NIS2:

kritikus
infrastruktúrákon
innen és túl?

Pfeiffer Szilárd

Security Researcher & Evangelist

Mi a NIS2 és mi nem?

• A NIS2

  • irányelv (EU 2022/2555)

  • minden tagállam számára kötelező

  • magas szintű célkitűzéseket állapít meg

• Ami nem

  • hazai jogszabály

  • részletszabályok halmaza

  • végrehajtási rendelet

Miért kell a NIS2?

• Jelentősek az eltérések tagállamonként

  • követelmények típusa

  • részletességi szintje

  • felügyelet módja

• Hátrányt jelent

  • a nemzetközi cégekre

  • a határokon átnyúló szolgáltatások nyújtására

  • a felelős hatóságok közötti együttműködésre

  • a kiberbiztonsági ellenállóképesség
    általános szintjére

Mennyiben más a NIS2?

• Mi a cél?

  • kiküszöbölni a tagállamok közötti eltéréseket

  • lefektetni együttműködés kereteit

  • megállapítani a minimumszabályokat

• Mik a módszerek?

  • kibővített a hatókör

  • növekvő elvárási szint

  • hatékonyság növelése

    • aktív kommunikácó és információ áramlás

    •  jogorvoslatok és végrehajtás biztosítása

Hogy éri el a célt a NIS2?

• Alapvetésként

  • a teljes üzleti folyamatra kiterjed

  • egyenletesen magas szintet kíván

  • arányos, számon kérhető biztonságot ír elő

  • együttműködést kíván meg

• Újdonságként

  • fókuszál a beszállítói láncokra

  • korszerű módszerek használatára ösztönöz

  • figyelembe veszi humán faktort

  • hangsúlyozza a vezetői oktatást és felelősséget

Hogy kategorizál a NIS2?

• Ágazati kategóriák
  • kiemelten kritikus (high criticality)
    • energia, szállítás
    • bank, pénzügy
    • egészségügy, ivóvíz, szennyvíz
    • közigazgatás, digitális infrastruktúra, ...
  • egyéb kritikus (other critical)
    • élelmiszer-, vegyipar
    • gyártás (orvosi-, szállító eszköz, számítógép)
    • digitális szolgáltatók, posta

Hogy kategorizál a NIS2?

• Szervezeti kategóriák
  • Stratégiai alapú kategóriák
    • alapvető szolgáltatások (2016/1148 - NIS1)
    • kritikus szervezetek (2022/2557 - CER)
  • Méret alapú kategóriák
    • középvállalat

      • foglalkoztatottak száma 50 - 250 fő

        • és az éves árbevétel 10 - 50 millió €

        • és/vagy a mérlegfőösszeg < 43 millió €

    • nagyvállalat (large)

Hogy kategorizál a NIS2?

• Szabályozási kategóriák
  • alapvető (essential) és fontos (important)
  • szervezeti / ágazati kategória alapértelmezések
• Felülírások
  • digitális infrastruktúra alapvető szolgáltatói
  • központi kormányzat közigazgatási szervei
  • amit a tagállam ekképp azonosított
• Kizárások
  • nemzet-, közbiztonság, védelem, bűnüldözés
  • zárt rendszerek bizalmi szolgáltatói

Mit hoz még a NIS2?

• Nyílt forráskód és szabványok
  • szakpolitikák megalkotása
  • képesség a használat előmozdítására
• Nyilvános hálózatok
  • titkosítás (P2P) alkalmazásának előmozdítása
    • szükség esetén kötelezővé tétel
  • alapértelmezett és beépített biztonság és adatvédelem (privacy by default and by design)
  • a P2P titkosítás használatát össze kell egyeztetni a tagállamok alapvető biztonsági érdekeivel

Mit hoz még a NIS2?

• Sérülékenységek kezelése
  • eljárásokat kell kidolgozni
    • a felfedezéskori kezelésre
    • a harmadik felektől történő fogadásra
  • intézkedéseket kell hozni
    • az összehangolt közzététel megkönnyítésére
  • ösztönözni kell iránymutatások kidolgozását
    • a kutatók eljárás alá vonásának mellőzésére
    • tevékenységeik jogi felelősség alóli mentességére

Mit hoz még a NIS2?

• Sérülékenységek kezelése
  • európai sérülékenység-adatbázis
    • CSIRT feladatai
      • érintett szervezetek azonosítása
      • bejelentő segítése
        • kérésére anonimitás megőrzése
      • intézkedések végrehajtásának biztosítása
      • közzétételi ütemtervek megtárgyalása
    • ENISA feladatai
      • adatbázis kidolgozása és fenntartása

Mit hoz még a NIS2?

• Kiberhigiénia és tudatosság
  • tagállamok
    • oktatás és iránymutatás a polgároknak és a KKV-k részére
    • kiberhigiéniai tudatosság általános növelése
  • alapvető és fontos szervezetek
    • alapvető gyakorlatok (zero trust) alkalmazása
    • alkalmazottak kiberhigiéniai képzése
  • ENISA
    • értékelése, jelentés készítése

Mit hoz még a NIS2?

• Ellátási láncok
  • kritikus láncok biztonsági értékelése
    • ENISA, tagállamok, szervezetek
    • "hátsó ajtók", "lock in", ...
  • tagállamok
    • IKT termékek, szolgáltatások kiberbiztonsági követelményei a közbeszerzésekben
  • alapvető és fontos szervezetek
    • beszállítók kiberbiztonságának értékelése
    • kockázatkezelési intézkedések a szerződésekbe

Mit hoz a jövőben a NIS2?

• Radikális átalakulást?
  • NIS2
    • jelentősen kibővült hatókör
    • egységesen magas elvárási szint
    • számottevő szankciós lehetőségek
• Megfelelőségi minimumot?
  • GDPR
    • számottevő büntetések
    • felhasználói elégedetlenség

Köszönöm a figyelmet!

Questions?