NIS2:

kritikus
infrastruktúrákon
innen és túl?

Pfeiffer Szilárd

Security Researcher & Evangelist

NIS2:

kritikus
infrastruktúrákon
innen és túl?

Pfeiffer Szilárd

Security Researcher & Evangelist

Mi a NIS2 és mi nem?

  • A NIS2

    • irányelv (EU 2022/2555)

    • minden tagállam számára kötelező

    • magas szintű célkitűzéseket állapít meg

  • Ami nem

    • hazai jogszabály

    • részletszabályok halmaza

    • végrehajtási rendelet

Miért kell a NIS2?

  • Jelentősek az eltérések tagállamonként

    • követelmények típusa

    • részletességi szintje

    • felügyelet módja

  • Hátrányt jelent

    • a nemzetközi cégekre

    • a határokon átnyúló szolgáltatások nyújtására

    • a felelős hatóságok közötti együttműködésre

    • a kiberbiztonsági ellenállóképesség
      általános szintjére

Mennyiben más a NIS2?

  • Mi a cél?

    • kiküszöbölni a tagállamok közötti eltéréseket

    • lefektetni együttműködés kereteit

    • megállapítani a minimumszabályokat

  • Mik a módszerek?

    • kibővített a hatókör

    • növekvő elvárási szint

    • hatékonyság növelése

      • aktív kommunikácó és információ áramlás

      •  jogorvoslatok és végrehajtás biztosítása

Hogy éri el a célt a NIS2?

  • Alapvetésként

    • a teljes üzleti folyamatra kiterjed

    • egyenletesen magas szintet kíván

    • arányos, számon kérhető biztonságot ír elő

    • együttműködést kíván meg

  • Újdonságként

    • fókuszál a beszállítói láncokra

    • korszerű módszerek használatára ösztönöz

    • figyelembe veszi humán faktort

    • hangsúlyozza a vezetői oktatást és felelősséget

Hogy kategorizál a NIS2?

  • Ágazati kategóriák
    • kiemelten kritikus (high criticality)
      • energia, szállítás
      • bank, pénzügy
      • egészségügy, ivóvíz, szennyvíz
      • közigazgatás, digitális infrastruktúra, ...
    • egyéb kritikus (other critical)
      • élelmiszer-, vegyipar
      • gyártás (orvosi-, szállító eszköz, számítógép)
      • digitális szolgáltatók, posta

Hogy kategorizál a NIS2?

  • Szervezeti kategóriák
    • Stratégiai alapú kategóriák
      • alapvető szolgáltatások (2016/1148 - NIS1)
      • kritikus szervezetek (2022/2557 - CER)
    • Méret alapú kategóriák
      • középvállalat
        • foglalkoztatottak száma 50 - 250 fő

          • és az éves árbevétel 10 - 50 millió €

          • és/vagy a mérlegfőösszeg < 43 millió €

      • nagyvállalat (large)

Hogy kategorizál a NIS2?

  • Szabályozási kategóriák
    • alapvető (essential) és fontos (important)
    • szervezeti / ágazati kategória alapértelmezések
  • Felülírások
    • digitális infrastruktúra alapvető szolgáltatói
    • központi kormányzat közigazgatási szervei
    • amit a tagállam ekképp azonosított
  • Kizárások
    • nemzet-, közbiztonság, védelem, bűnüldözés
    • zárt rendszerek bizalmi szolgáltatói

Mit hoz még a NIS2?

  • Nyílt forráskód és szabványok
    • szakpolitikák megalkotása
    • képesség a használat előmozdítására
  • Nyilvános hálózatok
    • titkosítás (P2P) alkalmazásának előmozdítása
      • szükség esetén kötelezővé tétel
    • alapértelmezett és beépített biztonság és adatvédelem (privacy by default and by design)
    • a P2P titkosítás használatát össze kell egyeztetni a tagállamok alapvető biztonsági érdekeivel

Mit hoz még a NIS2?

  • Sérülékenységek kezelése
    • eljárásokat kell kidolgozni
      • a felfedezéskori kezelésre
      • a harmadik felektől történő fogadásra
    • intézkedéseket kell hozni
      • az összehangolt közzététel megkönnyítésére
    • ösztönözni kell iránymutatások kidolgozását
      • a kutatók eljárás alá vonásának mellőzésére
      • tevékenységeik jogi felelősség alóli mentességére

Mit hoz még a NIS2?

  • Sérülékenységek kezelése
    • európai sérülékenység-adatbázis
      • CSIRT feladatai
        • érintett szervezetek azonosítása
        • bejelentő segítése
          • kérésére anonimitás megőrzése
        • intézkedések végrehajtásának biztosítása
        • közzétételi ütemtervek megtárgyalása
      • ENISA feladatai
        • adatbázis kidolgozása és fenntartása

Mit hoz még a NIS2?

  • Kiberhigiénia és tudatosság
    • tagállamok
      • oktatás és iránymutatás a polgároknak és a KKV-k részére
      • kiberhigiéniai tudatosság általános növelése
    • alapvető és fontos szervezetek
      • alapvető gyakorlatok (zero trust) alkalmazása
      • alkalmazottak kiberhigiéniai képzése
    • ENISA
      • értékelése, jelentés készítése

Mit hoz még a NIS2?

  • Ellátási láncok
    • kritikus láncok biztonsági értékelése
      • ENISA, tagállamok, szervezetek
      • "hátsó ajtók", "lock in", ...
    • tagállamok
      • IKT termékek, szolgáltatások kiberbiztonsági követelményei a közbeszerzésekben
    • alapvető és fontos szervezetek
      • beszállítók kiberbiztonságának értékelése
      • kockázatkezelési intézkedések a szerződésekbe

Mit kíván ma a NIS2?

  • Érzékenyítés
  • Tervezés
    • méret és ágazat felmérése
    • pénzügyi és emberi erőforrások felmérése
  • Cselekvés
    • kiberhigiéniai fejlesztése
    • beszállítói láncok felmérése
  • Ellenőrzés
    • zero trust érettségi szint
    • meglévő folyamatok, eszközök

Mit hoz a jövőben a NIS2?

  • Radikális átalakulást?
    • NIS2
      • jelentősen kibővült hatókör
      • egységesen magas elvárási szint
      • számottevő szankciós lehetőségek
  • Megfelelőségi minimumot?
    • GDPR
      • számottevő büntetések
      • felhasználói elégedetlenség

Köszönöm a figyelmet!

Questions?

WITSEC - NIS2: kritikus infrastruktúrákon innen és túl?

By Szilárd Pfeiffer

WITSEC - NIS2: kritikus infrastruktúrákon innen és túl?

  • 160