EU NIS2:

bürokrácia
vagy
biztonság?

Pfeiffer Szilárd

Security Researcher & Evangelist

 EU NIS2:

bürokrácia
vagy
biztonság?

Pfeiffer Szilárd

Security Researcher & Evangelist

Mi a NIS2 és mi nem?

• A NIS2

  • irányelv (EU 2022/2555)

  • minden tagállam számára kötelező

  • magas szintű célkitűzéseket állapít meg

• Ami nem

  • hazai jogszabály

  • részletszabályok halmaza

  • végrehajtási rendelet

Miért kell a NIS2?

• Jelentősek az eltérések tagállamonként

  • követelmények típusa

  • részletességi szintje

  • felügyelet módja

• Hátrányt jelent

  • a nemzetközi cégekre

  • a határokon átnyúló szolgáltatások nyújtására

  • a felelős hatóságok közötti együttműködésre

  • a kiberbiztonsági ellenállóképesség
    általános szintjére

Mennyiben más a NIS2?

• Mi a cél?

  • kiküszöbölni a tagállamok közötti eltéréseket

  • lefektetni együttműködés kereteit

  • megállapítani a minimumszabályokat

• Mik a módszerek?

  • kibővített a hatókör

  • növekvő elvárási szint

  • hatékonyság növelése

    • aktív kommunikácó és információ áramlás

    •  jogorvoslatok és végrehajtás biztosítása

Hogy éri el a célt a NIS2?

• Alapvetésként

  • a teljes üzleti folyamatra kiterjed

  • egyenletesen magas szintet kíván

  • arányos, számon kérhető biztonságot ír elő

  • együttműködést kíván meg

• Újdonságként

  • fókuszál a beszállítói láncokra

  • korszerű módszerek használatára ösztönöz

  • figyelembe veszi humán faktort

  • hangsúlyozza a vezetői oktatást és felelősséget

Hogy kategorizál a NIS2?

• Ágazati kategóriák
  • kiemelten kritikus (high criticality)
    • energia, szállítás
    • bank, pénzügy
    • egészségügy, ivóvíz, szennyvíz
    • közigazgatás, digitális infrastruktúra, ...
  • egyéb kritikus (other critical)
    • élelmiszer-, vegyipar
    • gyártás (orvosi-, szállító eszköz, számítógép)
    • digitális szolgáltatók, posta

Hogy kategorizál a NIS2?

• Szervezeti kategóriák
  • Stratégiai alapú kategóriák
    • alapvető szolgáltatások (2016/1148 - NIS1)
    • kritikus szervezetek (2022/2557 - CER)
  • Méret alapú kategóriák
    • középvállalat

      • foglalkoztatottak száma 50 - 250 fő

        • és az éves árbevétel 10 - 50 millió €

        • és/vagy a mérlegfőösszeg < 43 millió €

    • nagyvállalat (large)

Hogy kategorizál a NIS2?

• Szabályozási kategóriák
  • alapvető (essential) és fontos (important)
  • szervezeti / ágazati kategória alapértelmezések
• Felülírások
  • digitális infrastruktúra alapvető szolgáltatói
  • központi kormányzat közigazgatási szervei
  • amit a tagállam ekképp azonosított
• Kizárások
  • nemzet-, közbiztonság, védelem, bűnüldözés
  • zárt rendszerek bizalmi szolgáltatói

Hogy ellenőriz a NIS2?

• Jelentéstételi kötelezettség jelentős eseményekről
  • alapvető és fontos szervezetek
    • 24 órán belül – korai előrejelzést
    • 72 órán belül – értékelését
      • súlyosság, hatás és fertőzöttség
    • kérésre: közbenső helyzetjelentés
    • 1 hónapon belül – zárójelentést
      • esemény részletes leírása
      • valószínű kiváltó ok/fenyegetés
      • alkalmazott mérséklési intézkedések

Hogy szankcionál a NIS2?

• Alapvető szervezetek
  • 10 millió euró, vagy a globális forgalom 2%-a
• Fontos szervezetek
  • 7 millió euró, vagy a globális forgalom 1,4%-a
• Alapvető és fontos szervezetek
  • időszakos kényszerítő bírság
• Közigazgatási szervek
  • tagállami döntés alapján

Mikor lép életbe a NIS2?

• Bizottság
  • 2023.01.16. – ágazatspecifikus pontosítások
  • 2024.10.17. – technikai és módszertani követelmények
• Tagállamok
  • 2024.10.17. – elfogadott és kihirdetett  rendelkezések az irányelvi megfeleléshez
  • 2024.10.18. – rendelkezések alkalmazása
  • 2025.04.17. – alapvető és fontos szervezetek, domain szolgáltatók jegyzéke

Mit ír még elő a NIS2?

• Tagállamok
  • nemzeti kiberbiztonsági stratégia létrehozása
    • teljeskörűség
      • ellátási láncok
      • sérülékenységek kezelése
      • fejlett technológiák, aktív kiberbiztonság
    • oktatás
      • kis- és mikróvállalkozások támogatása
      • polgárok kiberbiztonsági készségei
    • kutatás, fejlesztés

Mit ír még elő a NIS2?

• Alapvető és fontos szervezetek
  • elvek terén
    • "zéró bizalom" (zero trust)
  • alkalmazottak terén
    • felhasználói tudatosság növelése
    • kiberhigiéniai képzések
    • kiberbiztonsági képesség értékelése
  • vezetők terén
    • kötelező képzés
    • felelősségre vonhatóság

Mit ír még elő a NIS2?

• Alapvető és fontos szervezetek
  • beszállítók terén
    • termékeikbe és szolgáltatásaikba épített kiberbiztonsági kockázatkezelési intézkedések
    • kiberbiztonsági gyakorlataik általános minősége és rezilienciája
    • biztonságos fejlesztési eljárásaik

Mire ösztönöz a NIS2?

• Tagállamok
  • innovatív technológiák
    • alkalmazását, K+F tevékenységét
  • szabadon elérhető eszközök használatát
    • nyílt szabványok, nyílt forráskódú szoftverek
  • sérülékenységek közzétételének kultúráját
    • kutatók eljárás alá vonásának mellőzése
    • bejelentők okozott károk mellőzése
  • biztonságos európai DNS szolgáltatás
  • rendszeres önértékelést

Mire ösztönöz a NIS2?

• Alapvető és fontos szervezetek
  • kiberbiztonsági kockázatkezelési intézkedések
    • magában foglaló kockázatkezelési kultúrát
    • beépítését a közvetlen beszállítói és szolgáltatói szerződésekbe
  • ellátási láncokhoz kapcsolódó egyéb kockázatokkal szembeni intézkedések és
    bevált gyakorlatok

Mit kíván ma a NIS2?

• Érzékenyítés
• Tervezés
  • méret és ágazat felmérése
  • pénzügyi és emberi erőforrások felmérése
• Cselekvés
  • kiberhigiéniai fejlesztése
  • beszállítói láncok felmérése
• Ellenőrzés
  • zero trust érettségi szint
  • meglévő folyamatok, eszközök

Mit hoz a jövőben a NIS2?

• Radikális átalakulást?
  • NIS2
    • jelentősen kibővült hatókör
    • egységesen magas elvárási szint
    • számottevő szankciós lehetőségek
• Megfelelőségi minimumot?
  • GDPR
    • számottevő büntetések
    • felhasználói elégedetlenség

Köszönöm a figyelmet!

Questions?