NIS2 megfelelés támogatása

Itt a kiberbiztonsági védőoltás a vírusként szaporodó kibertámadások ellen

Az Európai Unió tagállamai, vállalatai kezdhetnek megismerkedni a NIS2 irányelvekkel

Közös kiberbiztonsági rendszer az Európai Unióban

2016-ban, az Európai Unió hatályba léptette a Network and Information Systems (NIS) irányelvet. Az ebben foglalt követelményeknek egyértelmű célja volt: a tagállamok számára biztosítani a kritikus hálózati- és információs rendszereik biztonságát. Ilyen kritikus rendszerek lehetnek az energia, a közlekedés, a vízellátás, illetve bármely digitális infrastruktúra. Az Európai Unió ezzel a közös kiberbiztonsági keretrendszerrel, a fokozódó digitális fenyegetések és az incidensek egyre szaporodó mértéke ellen kívánt hatékonyan fellépni. Ezeket a tagállami szervezetekre vonatkozó biztonsági és jelentési kötelezettségeket aztán a magyar jogrend 2018 tavaszán léptetett hatályba.

A fű zöld, a NIS…

Ahogy teltek az évek, az egyre gyakoribb és összetettebb kibertámadások, valamint a gyorsuló digitalizációs folyamatok következtében szükségessé vált a NIS irányelvek aktualizálása és az új, szigorított szabályok meghatározása. Ennek eredményeként jött létre és került elfogadásra az EU-ban a NIS2.

Az elvárások gyűjteményét az EU 2022/2555 számú irányelveként fogadták el és 2023-ban lépett hatályba. A NIS2 irányelv nem csupán a követelmények modernizálását hajtotta végre, hanem annak hatókörét is jelentősen kiszélesítette. Ennek okán most már a digitális szolgáltatók, a kritikus infrastruktúrákhoz kötődő piaci szervezetek, valamint korábban még nem érintett, új szektorok is beleesnek az irányelv hatálya alá. Ezzel összhangban az irányelv az érintett szervezetek körét, a kockázati szintjük alapján két fő csoportra bontja: Kockázatos és Kiemelten kockázatos ágazatokban működő szolgáltatókra és szervezetekre.

Kinek nem inge…

Kockázatos kategóriába sorolhatók:

Ágazat Alágazat
Postai és futárszolgálatok
Élelmiszer előállítása, feldolgozása és forgalmazása
Hulladékgazdálkodás
Vegyszerek előállítása és forgalmazása
Gyártás Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
Számítógép, elektronikai, optikai termék gyártása
Villamos berendezések gyártása
Máshova nem sorolt gépek és berendezések gyártása
Gépjárművek, pótkocsik és félpótkocsik gyártása
Egyéb szállítóeszközök gyártása
Cement-, mész-, gipszgyártás
Digitális szolgáltatók
Kutatás

 

Kiemelten kockázatos kategóriába tartoznak:

Ágazat Alágazat
Energetika Villamos energia
Távfűtés és hűtés
Kőolaj
Földgáz
Hidrogén
Közlekedés Légi közlekedés
Vasúti közlekedés
Közúti közlekedés
Vízi közlekedés
Tömegközlekedés
Egészségügy
Ivóvíz, szennyvíz Víziközmű szolgáltatás
Hírközlési szolgáltatás

Digitális infrastruktúra
Kihelyezett IKT szolgáltatások
Űralapú szolgáltatás

 

Magyar fordításban

Fontos, hogy a NIS2 direktíva, tehát nem közvetlenül hatályos, hanem minden tagállamnak el kell végeznie a lokális törvényalkotási munkát. A magyar jogalkotók a NIS2 irányelvnek való megfelelés elősegítése érdekében hozták létre a 2023. évi XXIII. törvényt, ami a kiberbiztonsági tanúsításról és felügyeletről szól (röviden: Kibertan törvény). A Kibertan törvényhez kapcsolódó miniszteri rendelet 19 olyan ellenőrzési területet rögzített, amelyeken keresztül összesen 914 védelmi intézkedést definiál.

Szankciók

Az érintett szervezeteknek számos adminisztratív és kiberbiztonsági feladatot kell teljesíteniük, ahhoz, hogy összhangban lehessenek a NIS2 által kijelölt irányelvvel. A kötelezettségek hat nagyobb mérföldkő elérését érintik, és amennyiben ezek nem teljesülnek, a szervezetek szankciókkal vagy bírságokkal számolhatnak a felügyeleti hatóság részéről. Az előírt feladatok a következők:

NIS2 Hazai Timeline:

  1. mérföldkő: Hatósági nyilvántartásba vétel

Határidő: 2024.06.30.

  1. mérföldkő: Kiberbiztonsági felkészülés

Határidő: 2024.10.18.

  1. mérföldkő: Kiberbiztonsági auditori szerződéskötés

Határidő: 2024.12.31.

  1. mérföldkő: Auditálható működés

Határidő: Folyamatos, nincs meghatározva

  1. mérföldkő: Első audit

Határidő: 2025.12.31.

  1. mérföldkő: Folyamatos megfelelés

Határidő: Folyamatos, nincs meghatározva

NIS2 felkészítés

Az alábbiakban vázoljuk azokat a lépéseket, amelyekkel, mint a Kürt Zrt., segíteni tudjuk a szervezetét abban, hogy megfeleljen a NIS2 hazai kiberbiztonsági jogszabályi követelményeinek. Ez a felkészítési folyamat magában foglalja az Elektronikus Információs Rendszerek (EIR) azonosításától és biztonsági osztályozásátólkezdődően, a védelmi intézkedések megfelelés elemzésén át, egészen a felmerült hiányosságok orvoslására vonatkozó akciótervek kidolgozásáig, akár magát a szabályozási keretrendszer kialakítását is.

  • Elektronikus Információs Rendszerek (EIR) azonosítása és azok biztonsági osztályba sorolása
    A rendelet által elvárt biztonsági osztályba sorolás mellett elvégezzük a rendszerek hatáselemzését, az általuk kezelt adatok és támogatott üzleti célok, folyamatok bizalmassága, sértetlensége és rendelkezésre állása alapján.
  • Védelmi intézkedés megfelelés elemzés (GAP elemzés)

Az elemzés során meghatározzuk a rendeletben előírt védelmi intézkedések teljesülésének szintjét, illetve azonosítjuk az észlelhető hiányosságokat, eltéréseket. Az eltérésekre cselekvési tervet írunk.

  • Kockázatelemzés
    A kockázatelemzés során elemzésre kerülnek legalább a rendelet által meghatározott fenyegetések mentén fellépő lehetséges kockázatok, figyelembe véve az elemzések során feltárt és azonosított hiányosságokat, sérülékenységeket.
  • Rendszerbiztonsági tervek (RBT) készítése

Elkészítésre kerülnek a szervezetnél azonosított EIR-ekre vonatkozó részletes Rendszerbiztonsági tervek.

  • Szabályzatok készítése

A meglévő szabályzatok felülvizsgálatával, kiegészítésével elkészítjük a szervezetre szabott információbiztonsági követelményeket, előírásokat és eljárásokat tartalmazó, releváns szabályozói dokumentumokat.

  • BCM (üzleti és technológiai folytonosság)
    A kockázatarányos működés kiemelt területe a folytonosság és helyreállítás tervezés. Elkészítjük a szervezet üzletmenetfolyotnossági terveit és az érintett EIR-ek szolgáltatás folytonossági és helyreállítási terveit.
  • Sérülékenységvizsgálat

A vizsgált rendszerekre, hálózatokra vonatkozó potenciális sérülékenységek azonosítása, a javításukhoz szükséges javaslatok kidolgozása, sérülékenységvizsgálati jelentésbe foglalása.

NIS2 Kockázatmenedzsment keretrendszer: SeCube GRC

Bár a NIS2 minden szükséges iránymutatást tartalmaz egy szervezet kiberbiztonsági védelmének erősítéséhez, fontos, hogy ez ne csupán egy egyszeri, megfelelőségi célokat szolgáló projekt legyen. A NIS2 felkészülés során már érdemes a folyamatos megfelelés és fenntartási célokat is figyelembe venni, hogy a felkészülés során előálló eredmények összessége konzisztens és karbantartható legyen. A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről című rendelet megköveteli a szervezetektől, hogy rendelkezzenek egy jól strukturált kockázatkezelési keretrendszerrel a biztonsági menedzsment állandó támogatására. Fontos előírás, hogy a NIS2 felkészülés során előálló információkat, dokumentumokat, terveket, intézkedéseket folyamatosan frissen kell tartani, hiszen valós biztonsági céljukat is csak így tudják elérni (compliance célon túl).

A SeCube GRC egy olyan egységes keretrendszer, amely lehetővé teszi a biztonságirányítási, kockázatkezelési, megfelelőségi, auditálási és üzletmenet-folytonossági folyamatok moduláris integrálását. Ennek célja, hogy egy vállalat különféle területeit érintő biztonsági elemzési, tervezési és karbantartási tevékenységeket összehangoltan támogassa, ezzel is biztosítva a vállalati biztonság átlátható és dokumentálható kezelését.

SeCube GRC rendszerünk kiemelten és integráltan támogatja a hazai kiberbiztonsági törvényi megfelelést. NIS2 megfelelés kapcsán a szoftverben felmérhetjük, vezethetjük és ami a legfontosabb folyamatos aktuálisan tarthatjuk és tetszés szerint riportálhatjuk a következő tevékenységeket és azok eredményeit:

  • Inventory: EIR nyilvántartás, vagyonelem, adatkör és folyamat kapcsolatokkal, működési modellezés
  • Compliance:
    • Akár nagy számú EIR hatékony védelmi intézkedés megfelelés felmérés és folyamatos követése és értékelési jelentés generálása intézkedési tervekkel
    • Védelmi intézkedések vezetése
    • Rendszerbiztonsági terv összeállítása és generálása
    • NIS2 megfelelés mappelése és integrálása más compliance és belső audit tevékenységekkel
  • RISK:
    • EIR kockázatelemzés és kezelés generálható jelentéssel
    • Integrálás más szervezeti kockázat elemzésekkel
  • BCM:
    • Üzleti, működési, technológia és IT helyreállítási, folytonossági tervek részletes tervezése, felülvizsgálata, illetve tesztelés vezetése
  • Governance: Feladatok, határidők követése, incidens nyilvántartás, stb.

NIS2 megfelelés a SeConical logelemző termékünk által:

4.1, 4.2 pontok Szabályozás, naplózható események kiválasztása.

4.3, 4.4 pontok A Naplóbejegyzések tartalmának feldolgozása.

4.7, 4.8 pontok A naplózási hiba észlelése, kezelése

4.13, 4.14 4.15, 4.16, pontok Elemzés, jelentés.

4.17, 4.18 pontok Elemzés, jelentés, összevetés a fizikai hozzáférés felügyeletével.

4.20 4.21 pontok A privilegizált parancsok elemzése elemző rendszerben, és ennek összevetése más biztonsági információkkal.

4.22 pont A naplóállományok méretének csökkentése a SeConical rendszer tervezésének alapvető szempontja volt. A technológia erre az alapvetésre támaszkodva oldotta meg a gyors és automatikus jelentéskészítés feladatát.

4.23 pont Magát a naplóállományok elemzését számosság alapú technológiával valósítjuk meg így csökkentve az elemzési időt és így tesszük lehetővé, hogy automatikusan és gyorsan elkészüljön egy heti naplóállományról a jelentés.

4.24 pont Időbélyegek. Az adott szervezetnek meg kell oldania a hosztok szinkronizálását a központi időhöz, ezzel biztosítva, hogy a naplófájl-elemzés során megfelelő következtetésre lehessen jutni a naplóállományok összevetése során.

4.25 pont A SeConical rendszer naplózza a rendszereknek, alkalmazásoknak azt a tulajdonságát, hogy naplóbejegyzést készítenek abban az esetben, ha leáll a naplózási szolgáltatás valamely hoszton vagy ha az adminisztrátorok valamelyike leállítja a naplófájlok küldését az elemző rendszerbe.

4.26 pont Az EIR a naplóbejegyzéseket egy hardveresen kikényszerített, egyszer írható adathordozóra rögzíti.

4.27 pont A naplóinformációk védelme, a naplófájlok elkülönített tárolása. A SeConical mentésre kiajánlja az általa gyűjtött logokat.

4.28 pont Kriptográfiai eszközök használata. A SeConical rendszer használ ilyet a Flume alrendszerében

4.29 pont A SeConical rendelkezik megfelelő jogosultsági rendszerrel a logok elemzéséhez.

4.30 pont Kettős jóváhagyás kikényszerítése a naplóállományok törlése vagy módosítása terén

4.38 4.39 pontok Megőrzés, hosszú távú visszakereshetőség

4.41 pont Naplóbejegyzések létrehozása

4.42 pont Az EIR-re kiterjedő egységes heti jelentés készül a SeConical appliance-ben.

4.43 pont Az EIR lehetőséget ad személyeknek, szerepköröknek, hogy megváltoztassák a naplózást

4.44 pont A szervezet figyeli az információk kiszivárogtatásának lehetőségét. Ez a szervezet feladata, ebben segítséget nyújthat a SeConical. (Például jogosulatlan adminisztrátori jogok kiosztása, amiből információ szivárogtatásra lehet következtetni stb.)

4.52 pont A SeConical képes szervezeteken átívelő naplóinformációkat szolgáltatni.

5.16 pont A szervezeti trendelemzéshez a SeConical havi jelentéseit ajánljuk. A havi jelentések pontosan a trendeket próbálja a vezetőknek bemutatni.

5.19.pont A SeConical appliance pontosan az automatikus és rendszeres felügyeleti elemzések létrehozására lett kifejlesztve.

Szechenyi2020

Iratkozzon fel hírlevelünkre!

Ha szeretne többet tudni a legfrissebb híreinkről, szolgáltatásainkról, iratkozz fel hírlevelünkre!