NIS2
Mi az a NIS2 irányelv?
A NIS 2 az EU 2022/2555 európai parlamenti és tanácsi irányelve, egy közös kiberbiztonsági szabályozás. Célja a kiberbiztonsági ellenállóképesség uniós szintű kiépítése, a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtására használt rendszerek védelme, a bennük tárolt adatok fenyegetéseinek mérséklése és az említett szolgáltatások folyamatosságának biztosítása nem kívánt események során.
(pl.: kibertámadás)
A szabályozás a hazai jogrendszerben is megjelent, mely előírja a szervezetek számára, hogy kockázatokkal arányos védelmi intézkedéseket foganatosítsanak rendszereikben, ezzel javítva védekező-, és reagálóképességüket a kibertérben.
Az érintett szervezetek száma folyamatosan bővül, a védelmi intézkedések köre már az állami szervezetek is érinti, így nem csoda, hogy sokakban nagy a bizonytalanság, mit is kellene tenni.
Miért az ADAPTO?
Tudta-e Ön, hogy a jogszabály szerint a rendszerek besorolását módszertan alapú hatáselemzés alapján kell elvégezni?
Az ADAPTO módszertan abban tér el a többitől, hogy a NIS2 megfelelés felé vezető úton előállított eredménytermékeket más terület is fel tudja használni.
Cégünk több mint 10 éve foglalkozik GRC területtel (Governance, Risk, Compliance), minden munkatársunk tapasztalt információbiztonsági szakember. Ismerjük a vonatkozó jogszabályokat, információbiztonsági szabványokat. Ügyfeleink között ugyanúgy vannak állami megrendelők, mint piaci szereplők, kiberbiztonsági megfelelésben nem ismerünk lehetetlent.
Saját módszertanunkat sok éve fejlesztjük, partnereink visszajelzései alapján és a folyamatosan változó környezet hatására, mindenünk a kibervédelem.
ADAPTO MEGOLDÁS NIS2 MEGFELELÉSRE
GAP ELEMZÉS
Pillanatképet készítünk a vállalat aktuális kiberbiztonsági helyzetéről a NIS2 elvárásaihoz képest.
ÜTEMTERV
NIS2 elvárásai alapján ütemtervet mutatunk be a feladatokról.
HATÁSELEMZÉS, BCM,
KOCKÁZATELEMZÉS
Elvégezzük a direktívában elvárt feladatokat
(pl. vállalati erőforrások, kockázatelemzés, folytonossági tervek), ADAPTO szoftverben.
VÉDELMI INTÉZKEDÉSEK
Javaslatot teszünk a hiányzó védelmi intézkedések kapcsán, elkészítjük a hiányzó szabályzatokat.
NYOMONKÖVETÉS
A bevezetés utáni tanácsadás a változásokra, a felelősök felkészítése a módszertan alkalmazására.
-
Mi a NIS 2?Az Európai Unió új kibervédelmi stratégiájának irányelve, egy szabályozási keretrendszer,ami fokozza a hálózati és elektronikus információs rendszerek ellenállóképességét, egyúttal az azokban tárolt adatok biztonságát, sértetlenségét és rendelkezésre állását. Célja a kiberbiztonságegységes szintű növelése az EU-n belül a kockázatos és kiemelten kockázatos ágazatok körében. A direktíva további célkitűzése, hogy a kritikus szektorokban működő és szolgáltatásokat nyújtó köz- és magánszereplők ellenálló képességét növelje és incidenskezelési kapacitását bővítse.
-
Kik az érintettek?Tevékenység alapján lehet megállapítani az érintettséget, illetve szervezeti méret szerint. Olyan közép és nagyvállaltokra, akik az alábbi szektorok valamelyikében tevékenykednek, és több mint 50 főt foglalkoztatnak, valamit 10 millió eurónál nagyobb az éves árbevételük. Az érintett szektorok, NIS2 kötelezettek: Közigazgatás Energetika (villamos energia, távfűtés, hűtés, kőolaj, földgáz, hidrogén) Közlekedés (légi-, vasúti-, közúti-, vízi-, és tömegközlekedés) Egészségügy Ivóvíz, szennyvíz Hírközlési szolgáltatás Digitális infrastruktúra Kihelyezett IKT szolgáltatások Űralapú szolgáltatás Postai és futárszolgálatok Élelmiszer előállítása, feldolgozása és forgalmazása Hulladékgazdálkodás Vegyszerek előállítása és forgalmazása Gyártás Digitális szolgáltatók (pl. Online piactér, keresőszolgáltató, domain szolgáltató) Kutatás Pénzügyi szektor (Honvédelmi szektor) Ennek ellenére lehetnek kivételek is, ahol kisebb méretű szervezetre is vonatkozhat a jogszabály, attól függően, hogy milyen tevékenységet végez. A törvény számos szereplőt jogilag határoz meg, mely magyar jogszabályi hivatkozás esetén többnyire szakhatósági engedélyt feltételez.A pontos meghatározásban szakértőink segítenek.
-
Milyen szinten áll a kiberbiztonságom?Teljes szervezetre vonatkozó, átfogó kiberbiztonsági értékeléssel lehet megállapítani, hogy milyen a felkészültségi szint. Ehhez vizsgálni kell a már bevezetett intézkedéseket, szabályozó környezetet és a technológiai hátteret is. Folyamat és információbiztonsági értékelés segít az esetleges hiányosságok vagy sebezhetőségek azonosításában. Keresse fel cégünket!
-
Milyen követelményeknek kell megfelelnem?A NIS2 követelményrendszer több főcsoportra van bontva, rengeteg teendővel. Ebben nem minden egyes pontnak kell megfelelni. A rendszereket biztonsági osztályba kell sorolni, majd az ennek megfelelő védelmi intézkedéseket foganatosítani. Ehhez szakértői segítséget kell igénybe venni.
-
Hogyan tudom felmérni a rendszereimet?Az infrastruktúra leképezése szakértői feladat. Elemezni kell a rendszereket, a folyamatokat és kockázatértékelést kell végezni. Az elektronikus információs rendszerek besorolását módszertan alapú hatáselemzés alapján kell elvégezni. Ez segít azonosítani az irányelv követelményeinek teljesítéséhez szükséges konkrét védelmi intézkedéseket.Az ADAPTO módszertant több éve fejlesztjük, mely segítséget fog nyújtani Önnek egy teljes, átfogó elemzésben.
-
Van sok szabályzatom, azok megfelelőek?A szabályzatok mennyisége nem a megfelelő mérőszám. A NIS 2 olyan szabályzók kialakítását igényli, ahol részleteiben megvannak a kockázatelemzési és az informatikai rendszerek biztonságára, a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére, a kriptográfia és adott esetben a titkosítás használatára, valamint a humánerőforrás-biztonság, hozzáférés-ellenőrzési és eszközgazdálkodásra vonatkozó szabályzatok is.A GRC terület szakértői vagyunk.
-
Tényleg ennyire fontos mindez?Egy szervezet életében egy kiberbiztonsági incidens esetén a folyamatok leállása, az adatok kiszivárgása súlyos következményekkel járhat. Rengeteg bosszúság, időt és energiát igénylő tevékenységek, magyarázkodás stb. Nem beszélve a pénzügyi és reputációs veszteségről. Igen, nagyon fontos, hogy egy szervezet fel legyen készülve arra, hogy észlelje, izolálja, analizálja,ha támadás éri. Legyen terve az üzletmenet-folytonosságra, valamint a katasztrófa utáni helyreállításra és válságkezelésre.A gondos tervezésben kiberbiztonsági kollégáink segítenek.
-
Az üzletmenet-folytonosság mit jelent a szervezetem esetében?Az üzletmenet-folytonossági és katasztrófa helyreállítási tervek az üzletmenet fenntartása érdekében létrehozott stratégiák és garanciák. A kritikus és kevésbé kritikus folyamatok azonosítását, azok elválasztását, kezelését jelenti, vészterveket a biztonsági mentés és helyreállítás folyamataira, esetleg alternatív áthidaló megoldásokra gondolva. A terveket rendszeresen tesztelni és frissíteni kell, ezáltal biztosítva egy szervezet rugalmasságát incidensek esetére. A BCP tervek készítése mély, szakértői tudást igényel, melyhez az ADAPTO módszertan szintén segítséget nyújt.
-
A munkavállalóim felkészültek. Minek az oktatás?A kiberbiztonsági incidensek több mint 80%-a emberi mulasztás miatt következik be, vagy emberi hibára vezethető vissza. A NIS 2 alapvető kiberhigiéniai gyakorlatokat és kiberbiztonsági képzéseket ír elő, mert kiemelten fontos a munkavállalók megfelelő képzése és a biztonságos használati szokások kialakítása.Awareness képzésben gyakorlott munkatársaink szerepet vállalnak az oktatásban.
-
Szolgáltatók és partnerek a NIS 2 szerint miért fontosak?Egy szervezetre is igaz, hogy minden lánc olyan erős, mint a leggyengébb láncszem. Az ellátási lánc biztonságát, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat nem szabad figyelmen kívül hagyni.A pontos elemzéshez módszertanunk szolgál segítségül.
-
Sokba kerül?A proaktív védekezés mindig olcsóbb, mint a reaktív. A NIS 2 szintén előírja, hogy egy szervezet gondoskodjon a biztonságról a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét is. Így lesz hosszú távongarantálható a szervezetre vonatkozó védelmi szint. Az új kibervédelmi törvény márkötelezően „elköltendő” keretösszegeket határoz meg, amit a kibervédelemre kell fordítani.Költségkímélő, de hatékony ráfordítások tervezését szakértő szemmel támogatjuk.
-
Milyen technológia szükséges?Adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használatát követeli meg a NIS 2 a szervezeten belül, ezzel hozzájárulva a rendszer-, és kommunikációvédelemhez. Ennek felmérése információbiztonságifelkészültséget igényel.
-
Milyen határidők vannak?Legfontosabb, hogy a szervezetek felismerjék az érintettségüket és bejelentkezzenek a hatósági nyilvántartásba. Szerencsés esetben ez mármegtörtént, de akkor sem kell megijedni, ha esetleg nem lettek betartva a határidők. A mulasztásos jogsértések miatti bírságolást, a szankcionálást 2024. október 18-tól alkalmazhatja az SZTFH, de a hatóság folyamat oldalról (vezetői attitűd) közelíti meg a kérdést.Kötelezettségmegszegéséért vagy a kötelezettség elmulasztásáért járó bírságot határozott meg a hatóság, ha elmarad a nyilvántartásba vétel. Mihamarabb keressen fel Bennünket!
-
Elkészül, végeztünk?A megfelelés után auditori vizsgálat következik. Ammenyiben az auditor mindent rendben talál, akkor a meglévő információbiztonsági keretrendszerünket fenn kell tartani:alkalmazni, felülvizsgálni, javítani. Vezetői elköteleződés menténkialakított rendszerrel azonban az információbiztonság szintje emelkedik, a felhasználók tudatosabbak, a rendszerek naprakészek, a védelem kézzelfogható. A kötelező auditok 2 éventeesedékesek, szakértőink segítenek a változások kezelésében, a folyamatos fejlesztésben és megfelelőség-értékelésben.
-
Miért szükséges számomra?A NIS 2 a kiberbiztonság magasabb szintjét hozza el, uniós, hazai, szervezeti, de még felhasználói szinten is. A technológia rohamtempóban fejlődik, az élet minden szegmensében jelen van, de kontrollálatlanul veszélyt jelenthet. A követelménynek való megfelelés szükségszerű egy szervezet életében, hogy megvédje önmagát, adatait, rendszereit.A védelmi vonal megerősítésével, szabályozással, felhasználói oktatással és a gyakori felülvizsgálatokkal olyanbiztonságos és robosztus rendszer alakítható ki, amely ellenállóbbá teszi a szervezetet a fenyegetésekkel szemben a kibertérben.Keressen bennünket!
TOVÁBBI KÉRDÉSE VAN?
FORDULJON SZAKÉRTŐINKHEZ BIZALOMMAL!
+36 1 269 5181
1054 Budapest, Báthory utca 20.
3. emelet 4. 29-es kapucsengő