Nemrég lépett hatályba a kiberbiztonságról szóló újabb irányelv (NIS2), amelynek célja, hogy megerősítse az Európai Unióban működő vállalatok és intézmények ez irányú biztonságát.

Kiberbiztonsági szabályozás

A NIS2 néven ismert irányelv a 2016-os hálózati és információs rendszerek biztonságáról szóló korábbi NIS irányelvet váltja fel. Időközben Európában is felgyorsult a digitalizáció, és ezzel együtt jelentősen megnőtt a kibertámadások gyakorisága is.

Az új irányelvhez való igazodáshoz már most érdemes elkezdeni a tervezést és a szükséges lépések bevezetését, amihez a BlueVoyant szakértői összegyűjtötték a legfontosabb tudnivalókat. A NIS2 idén januárban lépett hatályba, de a tagállamoknak 2024. október 17-ig kell nemzeti jogszabályként alkalmazni az intézkedéseket.

A követelmények elmulasztása – az adatvédelmi(GDPR) szabályozáshoz hasonlóan – jelentős bírságokat vonhat maga után, amelyek összege akár 10 millió euróig, vagy a vállalkozás teljes forgalmának 2 százalékáig terjedhet attól függően, hogy melyik a magasabb összeg. A jogi következmények mellett egyéb pénzügyi költségekkel, valamint az ügyfelekkel szembeni hírnévvesztéssel is szembe kell nézniük az érintetteknek.

Kiemelt veszélyben az ellátási láncok

Az egyik legkomolyabb kiberfenyegetés, amivel az üzleti élet szereplőinek szembe kell nézniük, az ellátási láncot érő támadások. A digitális ellátási láncok ugyanis számos, a cégek hálózatához hozzáférést nyújtó pontot is magukban foglalhatnak. Hiába megbízható egy vállalat, intézmény belső kiberbiztonsága, ha egy beszállító utat nyit a támadóknak.

Az irányelv jelentős újítása, hogy az érintetteknek nemcsak a saját digitális infrastruktúrájuk, hanem a ráépülő tágabb ökoszisztéma fokozottabb védelmét is meg kell teremteniük.

A NIS2 által kezelt új kockázatok közé tartozik még az 5G technológia biztonsága, továbbá a világjárvány okozta felgyorsult digitalizációhoz és felhőmigrációhoz kapcsolódó kockázatok.

Az irányelv célja hogy tagállamok rugalmasabban reagálhassanak a kibertámadásokra és még jobban védjék a kritikus infrastruktúrákat. Szabályozza az érintett vállalkozásoknál, intézményeknél szükséges kiberbiztonsági intézkedéseket és a jelentéstételi kötelezettségeket.

Van még idő jövő októberig, ráadásul úgy, hogy bizonyos részletekről a tagállamok maguk dönthetnek, így a nemzeti szabályozások és végrehajtások között lesznek különbségek. A hangsúlyos területek azonban uniószerte egységesek.

A kritikus ágazatokra még jobban odafigyelnek

Fontos változás az új irányelvben, hogy jelentősen kiterjeszti a hatályát a kritikusnak ítélt ágazatokra: ilyen az energiaipar, a közlekedés, a banki és pénzügyi ágazat, az egészségügy, a digitális infrastruktúra területei és a közigazgatás.

Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak. Uniószinten közepes méretű vállalatoknak számítanak a minimum 50 főt foglalkoztató és 10 millió eurót meghaladó éves árbevétel.

A kiberbiztonsági incidens által érintett cégeknek 24 órájuk áll majd rendelkezésre, hogy az incidensről kiadják az első értesítést, majd legkésőbb 72 órán belül hivatalos incidensjelentést tegyenek, és legkésőbb az incidenst követő egy hónapon belül zárójelentést nyújtsanak be.

A felkészüléshez ezeket érdemes figyelembe venni

• A vállalkozások folyamatosan figyeljék a belső és külső hálózatokat, hogy gyorsan azonosítani, értékelni és rangsorolni tudják a kockázatokat, és adott esetben orvosolni tudják a kiberbiztonsági problémákat. Gyors reagálást igényelnek a zsarolóprogramok és a rosszindulatú szoftverek. Hetente új nulladik napi sebezhetőségeket jelentenek be, és a kiberbűnözők a korábbinál gyorsabban használják ki a kapcsolódó veszélyforrásokat.

• Az ellátási láncok esetében a cégeknek érdemes megvizsgálniuk, hogy milyen beszállítókkal és más harmadik felekkel állnak kapcsolatban és azok milyen hálózati és adathozzáféréssel rendelkeznek.

• A kiberbiztonsági kihívások kezelésére stratégia létrehozása szükséges, ennek része a szervezet ellátási láncának folyamatos figyelése a kritikus hibák azonosítása, rangsorolása és orvoslása. A harmadik felek kockázatainak kezelése időigényes és költséges lehet, ezért a feladatot akár ki is szervezhetik.

• Fontos az alkalmazottak rendszeres képzése és tesztelése. Az olyan támadások – mint az adathalászat – azért működnek, mert azok nem a technológiai rendszereket, hanem az alkalmazottakat támadják.

• A szervezeteknek a személyazonosság-, és hozzáférés-kezeléssel is aktívan foglalkozniuk kell, például hogy a harmadik felek, alvállalkozók és alkalmazottak csak a feladataik ellátásához feltétlenül szükséges adatokhoz férjenek hozzá.