Alapvetések

Az EU NIS 2 irányelvének hazai implementációja a 2023. évi XXIII. törvény „a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”. Ez a törvény előírja, hogy „Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor … által kiberbiztonsági auditot végeztetni.”  

Valamint, hogy „Az érintett szervezet köteles

23. a nyilvántartásba vételét követő 120 napon belül a 23. § (1) bekezdése szerinti kiberbiztonsági audit elvégzésére a 23. § (6) bekezdése szerinti nyilvántartásban szereplő auditorral megállapodást kötni, és
24. a 23. § (1) bekezdése szerinti kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni.”

DE: a törvény átmeneti rendelkezési között szerepel az is, hogy „30. § (5) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.”

Ezzel azért gond lesz. (Később is, de 2025 folyamán biztosan)

Ugye az audit előtt az érintett szervezeteknek, cégeknek fel is kell készülniük az auditra, ami idő (és pénz). A törvény viszonylag friss, és az elvárások részletezése a 7/2024-es MK rendeletben lett publikálva, ami 2024 június 25-én jelent meg, ettől a naptól hatályos. A törvényjavaslat ugyan már februárban publikus volt, de erre azért nem lehetett teljes mértékben alapozni…

Nyilván az érintett szervezetek mindegyike már eddig is foglalkozott kiberbiztonsággal, megpróbálta eddig is biztonságosra építeni a rendszerét a saját jól felfogott érdekei miatt, de a 7/2024-es MK rendeletet akkor is alaposan át kell mindenkinek néznie, a hiányosságokat pótolni, a dokumentációkat pontosítani.

Ezt a felkészülést jó esetben 2024 őszén már elkezdik, de már az érintettek méretei és komplexitása miatt is ez igencsak időigényes munka. Azaz, nagyon jó esetben 2025 elejétől lehetnek készen az auditra.

Ugyanakkor a hazai viszonyokat ismerve, azt is tudja mindenki, hogy az auditot minden érintett 2025 őszén szeretné elvégeztetni…

És akkor a számokról…

A hatóság becslései szerint 2500-3000 szervezet lehet érintett a NIS 2 jogszabállyal, de mint többször elmondták „senkit sem szeretnének elengedni”. Azaz, például a 2013. L. törvény által érintett szervezeteket sem…

Állítólag 2024 novemberéig már közel 4000 (3800?) szervezet vétette magát nyilvántartásba.

A nyilvántartásba kerülő szervezetek számának felső határára igen szélsőséges becslések vannak, amik akár 6-8000-es számot is elérhetik. Ha a 2013. L. törvény hatálya alá tartozó szervezeteket is ide sorolják, akkor jóóóval több.

A hatóság 2024 novemberéig nyolc cégnek engedélyezte a NIS 2 auditálás lehetőségét. Ebből egyetlen cég jogosult a „magas” biztonsági osztályba sorolt szervezetek auditálásra.

Ezeknek a cégeknek a kötelezően publikált utolsó mérlegeik szerint mintegy 650-680 alkalmazottja lehet összesen. Ebből az Ernst & Young Tanácsadó Korlátolt Felelősségű Társaság 536 alkalmazottja jelenti a legnagyobb létszámot, de ezen kollégák döntő többsége pénzügyi szakember, könyvvizsgáló. A többi regisztrált auditor teljes alkalmazotti létszámából is nyugodtan le lehet vonni a titkárnőket, jogászokat, ügyvezetőket, juniorokat, hardveres kollégákat, belső rendszergazdákat, stb. Ráadásul azon szakembereik száma, akik érdemben és korrektül le tudnak folytatni egy-egy ilyen NIS 2 auditot igencsak szűk lehet.

Jóindulattal talán 70-80 ilyen szakember lehet a nyolc auditor cégnél összesen.

Ezek az auditor cégek különben tényleg jók, komoly szakemberekkel, szakértői gárdával, és igen komoly szoftveres támogatással végzik a munkájukat. Szakmailag nagyon nehéz lenne beléjük kötni, még nemzetközi szinten is.

Vegyük most a minimális érintetti (nyilvántartásba jelentkezett) számot (!!), mondjuk „csak” 3500 szervezetet.

Ez esetben, a nyolc auditor cég, egyenként közel 450 céget kellene hogy auditáljon, ennyivel kellene szerződnie már 2024 végéig!

HA auditoronként egyenlően oszlanának el a megfelelő szakemberek, akkor cégenként 8-10 auditor kellene, hogy átvizsgáljon legfeljebb egy év alatt, cégenként durván 450 szervezetet.

HA auditoronként egyenlően oszlanának el a megbízások. De nyilván a világ nem így működik. Első lépésben rögtön az auditorok minősítési szintje is vízválasztó. A hatóság becslése szerint a regisztrált szervezetek mintegy 60%-a lesz „alap” szintű biztonsági osztályba besorolt. Ha ez igaz, akkor talán 20-25% lesz „magas” biztonsági osztályba besorolt. Azaz hét cég „osztozik” legalább 2-2500 érintett szervezeten, és egyetlen cég kellene, hogy leauditáljon 2025-ben legalább 7-800 „magas” biztonsági osztályba besorolt szervezetet.

Természetesen párhuzamosan is végezhető audit, de a közel 30 évnyi saját audit tapasztalataink után tudjuk: 2-3 cégnél többet egyszerre nem lehet felelősséggel és megfelelő odafigyeléssel vállalnia egy-egy csapatnak.

De van egy további rossz hír: ezek az auditor cégek eddig is igen jól működtek, igen komoly terheléssel, sok munkával, megrendelővel. Nem véletlenül, ezek tényleg jó és komoly cégek! Hova fogják „beilleszteni” a most hirtelen megjelenő többszáz új ügyfelet, audit munkát??

Még ha lesz is átfedés az eddigi ügyfélkörükkel: bővülhetnek, felvehetnek új alkalmazottakat? Még egyszer: olyan szakember, aki a NIS 2 rendelet szerinti auditot komolyan és felelősségteljesen el tudja végezni, megfelelő tapasztalattal rendelkezik, eleve nem sok van. Főleg nem olyan, aki munka nélküli, vagy esetleg váltani szeretne… Azaz: ez a lehetőség is igencsak korlátozott, érdemben nem változtat a terhelésen. És mi van, ha ezt a matekot az auditorok is elvégzik, és nem lesznek hajlandóak ekkora terheléssel és nyomás alatt dolgozni folyamatosan, esetleg azt mondják, hogy ez szakmailag számukra vállalhatatlan és kilépnek?

A NIS2 aggályok összesítve

2025-ben 252 munkanap lesz.

4-5-600-?? szervezetet kellene egy auditor cégnek átvilágítania nagyjából 252 munkanap alatt?

• HA tényleg lenne mondjuk mindenkinek 8-10-12 megfelelő szakembere erre a feladatra, akkor 2500-3000 „auditornap” lenne egy-egy auditor cégnek egy évben 5-600 szervezetre, és
• HA három szervezetet auditálna minden szakembere párhuzamosan, és
• HA egyenletesen oszlana el a terhelés mind megrendelői számban mind az év során, és
• HA semmi mást nem csinálnának 2025-ben (!) csak NIS 2 auditot
  • (azért ez elég sok „ha”)

akkor: tíz-tizenöt munkanaponta minden cég minden egyes szakembere három érintett szervezetet párhuzamosan

• elkezd,
• meglévő anyagokat begyűjt,
• átnéz,
• többszáz oldalnyi szabályzatokat átolvas,
• az MK rendelet követelményeivel összevet,
• a NIS2 2024/2690 végrehajtási rendeletével összevet,
• hiányosságokra/pontatlanságokra rákérdez,
• pótol,
• jelentést ír,
• ellenőriz,
• átad,
• post-audit meeting,
• lezár.

Igen, a fenti számok elég bizonytalanok, emiatt nyilván a levezetés is pontatlan, de a nagyságrendek stimmelnek, és a kérdés is jogosan vetődik fel: ezek vajon milyen minőségű vizsgálatok lesznek?

Ráadásul a fentiek azzal a feltételezéssel igazak, hogy minden érintett szervezet minden kapcsolattartója azonnal küld minden anyagot, minden kérdésre-kérésre azonnal válaszol, nincs várakozás/késedelem, a teljes 2025-ös naptári év minden munkanapjának minden perce optimálisan ki lesz használva, stb. Az év során egyetlen projektben egyetlen nap csúszás sincs… ????

Mivel a terhelés nyilván nem lesz egyenletes, ez nem lesz „standard normális eloszlású”, tehát 2025 második felétől fokozatosan fog nőni a terhelés, és ennek megfelelően tovább fog csökkenni a minőség…

 Ja, és ez "csak" az audit. Mikor és hogy fognak az érintett cégek felkészülni? Ki fog nekik segíteni?

nuce.hu

A NIS 2 felkészülés első lépéseként jellemzően a „GAP elemzést” szokták javasolni, de mi is ez pontosan?

A NIS 2 irányelv szerinti GAP elemzés egy módszertan, egy olyan munka amely segít azonosítani az adott szervezet jelenlegi megfelelőségi szintjét az Európai Unió új, kiberbiztonsági követelményeket meghatározó NIS 2 irányelvével szemben.

A GAP elemzés lényege, hogy feltárja az eltéréseket (angolul: gaps) a szervezet jelenlegi gyakorlatai és a rendelet által előírt követelmények között. Ez a folyamat előkészíti a szükséges megfelelőségi intézkedések végrehajtását.

Konkrét lépések a NIS 2 szerinti GAP elemzéshez:

1. Szervezet tevékenységi körének elemzése

• Eldönteni, hogy a szervezet a NIS 2 által érintett szektorok és szolgáltatások (pl. alapvető szolgáltatások, kritikus infrastruktúrák, digitális szolgáltatók) közé tartozik-e. Ehhez több helyen, például a hatósági oldalon is találunk segítséget.
• Azonosítani a releváns kritériumokat, például méret (KKV vagy nagyvállalat), tevékenységi kör, kockázati profil.

2. NIS 2 követelmények feltérképezése

• Az irányelv elvárásai:
• Kockázatkezelési elvárások: Biztonsági irányítás, incidenskezelés, kiberhigiénia.
• Szabályozási követelmények: Jelentési kötelezettségek, auditálás.
• Műszaki és szervezeti intézkedések: Például hálózati biztonság, adatszivárgás megelőzése, incidensérzékenység.

3. Jelenlegi állapot felmérése

• Meg kell vizsgálni a meglévő biztonsági és kockázatkezelési folyamatokat, technológiákat, és irányelveket.
• Fel kell mérni, hogy a meglévő szabályozások (pl. IBSZ, BCP/DRP, GDPR, ISO 27001) mennyire támogatják a NIS 2 megfelelést.

4. Eltérések (GAP-ek) azonosítása

• A fenti munkák után össze lehet vetni a meglévő állapotot a NIS 2 követelményekkel.
• Azonosítani kell a hiányosságokat mind technológiai, mind szervezeti szinten (pl. hiányzó biztonsági szabályzatok, nem megfelelő incidenskezelési folyamatok).

5. Kockázatelemzés

• Prioritás szerint kell osztályozni az azonosított eltéréseket a kockázati hatásuk és valószínűségük alapján.
• El kell dönteni, mely területek igényelnek azonnali beavatkozást.

6. Javító intézkedési terv kidolgozása

• Fontos egy részletes akcióterv (cselekvési terv, ütemterv stb.) kidolgozása a hiányosságok megszüntetésére:
• Felelősök kijelölése.
• Határidők meghatározása.
• Erőforrásigények kalkulálása.

7. Kommunikáció és tudatosság növelése

• Tájékoztatni kell az érintett vezetőket és csapatokat a GAP elemzés eredményeiről.
• Képzéseket kell indítani a NIS 2 elvárásokról és az új folyamatokról. Nem egyet, hanem feladatkörönként/szerepkörönként, döntési szintenként, érintettségek alapján.

8. Folyamatos nyomon követés

• Rendszeres ellenőrzéseket és felülvizsgálatokat kell végezni, hogy biztosítani lehessen a megfelelő előrehaladást.
• Folyamatos kockázatkezelési eljárásokat kell alkalmazni.
• Különös tekintettel kell lenni a folyamatokba beépíthető, kockázatokkal arányos kontrollokra és az automatizálhatóságra.

Eredmény

A GAP elemzés végén világos képet lehet kapni arról, hogy milyen hiányosságok vannak a jelenlegi gyakorlatok és a NIS 2 megfelelési követelmények között, valamint konkrét lépések listája készül, amelyek szükségesek ezek áthidalásához.

Kiegészítő javaslatok

• Érdemes külső tanácsadót bevonni, különösen akkor, ha a szervezet nem rendelkezik megfelelő belső szakértelemmel a NIS 2 megfelelés érdekében.
• Kombinálni lehet természetesen a GAP elemzést más auditokkal (pl. GDPR, ISO 27001), a szinergiák kihasználása érdekében.

nuce.hu

A NIS 2 irányelvre való felkészülés minden szervezetre más, egyedi, cég-specifikus, de talán a következők lehetnek a leggyakoribb lépések:

Felmérés és megfelelőség megértése: Értékelni a vállalat aktuális megfelelőségi szintjét a NIS 2 irányelvvel kapcsolatban. Ez a jogi követelmények áttekintése mellett annak megértését is jelenti, hogy mely kritikus infrastruktúrák érintettek, és milyen adatvédelmi, kiberbiztonsági intézkedések szükségesek.

1. Célkitűzések meghatározása: Kitűzni a (reális!) célokat a megfelelés érdekében, beleértve az adatbiztonságot, a kiberbiztonsági kockázatok csökkentését, és az incidenskezelés javítását.
2. Részletes kockázatelemzés készítése: Azonosítani a lehetséges sebezhetőségeket és fenyegetéseket, amelyek befolyásolhatják az IT rendszereket és az adatbiztonságot. Az elemzés segít meghatározni azokat a területeket, ahol nagyobb védelem szükséges.
3. Biztonsági protokollok és irányelvek frissítése: Gondoskodni arról, hogy a jelenlegi protokollok megfeleljenek a NIS 2 követelményeinek. Az irányelv megköveteli a magas szintű védelmi intézkedések alkalmazását, ideértve a hozzáférés-szabályozást, titkosítást, és adatbiztonságot.
4. Képzések szervezése: Érdemes oktatásokat tartani az alkalmazottak számára a NIS 2 előírásairól és az új biztonsági intézkedésekről. Az emberi tényező fontos, mert a legtöbb kibertámadás belső hibák miatt sikeres.
5. Incidenskezelési terv kidolgozása: A NIS 2 megköveteli az incidenskezelésre vonatkozó terv meglétét, ami tartalmazza a bejelentési kötelezettségeket is. Világos, érthető folyamatot kell kialakítani, amelyek segítségével azonnal reagálni lehet egy támadásra.
6. Beszállítók ellenőrzése: A NIS 2 egyik újítása, hogy az érintett beszállítóinknak is meg kell felelniük a rendeletnek. 2023. évi XXIII. trv.: 8. Alapvető követelmények, 19. § (4) „Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a (3) bekezdés szerinti követelményeknek a közreműködő esetében is teljesülniük kell.”
7. Folyamatos monitorozás és auditálás: Elő kell készíteni a rendszeres auditálás és a biztonsági rendszer folyamatos monitorozásának folyamatát. A NIS 2 megköveteli a rendszerek folyamatos felügyeletét a potenciális fenyegetések és rendellenességek észlelésére.
8. Kommunikációs protokollok kidolgozása: Biztosítani, hogy a belső és külső kommunikáció egyértelmű és gyors legyen az esetleges incidensek és események kezelése során.

nuce.hu

A NIS 2 irányelvnek való megfelelés előkészítésének költsége számos tényezőtől függ, mivel a jogszabályi megfelelés sokrétű feladatokat igényel. Az alábbiakban összefoglaljuk a legfontosabb tényezőket, amelyek befolyásolhatják a felkészítés árát:

1. Szervezet mérete és tevékenységi köre: A nagyobb szervezeteknél több adatot, eszközt és infrastruktúrát kell védeni, így a felkészítés költségei is magasabbak lehetnek. Az iparági kockázat, például a pénzügyi szektor vagy kritikus infrastruktúra esetében, különleges követelményeket támaszthat.

2. Jelenlegi IT-biztonsági érettségi szint: Ha egy szervezetnek már jól kiépített kiberbiztonsági rendszerei vannak, akkor kevesebb erőforrást kell befektetni az alapok kialakítására. Az érettségi szint megállapítása audit segítségével történik, amely feltárja a jelenlegi helyzetet és hiányosságokat.

3. Compliance követelmények és kockázatelemzés: A NIS 2 szabályozás megfelelési követelményei eltérőek lehetnek az adott szervezet kockázati profilja alapján. Egy alapos kockázatelemzés azonosítja a legfontosabb fenyegetéseket, és segít meghatározni azokat a területeket, ahol a legnagyobb szükség van fejlesztésekre.

4. Biztonsági technológiák és megoldások: A megfelelő eszközök és technológiák telepítése, például tűzfalak, behatolásérzékelő rendszerek, SIEM rendszerek, vagy akár mesterséges intelligencia alapú elemzők, jelentős költséget jelenthetnek.

5. Szabályozások és házirendek frissítése: A NIS 2 követelményeinek megfelelő új szabályzatok és eljárások kidolgozása is erőforrásokat igényel, különösen, ha a szervezetnél eddig nem voltak kifinomult belső szabályozások.

6. Személyzet képzése: A szervezet munkavállalóinak kiberbiztonsági képzése is a felkészítés része. Ez biztosítja, hogy mindenki tisztában legyen a szabályokkal, és felismerje a kockázatokat.

7. Folyamatos monitorozás és tesztelés: A megfelelés nem egyszeri feladat, folyamatos kiberbiztonsági monitoring és rendszeres sérülékenységi tesztek szükségesek. Az ilyen típusú állandó felügyelet rendszeres költségeket jelenthet, akár belső, akár külső szolgáltatót alkalmaznak.

A konkrét költségek ezért jelentősen eltérhetnek, és a felkészítés terjedelmétől függően alakulhatnak: a kisebb szervezetek számára milliós nagyságrendű, míg a nagyvállalatok számára akár sok millió forintos költségekkel is járhat a felkészülés.

nuce.hu 

A NIS 2 irányelvnek való megfelelés előkészítése fontos és összetett folyamat, amely megköveteli, hogy az adott cég rendelkezzen a szükséges szakértelemmel és tapasztalattal az információbiztonsági és kiberbiztonsági szabályozások terén.

A legfontosabb szempontok, amelyek alapján érdemes kiválasztani a megfelelő partnert:

1. Tapasztalat és referenciák: A cég korábbi munkái, referenciái, valamint az iparág-specifikus tapasztalatok sokat elárulnak a kompetenciáiról. Rá lehet kérdezni, hogy dolgoztak-e már NIS 1 vagy más biztonsági szabályozásoknak való megfeleléssel.
2. Szaktudás és minősítések: Meg kell győződni arról, hogy rendelkeznek a NIS 2 megfeleléshez szükséges tanúsítványokkal, pl. CISA, ISO/IEC 27001 vagy más információbiztonsági és kiberbiztonsági minősítésekkel, valamint naprakész információkkal és képzésekkel.
3. Személyre szabott megközelítés: A cég rugalmassága és képessége az egyedi igényekhez igazodó megoldások nyújtására kiemelten fontos. Az NIS 2 előírások eltérő hatással lehetnek különböző szervezetekre, így fontos, hogy a szolgáltató odafigyeljen a megrendelőre és jól megértse az adott vállalat igényeit és környezetét.
4. Komplett szolgáltatások és technológiai háttér: Az ideális partner képes teljes körű támogatást nyújtani az előkészületek, az auditok, a megfelelőségi dokumentációk elkészítése, valamint a kiberbiztonsági folyamatok implementálása és folyamatos felügyelete terén.
5. Compliance és jogi háttértámogatás: A NIS 2 irányelv számos jogi előírást és megfelelőségi követelményt támaszt, így érdemes olyan partnert választani, aki nemcsak a technológiai, hanem a jogi háttérben is otthonosan mozog, vagy akár jogi szakértőket is bevon.
6. Támogatás és karbantartás: Olyan céget kell keresni, aki a megfelelőség elérése után is kínál támogatást, folyamatos auditokat, és biztosítja a rendszeres frissítéseket, hogy a rendszer mindig megfeleljen a legfrissebb követelményeknek és fenyegetéseknek.
7. Erőforrás: Sok olyan tanácsadó cég jelenik most meg a hazai NIS 2 piacon, aki sok alkalmazottal rendelkezik, vagy akár audit szoftveres támogatást is nyújt, de érdemes rákérdezni a valódi terheltségükre, a kapcsolódó kapacitásaikra, előre megbecsülni a megbízóra fordított valódi figyelmet, mert az érdemi munka során ezek nagyon jelentős különbségeket tudnak eredményezni a munka minőségében és hatékonyságában.

Ezen szempontok figyelembevételével lehet találni olyan partnert, aki valóban hozzá tud járulni a hatékony és átfogó NIS 2 felkészüléshez.

nuce.hu