Az Európai Unió új kibervédelmi stratégiájának irányelve, egy szabályozási keretrendszer,ami fokozza a hálózati és elektronikus információs rendszerek ellenállóképességét, egyúttal az azokban tárolt adatok biztonságát, sértetlenségét és rendelkezésre állását. Célja a kiberbiztonságegységes szintű növelése az EU-n belül a kockázatos és kiemelten kockázatos ágazatok körében. A direktíva további célkitűzése, hogy a kritikus szektorokban működő és szolgáltatásokat nyújtó köz- és magánszereplők ellenálló képességét növelje és incidenskezelési kapacitását bővítse.

Tevékenység alapján lehet megállapítani az érintettséget, illetve szervezeti méret szerint. Olyan közép és nagyvállaltokra, akik az alábbi szektorok valamelyikében tevékenykednek, és több mint 50 főt foglalkoztatnak, valamit 10 millió eurónál nagyobb az éves árbevételük.

Az érintett szektorok, NIS2 kötelezettek:

• Közigazgatás

• Energetika (villamos energia, távfűtés, hűtés, kőolaj, földgáz, hidrogén)

• Közlekedés (légi-, vasúti-, közúti-, vízi-, és tömegközlekedés)

• Egészségügy

• Ivóvíz, szennyvíz

• Hírközlési szolgáltatás

• Digitális infrastruktúra

• Kihelyezett IKT szolgáltatások

• Űralapú szolgáltatás

• Postai és futárszolgálatok

• Élelmiszer előállítása, feldolgozása és forgalmazása

• Hulladékgazdálkodás

• Vegyszerek előállítása és forgalmazása

• Gyártás

• Digitális szolgáltatók (pl. Online piactér, keresőszolgáltató, domain szolgáltató)

• Kutatás

• Pénzügyi szektor

• (Honvédelmi szektor)

Ennek ellenére lehetnek kivételek is, ahol kisebb méretű szervezetre is vonatkozhat a jogszabály, attól függően, hogy milyen tevékenységet végez. A törvény számos szereplőt jogilag határoz meg, mely magyar jogszabályi hivatkozás esetén többnyire szakhatósági engedélyt feltételez.A pontos meghatározásban szakértőink segítenek.

Teljes szervezetre vonatkozó, átfogó kiberbiztonsági értékeléssel lehet megállapítani, hogy milyen a felkészültségi szint. Ehhez vizsgálni kell a már bevezetett intézkedéseket, szabályozó környezetet és a technológiai hátteret is. Folyamat és információbiztonsági értékelés segít az esetleges hiányosságok vagy sebezhetőségek azonosításában. Keresse fel cégünket!

A NIS2 követelményrendszer több főcsoportra van bontva, rengeteg teendővel. Ebben nem minden egyes pontnak kell megfelelni. A rendszereket biztonsági osztályba kell sorolni, majd az ennek megfelelő védelmi intézkedéseket foganatosítani. Ehhez szakértői segítséget kell igénybe venni.

Az infrastruktúra leképezése szakértői feladat. Elemezni kell a rendszereket, a folyamatokat és kockázatértékelést kell végezni. Az elektronikus információs rendszerek besorolását módszertan alapú hatáselemzés alapján kell elvégezni. Ez segít azonosítani az irányelv követelményeinek teljesítéséhez szükséges konkrét védelmi intézkedéseket.Az ADAPTO módszertant több éve fejlesztjük, mely segítséget fog nyújtani Önnek egy teljes, átfogó elemzésben.

A szabályzatok mennyisége nem a megfelelő mérőszám. A NIS 2 olyan szabályzók kialakítását igényli, ahol részleteiben megvannak a kockázatelemzési és az informatikai rendszerek biztonságára, a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére, a kriptográfia és adott esetben a titkosítás használatára, valamint a humánerőforrás-biztonság, hozzáférés-ellenőrzési és eszközgazdálkodásra vonatkozó szabályzatok is.A GRC terület szakértői vagyunk.

Egy szervezet életében egy kiberbiztonsági incidens esetén a folyamatok leállása, az adatok kiszivárgása súlyos következményekkel járhat. Rengeteg bosszúság, időt és energiát igénylő tevékenységek, magyarázkodás stb. Nem beszélve a pénzügyi és reputációs veszteségről. Igen, nagyon fontos, hogy egy szervezet fel legyen készülve arra, hogy észlelje, izolálja, analizálja,ha támadás éri. Legyen terve az üzletmenet-folytonosságra, valamint a katasztrófa utáni helyreállításra és válságkezelésre.A gondos tervezésben kiberbiztonsági kollégáink segítenek.

Az üzletmenet-folytonossági és katasztrófa helyreállítási tervek az üzletmenet fenntartása érdekében létrehozott stratégiák és garanciák. A kritikus és kevésbé kritikus folyamatok azonosítását, azok elválasztását, kezelését jelenti, vészterveket a biztonsági mentés és helyreállítás folyamataira, esetleg alternatív áthidaló megoldásokra gondolva. A terveket rendszeresen tesztelni és frissíteni kell, ezáltal biztosítva egy szervezet rugalmasságát incidensek esetére. A BCP tervek készítése mély, szakértői tudást igényel, melyhez az ADAPTO módszertan szintén segítséget nyújt.

A kiberbiztonsági incidensek több mint 80%-a emberi mulasztás miatt következik be, vagy emberi hibára vezethető vissza. A NIS 2 alapvető kiberhigiéniai gyakorlatokat és kiberbiztonsági képzéseket ír elő, mert kiemelten fontos a munkavállalók megfelelő képzése és a biztonságos használati szokások kialakítása.Awareness képzésben gyakorlott munkatársaink szerepet vállalnak az oktatásban.

Egy szervezetre is igaz, hogy minden lánc olyan erős, mint a leggyengébb láncszem. Az ellátási lánc biztonságát, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat nem szabad figyelmen kívül hagyni.A pontos elemzéshez módszertanunk szolgál segítségül.

A proaktív védekezés mindig olcsóbb, mint a reaktív. A NIS 2 szintén előírja, hogy egy szervezet gondoskodjon a biztonságról a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét is. Így lesz hosszú távongarantálható a szervezetre vonatkozó védelmi szint. Az új kibervédelmi törvény márkötelezően „elköltendő” keretösszegeket határoz meg, amit a kibervédelemre kell fordítani.Költségkímélő, de hatékony ráfordítások tervezését szakértő szemmel támogatjuk.

Adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használatát követeli meg a NIS 2 a szervezeten belül, ezzel hozzájárulva a rendszer-, és kommunikációvédelemhez. Ennek felmérése információbiztonságifelkészültséget igényel.

Legfontosabb, hogy a szervezetek felismerjék az érintettségüket és bejelentkezzenek a hatósági nyilvántartásba. Szerencsés esetben ez mármegtörtént, de akkor sem kell megijedni, ha esetleg nem lettek betartva a határidők. A mulasztásos jogsértések miatti bírságolást, a szankcionálást 2024. október 18-tól alkalmazhatja az SZTFH, de a hatóság folyamat oldalról (vezetői attitűd) közelíti meg a kérdést.Kötelezettségmegszegéséért vagy a kötelezettség elmulasztásáért járó bírságot határozott meg a hatóság, ha elmarad a nyilvántartásba vétel. Mihamarabb keressen fel Bennünket!

A megfelelés után auditori vizsgálat következik. Ammenyiben az auditor mindent rendben talál, akkor a meglévő információbiztonsági keretrendszerünket fenn kell tartani:alkalmazni, felülvizsgálni, javítani. Vezetői elköteleződés menténkialakított rendszerrel azonban az információbiztonság szintje emelkedik, a felhasználók tudatosabbak, a rendszerek naprakészek, a védelem kézzelfogható. A kötelező auditok 2 éventeesedékesek, szakértőink segítenek a változások kezelésében, a folyamatos fejlesztésben és megfelelőség-értékelésben.

A NIS 2 a kiberbiztonság magasabb szintjét hozza el, uniós, hazai, szervezeti, de még felhasználói szinten is. A technológia rohamtempóban fejlődik, az élet minden szegmensében jelen van, de kontrollálatlanul veszélyt jelenthet. A követelménynek való megfelelés szükségszerű egy szervezet életében, hogy megvédje önmagát, adatait, rendszereit.A védelmi vonal megerősítésével, szabályozással, felhasználói oktatással és a gyakori felülvizsgálatokkal olyanbiztonságos és robosztus rendszer alakítható ki, amely ellenállóbbá teszi a szervezetet a fenyegetésekkel szemben a kibertérben.Keressen bennünket!