EU NIS2:

bürokrácia
vagy
biztonság?

Pfeiffer Szilárd

Security Researcher & Evangelist

 EU NIS2:

bürokrácia
vagy
biztonság?

Pfeiffer Szilárd

Security Researcher & Evangelist

Mi a NIS2 és mi nem?

  • A NIS2

    • irányelv (EU 2022/2555)

    • minden tagállam számára kötelező

    • magas szintű célkitűzéseket állapít meg

  • Ami nem

    • hazai jogszabály

    • részletszabályok halmaza

    • végrehajtási rendelet

Miért kell a NIS2?

  • Jelentősek az eltérések tagállamonként

    • követelmények típusa

    • részletességi szintje

    • felügyelet módja

  • Hátrányt jelent

    • a nemzetközi cégekre

    • a határokon átnyúló szolgáltatások nyújtására

    • a felelős hatóságok közötti együttműködésre

    • a kiberbiztonsági ellenállóképesség
      általános szintjére

Mennyiben más a NIS2?

  • Mi a cél?

    • kiküszöbölni a tagállamok közötti eltéréseket

    • lefektetni együttműködés kereteit

    • megállapítani a minimumszabályokat

  • Mik a módszerek?

    • kibővített a hatókör

    • növekvő elvárási szint

    • hatékonyság növelése

      • aktív kommunikácó és információ áramlás

      •  jogorvoslatok és végrehajtás biztosítása

Hogy éri el a célt a NIS2?

  • Alapvetésként

    • a teljes üzleti folyamatra kiterjed

    • egyenletesen magas szintet kíván

    • arányos, számon kérhető biztonságot ír elő

    • együttműködést kíván meg

  • Újdonságként

    • fókuszál a beszállítói láncokra

    • korszerű módszerek használatára ösztönöz

    • figyelembe veszi humán faktort

    • hangsúlyozza a vezetői oktatást és felelősséget

Hogy kategorizál a NIS2?

  • Ágazati kategóriák
    • kiemelten kritikus (high criticality)
      • energia, szállítás
      • bank, pénzügy
      • egészségügy, ivóvíz, szennyvíz
      • közigazgatás, digitális infrastruktúra, ...
    • egyéb kritikus (other critical)
      • élelmiszer-, vegyipar
      • gyártás (orvosi-, szállító eszköz, számítógép)
      • digitális szolgáltatók, posta

Hogy kategorizál a NIS2?

  • Szervezeti kategóriák
    • Stratégiai alapú kategóriák
      • alapvető szolgáltatások (2016/1148 - NIS1)
      • kritikus szervezetek (2022/2557 - CER)
    • Méret alapú kategóriák
      • középvállalat
        • foglalkoztatottak száma 50 - 250 fő

          • és az éves árbevétel 10 - 50 millió €

          • és/vagy a mérlegfőösszeg < 43 millió €

      • nagyvállalat (large)

Hogy kategorizál a NIS2?

  • Szabályozási kategóriák
    • alapvető (essential) és fontos (important)
    • szervezeti / ágazati kategória alapértelmezések
  • Felülírások
    • digitális infrastruktúra alapvető szolgáltatói
    • központi kormányzat közigazgatási szervei
    • amit a tagállam ekképp azonosított
  • Kizárások
    • nemzet-, közbiztonság, védelem, bűnüldözés
    • zárt rendszerek bizalmi szolgáltatói

Hogy ellenőriz a NIS2?

  • Jelentéstételi kötelezettség jelentős eseményekről
    • alapvető és fontos szervezetek
      • 24 órán belül – korai előrejelzést
      • 72 órán belül – értékelését
        • súlyosság, hatás és fertőzöttség
      • kérésre: közbenső helyzetjelentés
      • 1 hónapon belül – zárójelentést
        • esemény részletes leírása
        • valószínű kiváltó ok/fenyegetés
        • alkalmazott mérséklési intézkedések

Hogy szankcionál a NIS2?

  • Alapvető szervezetek
    • 10 millió euró, vagy a globális forgalom 2%-a
  • Fontos szervezetek
    • 7 millió euró, vagy a globális forgalom 1,4%-a
  • Alapvető és fontos szervezetek
    • időszakos kényszerítő bírság
  • Közigazgatási szervek
    • tagállami döntés alapján

Mikor lép életbe a NIS2?

  • Bizottság
    • 2023.01.16. – ágazatspecifikus pontosítások
    • 2024.10.17. – technikai és módszertani követelmények
  • Tagállamok
    • 2024.10.17. – elfogadott és kihirdetett  rendelkezések az irányelvi megfeleléshez
    • 2024.10.18. – rendelkezések alkalmazása
    • 2025.04.17. – alapvető és fontos szervezetek, domain szolgáltatók jegyzéke

Mit ír még elő a NIS2?

  • Tagállamok
    • nemzeti kiberbiztonsági stratégia létrehozása
      • teljeskörűség
        • ellátási láncok
        • sérülékenységek kezelése
        • fejlett technológiák, aktív kiberbiztonság
      • oktatás
        • kis- és mikróvállalkozások támogatása
        • polgárok kiberbiztonsági készségei
      • kutatás, fejlesztés

Mit ír még elő a NIS2?

  • Alapvető és fontos szervezetek
    • elvek terén
      • "zéró bizalom" (zero trust)
    • alkalmazottak terén
      • felhasználói tudatosság növelése
      • kiberhigiéniai képzések
      • kiberbiztonsági képesség értékelése
    • vezetők terén
      • kötelező képzés
      • felelősségre vonhatóság

Mit ír még elő a NIS2?

  • Alapvető és fontos szervezetek
    • beszállítók terén
      • termékeikbe és szolgáltatásaikba épített kiberbiztonsági kockázatkezelési intézkedések
      • kiberbiztonsági gyakorlataik általános minősége és rezilienciája
      • biztonságos fejlesztési eljárásaik

Mire ösztönöz a NIS2?

  • Tagállamok
    • innovatív technológiák
      • alkalmazását, K+F tevékenységét
    • szabadon elérhető eszközök használatát
      • nyílt szabványok, nyílt forráskódú szoftverek
    • sérülékenységek közzétételének kultúráját
      • kutatók eljárás alá vonásának mellőzése
      • bejelentők okozott károk mellőzése
    • biztonságos európai DNS szolgáltatás
    • rendszeres önértékelést

Mire ösztönöz a NIS2?

  • Alapvető és fontos szervezetek
    • kiberbiztonsági kockázatkezelési intézkedések
      • magában foglaló kockázatkezelési kultúrát
      • beépítését a közvetlen beszállítói és szolgáltatói szerződésekbe
    • ellátási láncokhoz kapcsolódó egyéb kockázatokkal szembeni intézkedések és
      bevált gyakorlatok

Mit kíván ma a NIS2?

  • Érzékenyítés
  • Tervezés
    • méret és ágazat felmérése
    • pénzügyi és emberi erőforrások felmérése
  • Cselekvés
    • kiberhigiéniai fejlesztése
    • beszállítói láncok felmérése
  • Ellenőrzés
    • zero trust érettségi szint
    • meglévő folyamatok, eszközök

Mit hoz a jövőben a NIS2?

  • Radikális átalakulást?
    • NIS2
      • jelentősen kibővült hatókör
      • egységesen magas elvárási szint
      • számottevő szankciós lehetőségek
  • Megfelelőségi minimumot?
    • GDPR
      • számottevő büntetések
      • felhasználói elégedetlenség

Köszönöm a figyelmet!

Questions?

EU NIS2 bürokrácia vagy biztonság?

By Szilárd Pfeiffer

EU NIS2 bürokrácia vagy biztonság?

  • 224