Európai NIS2 irányelv
A NIS2 Irányelv, hivatalos nevén "A Hálózat- és Információbiztonsági Irányelv" 2022. december 27-én jelent meg az EU hivatalos lapjában, majd 2023. január 16-án lépett hatályba. Az üzleti vállalkozások és intézmények kiberbiztonságát és információbiztonságát szabályozza. Ezt az EU tagállamoknak 2024 októberig át kell ültetniük nemzeti jogkörükbe is.
NIS2 Irányelv szigorítja a kiberbiztonsági követelményeket és szankciókat annak érdekében, hogy harmonizálja és javítsa a tagállamok biztonsági szintjét. Szigorúbb követelményeket ír elő különböző ágazatokra, olyan témákat érintve, mint a kiberbiztonsági kockázatkezelés, ellenőrzés és monitorozás, incidenskezelés és üzletmenet-folytonosság. Emellett az irányelv a kiterjesztett hatálya miatt több szervezetet is magába foglal, amelyek vezetőségeire szigorúbb felelősségi szabályok vonatkoznak a jövőben.
Teljes név
- Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union
Háttér
- Válasz az eszkalálódó kibertámadásokra Európában
- A korábbi NIS irányelv tapasztalataira építve
Célkitűzések
- Az EU kritikus szervezeteinek és infrastruktúrájának védelme kibertámadásokkal szemben
- Egységesen magas biztonsági szint elérése az Európai Unió egész területén
Érintett szektorok és ágazatok Európában
"Kiemelten kritikus" szektorok és iparágak
- Közlekedés
- Energetika
- Egészségügy
- Pénzintézetek
- Közigazgatás
- Digitális infrastruktúra
- Ivóvíz, szennyvíz
- Pénzügyi piac
- Űripar
"Egyéb kritikus" szektorok és iparágak
- Postai és futárszolgáltatások
- Hulladékgazdálkodás
- Digitális szolgáltatók
- Élelmiszer
- Gyártás
- Vegyipar
- Kutatás
Idővonal
17. December 2022: A NIS2 irányelv 2022/2555 EU irányelvként való hivatalos közzététele
27. Október 2024: A tagállamoknak el kell fogadniuk és közzé kell tenniük a NIS2 irányelv betartásához szükséges követelményeket
17. Április 2025: A tagállamok létrehozzák a kiemelt és a fontos szervezetek listáját
17. Október 2027: A Bizottság felülvizsgálja az irányelv működését
Az érintett szervezetekre vonatkozó határidők
- A 2024. október 17-i határidő kizárólag a nemzeti jogba történő átültetésre vonatkozik
- Ez nem azt az időpontot jelöli, amelytől az új jogszabályoknak meg is kell felelniük
- Lesz egy végrehajtási időszak, amely elegendő időt ad majd az érintett szervezeteknek a nemzeti jogszabályoknak való megfelelőség elérésére
Mi történik, amennyiben nem felel meg a NIS2 irányelvnek?
Bírságok
- Azon vállalatok, amelyek nem képesek megfelelni a NIS2 által előírt irányelveknek, jelentős büntetést kockáztatnak attól függően, hogy kiemelt vagy fontos vállalatnak minősülnek
- Kiemelten kritikus vállalatokat minimum 10 millió eurós vagy a megelőző pénzügyi évben elért teljes globális éves forgalmuk 2%-val bírságolhatók
- Fontos vállalatok legalább 7 millió eurós vagy a megelőző pénzügyi évben elért teljes globális éves forgalmuk 1,4%-val bírságolhatók
Jogi következmények
- Amennyiben egy vállalat nem felel meg a NIS2 előírásainak, nem csak pénzügyi büntetést kockáztat, hanem adott esetben a vezetőségnek jogi következményekkel is szembe kell néznie
A NIS2 követelményeinek főbb területei
- A NIS kibervédelmi kockázatkezelés végrehajtásának felügyelete
- Kockázatkezelési és kibervédelmi képzéseken való részvétel
- Munkatársak számára rendszeres kibervédelmi képzés biztosítása
- Az előírások nem teljesítése esetén felelősségre vonás
- Kockázatcsökkentő stratégiák végrehajtása
- Az eseménykezelés és a beszállítói lánc biztonságának kihangsúlyozása, és a információs hálózat megerősítése
- Hozzáférési szabályozások javítása, és titkosítás használata
- Hatékony jelentési protokollok kialakítása
- 24 órán belüli jelentési kötelezettség az első riasztástól számítva az illetékes hatóságoknak / CSIRT-nek
- 72 órán belül részletes jelentés és értékelés a támadás súlyosságáról és annak hatásáról
- A végleges megoldás jelentése a levont tanulságokkal együtt 1 hónapon belül
- Kiemelten kritikus vállalatoknak az EU által tanúsított ICT termékek és szolgáltatások használatára való ösztönzése
- Beleértve a rendszer- helyreállítást, a vészhelyzeti eljárásokat és a válságkezelő csapat létrehozását
- Az EU- Bizottság meghatározza a szervezetek számára szükséges tanúsítványokat, illetve az azok megszerzéséhez tartozó határidőket
NIS2 kibervédelmi kockázatkezelési megfelelőség: kettős biztonsági megközelítés
- IT és OT biztonság integrálása a NIS2 irányelvnek való megfeleléshez (Integrating IT and OT)
- A szervezeteknek össze kell olvasztaniuk az információs technológia (IT) és az operatív technológia (OT) biztonsági stratégiáit. Az IT és OT egyesülésének köszönhetően megnövekedett támadási felületek miatt ez a biztonsági integráció is kulcsfontosságú, ezzel biztosítva a kibertámadások elleni védelmet és a folyamatok ellenállóképességét
- IEC 62443 szabvány az OT biztonsághoz
Ezen szabványok keretet szabnak az OT rendszerek védelméhez, különösen kritikus infrastruktúrák esetén. Az IEC 62443 betartása lehetővé teszi az OT-specifikus kockázatok proaktív kezelését, hatékony biztonsági intézkedések felállítását és az üzleti integritás fenntartását
- ISO 27001 Keretrendszer az IT biztonsághoz
- Ez a szabvány létfontosságú az IT biztonsági kockázatok szisztematikus kezeléséhez. Leírja az Információbiztonsági Menedzsment Rendszer (ISMS) követelményeit, amely biztosítja az adatvédelmet, és a jogi megfelelést, illetve strukturált módszert nyújt az IT-kockázatok értékelésére, kezelésére és csökkentésére.
Kiberbiztonsági kockázat csökkentésének eszközei
- Irányelvek a kockázatelemzésre és információs rendszerbiztonságra vonatkozóan
- Folyamatok definiálása rendszeres kockázatelemzéshez, illetve sebezhetőségek kiértékeléséhez
- Eszközök és szoftverek azonosítása, dokumentálása, és katalogizálása
- Jelenlegi biztonsági hiányosságok azonosítása és dokumentálása
- A belső infrastruktúra és meglévő biztonsági alkalmazások rutinszerű penetrációs tesztelése
- Az ISO 27001-es, a TISAX vagy egyéb szabványoknak megfelelő Információbiztonsági Menedzsment Rendszer (ISMS) bevezetése
- Incidenskezelési folyamat kialakítása, meglévő folyamat fejlesztése
- Üzletmenet folytonossága és válságkezelés (biztonsági mentések, katasztrófa menedzsment)
- Beszállítói lánc biztonsága - kibervédelmi követelmények betartatása a beszállítók felé
- Körültekintés az információs rendszerek beszerzésében, fejlesztésében és karbantartásában, ideértve a sebezhetőségek kezelését és felfedését is
- Irányelvek és eljárások felállítása a kibervédelmi kockázatkezelési intézkedések hatékonyságának értékelésére
- Alapvető kibertisztasági gyakorlatok és kibervédelmi képzés
- Irányelvek és folyamatok a kriptográfia területén, illetve ahol szükséges, titkosítás
- Emberi erőforrások megfelelő kiválasztása, hozzáférési irányelvek és eszközkezelés
- A többfaktoros azonosítás vagy folyamatos azonosítási megoldások, biztonságos telekommunikációs vészhelyzeti kommunikációs rendszerek használata szervezeten belül, ahol indokolt
Hogyan tud az msg-Plaut segíteni Önnek?
Stratégia kidolgozása a NIS2 tanúsítvány megszerzéséhez
Leegyszerűsítjük az Ön vállalata számára a NIS2 irányelvet, illetve segítünk a vállalat időrendjéhez és folyamataihoz illeszkedő terv kidolgozásában.
GAP-analízis és cselekvési lehetőségek
GAP-analízis segítségével meghatározzuk az Ön cégének állapotát a NIS2 irányelvekre vonatkozóan, és személyre szabott megoldásokkal segítünk a hiányosságok kezelésében.
Segítség a megfelelésben
Az első lépéstől az utolsóig számíthat szakembereink segítségére a NIS2 követelményeknek való megfelelés elérésében.
NIS2 tréningek
Képzésünkön csapata megkap minden fontos ismeretet, amely a NIS2 követelmények megértéséhez és implementálásához szükségesek.