez már aktívan felügyelt incidenskezelést kell felmutatni, ami nem váltható ki egyetlen újabb termék telepítésével és a probléma elfelejtésével.

A kibervédelem mindig csak annyira hatékony, amennyire használják: a felügyelet és karbantartás nélkül működő automatikus védelmi termékeket az aktív támadó előbb vagy utóbb, de biztosan sikeresen megkerüli.

Természetesen közel sem mindegy, hogy a napi üzemeltetés során az új kiberbiztonsági incidensek észlelése és feldolgozása hogyan történik. Alapvető különbség, hogy az incidenseket elemzők manuálisan hozzák létre, például egy SIEM use-case alapú üzemeltetése során, vagy egy mesterséges intelligencia automatikusan korrelálja az összes rendelkezésre álló biztonsági adatot, mint például egy OpenXDR rendszer esetében. Óriási különbséget jelent, ha napi több ezer incidenst kell átnézni amelyek nagy része fals riasztás, vagy ha hetente két incidenst vesz el mindössze kétszer fél órát a munkaidőből.

A megfelelő technológia kiválasztásában követhetünk néhány alapszabályt: például, minél több információ áll a rendelkezésünkre, annál pontosabban tudjuk a veszélyeket azonosítani. Itt a skála legalján a flow-elemző anomália detektáló rendszereket találhatjuk, míg a naplók feldolgozása már talán jobb, a teljes hálózati forgalom elemzése pedig a legjobb eredményt adhatja. Mindeközben mindhárom terméktípus marketingje, „külseje” ugyanazt ígéri, ezért rendkívül nehéz a helyes választás.

Éppen ezért a Yellow Cube két évtizedes tapasztalattal, a piac rendkívül mély ismeretével, ingyenes operátori tréningekkel, workshopokkal, kiberlőtérrel és a releváns referencia ügyfelek támogatásával segít a helyes döntés meghozásában.

Miben segíthet a Yellow Cube?

Kiberbiztonsági eszközeinket Ön is egyszerűen kipróbálhatja, ingyenes workshopjainkon testközelből is megismerheti, CTF játékainkon pedig valódi incidensek felderítésében és megoldásában is részt vehet. Forduljon hozzánk bizalommal egy rövid emailben és szívesen meghívjuk a jövőbeni rendezvényeinkre.

Saját kiberbiztonsági képességeit kiberlőterünkön fejlesztheti, ahol az induláshoz közel kétszáz órányi, díjmentesen elérhető tréninggel várjuk.

Forduljon hozzánk bizalommal! Minden NIS 2 tanácsadást, konzultációt ingyenesen végzünk, anyagainkat pedig díjmentesen használhatja.

Hiányosságok azonosítása

A NIS 2 megfelelőséghez alapvető infrastruktúra biztonsági elemek sem hiányozhatnak, ezért ezeket mindenképp pótolni szükséges.

Incidenskezelés kialakítása

A hatékony, csak a valódi incidensekre fókuszáló üzemeltetés a NIS 2 megfelelőség alapja, ahol a jól kiválasztott technológia nagyságrendekkel kevesebb üzemeltetési munkát jelent. Végeredményben az egyszerű, átlátható, csak a valódi incidensekre fókuszáló üzemeltetés garantálhatja a valós incidensek károkozás előtt történő, sikeres elhárítását.

Folyamatos tesztelés, tréningek

Hosszú távon az állandó felhasználói tréningek, az új kollégák kibervédelmi képzése és folyamatos biztonsági ellenőrzés (pentesztelés, red, purple teaming) segít a hatékony kiberbiztonság fenntartásában.