Kezdjük az elején: mi a NIS2 pontosan?
Ez egy EU-s irányelv, célja a kiberbiztonsági képességek egész Unióban történő kiépítése, a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtására használt hálózati és információs rendszerek fenyegetéseinek mérséklése és az említett szolgáltatások folyamatosságának biztosítása az események során. Az NIS 2 viszont nem csak egy újabb EU-s irányelv, hanem egy elengedhetetlen lépés a modern kiberbiztonsági kihívások kezelésében. Az irányelv célja, hogy választ adjon a dinamikusan változó kiberfenyegetésekre, és megteremtse azokat a keretfeltételeket, amelyek segítségével a vállalatok megfelelő védelmet biztosíthatnak az adataiknak és rendszereiknek. A vállalatoknak nagyjából két évük van arra, hogy megfeleljenek az új kiberbiztonsági követelményeknek, a NIS2-irányelv előírásainak. Az érintett szervezetek többsége azonban nagyon messziről indul, célszerű minél előbb áttekinteni a feladatokat és megkezdeni a felkészülést – hívta fel a figyelmet dr. Bencsik Balázs, a szakmai felügyeletet ellátó SZTFH kiberbiztonsági igazgatója.
Azt azért fontos látni, még mielőtt bárki megijedne, hogy a NIS2 előírásai azért egyetlen érintettre sem rónak igazán elviselhetetlen, azonnali terhet. Az első kiberbiztonsági audit lefolytatására még majdnem egy éve van a cégeknek, persze ez nem jelenti azt, hogy kényelembe helyezhetik magukat. Azt kell látni, hogy ez minden szervezetnek saját, jól felfogott üzleti érdeke, igazából kötelezés nélkül is meg kellene, meg kellett volna valósulnia – jegyezte meg Bor Olivér szakértő.
Persze, ez igaz, teszi hozzá az igazgató. Viszont a megvalósítandó feladat nem kevés és bizonyos esetekben akár komolyabb anyagi terhet is jelenthet a NIS2 irányelv által előírt kötelezettségekre való felkészülés a néhány ezer érintett magyar cégre, köztük olyanokra, amelyek eddig nem foglalkoztak igazán komolyan az információbiztonsággal. Mindezek mellett a szállítói oldalról is beszélni kell: nekik is fel kell készülni, hiszen a közelmúltban számtalan olyan példát láthattunk, hogy egy-egy céget a beszállítókon keresztül támadtak sikeresen meg, így a követelmények bizony már egyes beszállító láncokra is vonatkoznak majd.
Hány céget érint Magyarországon a NIS2?
Bencsik Balázs:
Nagyjából 2500 olyan vállalkozás van jelenleg, amelyeket az új szabályozás érinthet. Csakhogy lássuk mekkora szám ez: a NIS1-irányelv alapján nagyjából 200-250 szervezetnek kellett megfelelnie az előírásoknak. Ahogy látjuk kb. tízszeresére nőtt az érintetti kör. Az irányelv nevesíti azokat a szektorokat, mint például – többek között - az energia-, víz-, közlekedés- egészségügyi-, járműgyártás, élelmiszer szektort, amelyek kritikus fontosságúak és kockázatos vagy kiemelten kockázatos ágazatok.
Azért vannak olyan cégek, van olyan szektor, mint az állami és önkormányzati szektor, valamint a kritikus infrastruktúrák, akikre már az eredeti NIS is vonatkozott, nekik eddig is volt kötelezettségük.
A NIS2 hazai implementációs folyamatként megalkotott kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertantv.) pontosan meghatározza az érintettek körét is. Ennek keretében definiált kockázatos és kiemelten kockázatos ágazatokat, és ebben a körben minden piaci szereplő érintett, ahol a foglalkoztatottak száma eléri az 50 főt, illetve előző éves árbevétele meghaladja a 10 millió eurót. Kivételt képeznek az elektronikus hírközlési szolgáltatók, a bizalmi szolgáltatók, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű doménnév-nyilvántartók és a doménnév-regisztrációt végző szolgáltatók – számukra akkor is hatályos a jogszabály, ha a mikro- vagy kisvállalati körbe tartoznak.
Készen állnak erre a magyar vállalatok? Egyáltalán milyen fokú a felkészültség?
Bor Olivér:
Szektoronként más-más felkészülési szintről lehet beszélni, ahogy Balázs korábban is említette. Vannak cégek, akiknek a kiberbiztonsági érettsége magasabb, de bőven akad olyan vállalat, akiknél eddig nem foglalkoztak túl sokat ezzel a kérdéssel. Az Eurostat legutóbbi kiberbiztonsági felmérése szerint az európai nagyvállalatok felének van információbiztonsági politikája, illetve foglalkozik kiberbiztonsági kockázatkezeléssel. Amely cégeknek van ilyen stratégiája, azok is többnyire jelszóbiztonsági előírásokat és biztonsági mentésekre vonatkozó minimum kritériumokat fogalmaznak, és ennyi. Ezt azért a mai digitális fejlettség már meghaladta. A társadalom gyors digitális átalakulásával és összekapcsolódásával az elektronikus információs rendszerek, valamint a digitális eszközök a mindennapi élet központi elemévé váltak, ami igaz a cégek mindennapi életére is. Ezzel együtt pedig a digitális fenyegetettségek köre is bővült, így a korábbi védelmi intézkedések már nem feltétlenül elegendőek. Visszatérve a statisztikákhoz: a kis- és középvállalati szektorban pedig ez az arány még rosszabb, hiszen a fenti arány nem éri el a 25 százalékot sem. Magyarország esetén az adatok elmaradnak az európai átlagtól. Ennek alapján a cégek jelentős része nagyon messziről indul. Azoknak a szervezeteknek, amelyek ezzel a kérdéssel eddig nem foglalkoztak, minden új lesz.
Egy cég esetében mi legyen az első lépés, hogyan fogjanak hozzá az egészhez?
Bencsik Balázs:
Az első szakaszban a Szabályozott Tevékenységek Felügyeleti Hatóságánál össze kell állítanunk egy nyilvántartási listát azokról a vállalatokról, akikre a NIS2, vagyis inkább a hazai átültetést célzó korábban említett Kibertantv. vonatkozik. Ezt amúgy minden EU-s tagállamnak majd végre kell hajtani, csak a magyar szabályozás bőven az Uniós átlag előtt jár, így nálunk ez a folyamat már 2024. január 1-vel elindult és egészen 2024. január 30-ig tart. De fontos, hogy ezt minden vállalatnak magának kell ellenőriznie, mármint, hogy érintett-e, és ha igen, akkor nyilvántartásba szükséges vetetnie magát a hatóságunknál. Tehát nem a hatóság fogja egyesével megkeresni a cégeket, hogy regisztráljanak, hanem egyfajta önbevallás-szerűen kell ezt nekik megejteniük. Ez egy adminisztratív lépés, gyakorlatilag a jogi, pénzügyi megfelelés vizsgálata: meg kell nézni, hogy méret, illetve tevékenység alapján beleesik-e a cég az érintetti körbe
Bor Olivér:
Igen, ez így van, és nagyon gyakran találkozunk olyan kérdéssel, hogy a cégek nem tudják eldönteni, hogy érintettek-e vagy sem. Naponta 8-10 megkeresést kapunk csak erre vonatkozóan, így készítettünk ehhez egy kvázi önazonosítási segédletet, ami segíthet a cégeknek eligazodni a nyilvántartási folyamat és az önazonosítás útvesztőjében. Ez a segédlet SZTFH weboldalán és LinkedIn felületén is megtalálható, de pl. már podcasteltünk is a témában, ugyanis az SZTFH-nak van egy kiberbiztonsági podcastje is, aminek Minden Kiberül a címe. Természetesen ha valakinek ezek után is kérdése van, avagy bizonytalan a témában, akkor nyugodtan írjanak nekünk e-mailt, mindenkinek igyekszünk a lehető leggyorsabban válaszolni. Hiszünk abban, hogy ha a cégeknek minden releváns tájékoztatást időben megadunk, akkor hozzá tudjuk őket segíteni, a szabályozáson túlmenően, a magasabb kiberbiztonsági szint eléréséhez.
Ahhoz, hogy a regisztráció a lehető legegyszerűbb legyen, létrehoztunk egy elektronikus felületet, amelyen a vállalkozásoknak a cégkaput használva egy űrlapot kell kitölteniük és beküldeniük. Az ügyintézés teljesen online folyamat – egészíti ki az elhangzottakat Bencsik Balázs.
Milyen határidőkre célszerű figyelni?
Bencsik Balázs
Jelenleg a legfontosabb határidő a június 30-a, ameddig az érintett cégeknek el kell végezni az önazonosítást és nyilvántartásba kell magukat vetetni. Ennek kapcsán azt javasoljuk, hogy aki végképp bizonytalan abban, hogy érintett-e, akkor inkább vetesse magát nyilvántartásba, mert abból kára, baja nem származhat. Abból viszont igen, ha ezt elmulasztja, ugyanis a Hatóság kezében szankciós jogkör is van, bár kifejezetten nem ez a cél. Amennyiben egy szervezet kezdeményezte a nyilvántartásba vételét, és mégsem tartozik a szabályozás hatálya alá, abban az esetben az SZTFH egy hivatalos tájékoztatást fog számára küldeni, hogy nem érintett, és nincs további teendője.
Ezt követően a biztonsági kontrollok megvalósításának határidejét emelném ki, ami 2024. október 18., ez egyben az első felügyeleti díj megfizetésének a kezdő időpontja is. Ezen dátum kapcsán azt kell tudni, hogy azon a napon élesedik az Unióban a NIS2 irányelv, tehát attól a naptól kell a tagállamoknak alkalmazniuk. Itt azért van egy kis csavar a történetben. A megfelelésre 2024. október 18. a határidő, de a megfelelés bizonyítására, vagyis az audit végrehajtására 2025. december 31. – azaz több mint egy év áll rendelkezésre, hogy minden szükséges kontrollt bevezessenek a vállalatok. Ilyen szempontból elég rugalmas a szabályozás, és így el is értünk az utolsó fontosabb dátumhoz, ami 2025 év vége. De előtte meg kell említeni még egy idei mérföldkövet is: 2024. december 31-ig az érintett szervezeteknek szerződéssel kell már rendelkezniük az első kiberbiztonsági audit vonatkozásában, tehát addigra meg kell találni azt az auditáló szervezetet, aki számukra elvégzi az auditálást, amit aztán majd két évente meg kell ismételni.
A határidő be nem tartásához milyen szankciók tartoznak?
Bencsik Balázs:
A NIS2-irányelvhez több olyan határidő kapcsolódik, amelyhez a felügyeletnek is tartania kell magát. 2025 áprilisáig el kell például készülnie egy az egész unióra kiterjedő nyilvántartásnak az érintett vállalatokról, erről már beszéltünk korábban. A regisztráció nagyon fontos a folyamat részeként, és a hamarosan megjelenő kormányrendelet értelmében 5–50 millió forint körüli birsággal kell számolnia azoknak, aki ezt elmulasztják, és a későbbi lépések elmaradása esetén is számolni kell a szankciókkal. Ez például egy szervezet esetében akár a felügyeleti díj többszöröse is lehet, így összességében azon az állásponton vagyunk, hogy nem érdemes megpróbálni kibújni a kötelezettségek alól. A nyilvántartásainkat összevetjük majd az egyéb hatóságok adataival, és előbb vagy utóbb a mulasztásokra fény derül. A szankciók ismételhetők, ha valaki a büntetés után sem felel meg a kötelezettségeknek, újabb bírságra számíthat, így akár annyi is összegyűlhet, ami már a cég működését veszélyezteti. Persze ismét fontos megemlíteni, hogy nem ez a célunk!
Visszatérve a feladatokhoz. Mit érdemes még elvégezni a cégeknek?
Bencsik Balázs
A regisztrációt követően, pontosabban, ha a nyilvántartásba vétel megtörtént, akkor fel kell mérni a vállalkozás által használt elektronikus rendszereket, el kell végezni az adatvagyon leltárt és minden elemet biztonsági osztályba kell sorolni. Lényeges szempont, hogy ezt úgy végezzék el a szervezetek, hogy a védelmi intézkedések ezek mentén bevezethetők legyenek. Mindezek mellett célszerű lehet egy ún. GAP analízis lebonyolítása is, ami feltárja, hogy mely területeket kell fejleszteni a megfeleléshez. Ennek eredménye alapján szükséges a rövid-, közép- és hosszútávú intézkedéseket meghatározni. Ezen folyamatokba sok esetben indokolt lehet szakértőt is bevonni, bár ez szervezet függő. Van ahol ez a szakértelem házon belül is megvan, ott akár elegendőek lehetnek a belső erőforrások is. Ahol viszont ezek a kompetenciák hiányoznak, célszerű tanácsadó közreműködését igénybe venni, hiszen ők szakértőként segítenek átlátni a folyamatokat, segítenek a kockázatfelmérésben és abban is, hogy ezekhez igazítsa a cég a szükséges humán, fizikai és egyéb intézkedéseket, amiket be kell vezetnie. Továbbá segíthetnek egy biztonságtudatosítási stratégia kialakításában, hiszen a NIS 2 erre külön kitér.
Igen, ez legalább olyan fontos, mint a korábbi intézkedések, teszi hozzá Bor Olivér. A kiberbiztonsági awareness, az az a tudatossági szint növelése, a kiberbiztonsági veszélyekre való figyelemfelhívás és az azokra adható felhasználói szintű válaszlépések rendkívül fontosak. Látni kell, hogy minden esetben az ember a leggyengébb láncszem, rajtunk, állampolgárokon keresztül a legegyszerűbb, a legkevesebb erőforrást igénylő módszer megtámadni egy céget. A mai kibertámadások legfőbb eszköze a különféle adathalász módszerek, amelyek ma már nem csak e-mailben és a közösségi média felületeken érhetnek el minket, hanem bizony SMS-ben és hanghívással is. Amennyiben egy munkavállaló kevésbé lesz figyelmes vagy érzékeny ezekre a támadásokra, csalási kísérletekre, akkor nagyon hamar megtörténhet a baj. Mindezekért is nagyon fontos, hogy a cégek megfelelő edukációban és felkészítésben részesítsék a munkavállalóikat, amit nem elegendő egy egyszer teljesített és kipipált feladatként letudni, ezt is javasolt folyamatosan, évről-évre, vagy még gyakrabban megtenni. A lehetőségek tárháza ma már nagyon széles, nem kell feltétlenül csakis kizárólag e-learningben gondolkodni, hiszen emellett a megoldás mellett a cégek akár külsős segítséggel szervezhetnek kiberbiztonsági gyakorlatokat is, vagy játékos formában, a gamifikációt segítségül hívva edukálhatják a munkatársakat, de mondhatnám a különféle adathalász szimulációkat is, amelyek szintén nagyon sokat dobhatnak egy-egy szervezet kiberbiztonsági érettségi szintjén. Mi az SZTFH-nál rendelkezünk egy olyan az EU Kiberbiztonsági Ügynöksége(ENISA) által készített kiberbiztonsági tudatosító játékkal, ami szintén hozzájárulhat a szervezetek biztonságtudatosabb attitűdjéhez. Az AR-in-a-Box nevezetű tudatosító szimulációs játék kizárólagos hazai hostja az SZTFH, ami azt jelenti, hogyha valaki, valamelyik cég szeretné munkatársai körében kipróbálni ezt a kvázi kibernyomozós játékot, akkor minket kell megkeresni ez ügyben, és mi biztosítjuk a játékmestert is.
A tudatosítás amúgy is az SZTFH egyik missziója, folytatja a szakértő, ami egyben azért nagy kihívás is, hiszen minden korcsoportot, célcsoportot más és más eszközökkel lehet és kell elérni, ezért az SZTFH repertoárjában szerepel még kiberbiztonsági podcast, közösségi média kommunikáció, szakmai rendezvényeken történő előadások, közoktatási intézményekben tudatosító foglalkozások tartása mellett számos médiaszereplés is, illetve saját workshopok, konferenciák, országjáró edukációs körutak is. Tavaly egy hat állomásos országos tájékoztató roadshow-t bonyolítottunk le, amely során több vármegye székhelyen tartottunk tájékoztatókat a helyi vállalkozások számára, és ezt az eseménysorozatot idén tavasszal is megismételjük, 7 új állomással. Az előzök után talán még a Minden Kiberül podcastot célszerű kiemelni, amelyben ismert személyekkel, hírességekkel beszélgetünk információbiztonsági témákról – közérthetően, de informatívan, lényegre törően. Mindenkihez közelebb kívánjuk hozni a témát, ami azért elég szép és nemes feladat, hisz sokak számára ez egy nehezen értelmezhető kérdés, és gyakran találkozunk azzal a védekezéssel, hogy „engem biztos nem érint a téma, úgysem vagyok senki érdekes”. Ez egy hamis biztonság érzetet ad, ami mögé bújva talán még könnyebben válhatunk áldozattá. A podcast pont ebben segít, mármint, hogy ne váljunk áldozattá. Ennek érdekében aktuális és a való életből vett példákon keresztül mutatjuk be az online csalásokat, valamint egyszerű, ám de annál hatékonyabb tippeket adunk a védekezéshez. A Minden Kiberül az összes népszerű podcast lejátszón, illetve saját gyűjtőoldalán is elérhető – tette hozzá Bor Olivér.