NIS2:

Megfelelőség vagy radikális átalakulás?

Pfeiffer Szilárd

Security Researcher & Evangelist

Mi a NIS2 és nem?

  • A NIS2

    • irányelv (EU 2022/2555)

    • minden ország számára kötelező

    • célkitűzéseket állapít meg

  • Ami nem

    • hazai jogszabály

    • részletszabályok halmaza

    • végrehajtási rendelet

Miért kell a NIS2?

  • Jelentősek az eltérések

    • követelmények típusa

    • részletességi szintje

    • felügyelet módja

  • Hátrányt jelent

    • a nemzetközi cégek számára

    • a határokon átnyúló szolgáltatások nyújtására

    • a kiberbiztonsági ellenállóképesség szintjére

    • a felelős hatóságok közötti együttműködésre

Mennyiben más a NIS2?

  • Mi a cél?

    • kiküszöbölni a tagállamok közötti eltéréseket

    • megteremteni egy  szabályozási keretet

    • megállapítani a minimumszabályokat

  • Mik a módszerek?

    • kibővített a hatőkör

      • ágazatok és tevékenységek

    • hatékonyság növelése

      •  jogorvoslatok és végrehajtás biztosítása

Kire vonatkozik a NIS2?

  • középvállalat

    • foglalkoztatottak száma

      • 50 - 250 fő

    • és az éves árbevétel

      • 10 - 50 millió euró (4 - 18 milliárd forint)

    • és/vagy az éves mérlegfőösszeg

      • <43  millió euró (<16 milliárd forint)

  • nagyvállalat

    • fentieket meghaladó értékek

Hogy kategorizál a NIS2?

  • Alapvető (essential) szervezetek
    • bizalmi és elektronikus hírközlési szolgáltatók
      • a minősített bizalmi szolgáltatók
      • doménnév-nyilvántartók
      • DNS-szolgáltatók
      • hírközlő hálózatok szolgáltatói
      • hírközlési szolgáltatásokat nyújtók
    • közigazgatási szervek
      • központi
      • regionális

Hogy kategorizál a NIS2?

  • Alapvető (essential) szervezetek
    • kritikus szervezetek (2022/2557)
      • ...
      • közlekedés, tömegközlekedés
      • ivóvíz, szennyvíz
      • élelmiszer-előállítás, -feldolgozás és -forgalmazás
    • NIS 1 (2016/1148) alapvető szolgáltatás
    • bármely egyéb szervezet, amit a tagállam alapvető szervezetként azonosított

Hogy kategorizál a NIS2?

  • Fontos (important) szervezetek
    • melléklet II.
      • postai és futárszolgáltatások
      • hulladékgazdálkodás
      • vegyszer-gyártás, -előállítás és -forgalmazás
      • élelmiszer-termelés, -feldolgozás és -forgalmazás
      • gyártás     
      • digitális szolgáltatók
      • kutatás
      • ...

Mit ír elő a NIS2?

  • Alapvetésként

    • a teljes üzleti folyamatra kiterjedő

    • egyenletesen magas szintű

    • arányos, számon kérhető biztonságot

    • és együttműködést

  • Újdonságként

    • beszállítói láncokra fókuszálást

    • humán faktor figyelembe vételét

    • nemzetközi együttműködést

Hogy ellenőriz a NIS2?

  • Jelentéstételi kötelezettség jelentős eseményekről
    • alapvető és fontos szervezetek
      • 24 órán belül – korai előrejelzést
      • 72 órán belül – értékelését
        • súlyosság, hatás és fertőzöttség
      • kérésre: közbenső helyzetjelentés
      • 1 hónapon belül – zárójelentést
        • esemény részletes leírása
        • valószínű kiváltó ok/fenyegetés
        • alkalmazott mérséklési intézkedések

Hogy szankcionál a NIS2?

  • Alapvető szervezetek
    • 10 millió euró, vagy a globális forgalom 2%-a
  • Fontos szervezetek
    • 7 millió euró, vagy a globális forgalom 1,4%-a
  • Alapvető és fontos szervezetek
    • időszakos kényszerítő bírság
  • Közigazgatási szervek
    • tagállami döntés alapján

Mikor lép életbe a NIS2?

  • Bizottság
    • 2023.06.17. – ágazatspecifikus pontosítások
    • 2024.10.17. – technikai és módszertani követelmények
  • Tagállamok
    • 2024.10.17. – elfogadott és kihirdetett  rendelkezések az irányelvi megfeleléshez
    • 2024.10.18. – rendelkezések alkalmazása
  • Szervezetek
    • 2025.01.17. – alapinformációk szolgáltatása

Mit ír még elő a NIS2?

  • Tagállamok
    • nemzeti kiberbiztonsági stratégia létrehozása
      • kis- és középvállalatok igényi
      • aktív kiberbiztonság
      • IKT termékek/szolgáltatások ellátási láncai
      • sérülékenységek kezelése
      • fejlett technológiák használata
      • kiberbiztonsági készségek oktatása
      • K+F tevékenység ösztönzése
      • információ megosztás támogatása
      • ...

Mit ír még elő a NIS2?

  • Alapvető és fontos szervezetek
    • kiberhigiéniai gyakorlatok széles skálája
      • "zéró bizalom" (zero trust) elvek
      • felhasználói tudatosság növelése
      • kiberhigiéniai képzés az alkalmazottaknak
      • saját kiberbiztonsági képességek
        értékelése
      • ...

Mire ösztönöz a NIS2?

  • Tagállamok
    • innovatív technológiák
      • alkalmazását, K+F tevékenységét
    • szabadon elérhető eszközök használatát
      • nyílt szabványok, nyílt forráskódú szoftverek
    • sérülékenységek közzétételének kultúráját
      • kutatók eljárás alá vonásának mellőzése
      • bejelentők okozott károk mellőzése
    • biztonságos európai DNS szolgáltatás
    • rendszeres önértékelést

Mire ösztönöz a NIS2?

  • Alapvető és fontos szervezetek
    • kiberbiztonsági kockázatkezelési intézkedések
      • magában foglaló kockázatkezelési kultúrát
      • beépítését a közvetlen beszállítói és szolgáltatói szerződésekbe
    • ellátási láncokhoz kapcsolódó egyéb kockázatokkal szembeni intézkedések és
      bevált gyakorlatok

Mit hoz a NIS2?

  • Radikális átalakulást?
    • jelentősen kibővült hatókör
    • komoly elvárások
    • erőteljes szankciós lehetőségek
  • Megfelelőségi minimumot?
    • GDPR
      • cookie consent
      • számottevő büntetések

Köszönöm a figyelmet!

Questions?

NIS2: Megfelelőség vagy radikális átalakulás?

By Szilárd Pfeiffer

NIS2: Megfelelőség vagy radikális átalakulás?

  • 314