2. Hírek
  3. Promo
  4. Promo
  5. Promo

Így készülhetnek a cégek a NIS2-re a Lenovo segítségével

Sokkal több szolgáltató tartozik majd a NIS2 kiberbiztonsági irányelv hatálya alá, ez pedig jelentős gazdasági és pénzügyi hatást gyakorol az üzleti szektorra – a Lenovo segít minderre felkészülni.

  • Írta:
  • Forrás: Hirdetés

A NIS2 egy hálózati és információs biztonsági irányelv, amely rövidesen hatályba lép, modernizálva a 2016-ban bevezetett EU-s kiberbiztonsági szabályokat és jogi kereteket. Jogi intézkedések révén érnék el, hogy az EU-ban növekedjen a kiberbiztonság általános szintje.

Lényegében az EU kiberbiztonsági követelményeiről van szó, amelyek célja, hogy a tagállamok egységesen magas szintű állapotba kerüljenek, egységes stratégia mentén vegyék fel a harcot a kiberfenyegetettség ellen, felszámolják a különbségeket az egyes iparágak kiberbiztonságban, erősítsék a cégek és intézmények védelmét, továbbá lehetővé váljon a közös reakció a lehetséges fenyegetésekre, krízisekre.

Az elvárások gyűjteményét az EU 2022/2555 számú irányelveként fogadták el, 2023-ban lépett hatályba. A NIS2 nem közvetlenül hatályos, minden tagállamnak el kell végeznie a helyi törvényalkotást. Magyarországon a NIS2 követelményeinek való megfelelést a 2023. évi XXIII. Törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza. A 2023. évi XXIII. törvénynek való megfelelés határideje 2024. október 28., melynek ellenőrzését, és nem megfelelőség esetén a szankcionálást a Szabályozott Tevékenységek Felügyeleti Hatósága végzi majd.

Amennyiben egy szervezet úgy ítéli meg, hogy törvény hatálya alá tartozik, 2024. június 30-ig kellett nyilvántartásba vennie magát a 23/2023. (XII. 19.) SZTFH rendelet alapján. 2024. október 18-ig kell kialakítani a jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert, majd ugyaneddig a határidőig vagy pedig a nyilvántartásba vételt követő 120 napon belül auditori szerződéssel kell rendelkezzen az érintett fél. Ezt követően 2025. december 31-ig van lehetősége a vállalatoknak a független audit lefolytatására. A korábbi tájékoztatók szerint 12 hónapos átállási időszakra lehet számítani az implementáció és az intézkedések kapcsán, a határidők pedig még módosulhatnak, ahogy a konkrétumok is.

Mivel egy jól működő információbiztonsági irányítási keretrendszer kialakítása több hónapot vagy éveket is igénybe vehet, tanácsos felmérni, hogy a vállalat milyen rendszereket használ és milyen állapotban van kiberbiztonság terén.

Kire érvényes a NIS2?

Mivel a cél az, hogy a kiberbiztonsági szabályok hatályának kiterjesztésével új ágazatok és szervezetek esetén is tovább javítsák a köz- és magánszervezetek, továbbá a hatóságok és az EU egészének ellenállóképességét és reagálási lehetőségeit, incidenskezelési kapacitásait; ezért a szabályozott szervezetek száma legalább a 15-szörösére nő. Mindez jelentős gazdasági és pénzügyi hatást gyakorol majd az üzleti szektorra, főleg a magánszektort érintve.

Jelentősen kiterjesztik a szabályozás alá vont szervezetek listáját, így a kiberbiztonsági kitételeknek rengeteg „új” szereplő kell majd megfeleljen. Az eredeti NIS direktíva csak az alapvető és digitális szolgáltatásokat érintette, de a NIS2 számos más iparágat von hatálya alá.

Az érintetteket két kategóriába sorolják, kritikusság szerint – ennek megfelelően pedig eltérő kötelezettségeik vannak.

A kiemelten kritikus kategóriába tartoznak a közigazgatás, energia, szállítás, egészségügy, banki és pénzpiaci infrastruktúra, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), űripari ágazatokban működő szolgáltatók és vállalatok.

Az alap kritikus ágazatok kategóriába tartozik az élelmiszer-termelés, -feldolgozás és -forgalmazás, gyártás, gépgyártás, hulladékgazdálkodás, vegyszerek gyártása, előállítása és forgalmazása, postai és futárszolgáltatások, a kutatás.

A NIS2 nem jelent minden esetben kötelezettséget azokra, akik egy adott szolgáltatást nyújtanak. Egy köz- vagy magánszereplő akkor esik ennek hatálya alá, ha egyszerre teljesíti a következő két feltételt:

  • legalább egy listázott szolgáltatást nyújt;
  • közepes vagy nagy vállalat, 50 vagy több dolgozója van vagy pedig az éves árbevétele vagy mérlegfőösszege legalább 10 millió euró.

A NIS2 alapkövetelményei

Az alapkövetelmények közé tartozik például a kötelező regisztráció, a részletes kockázatelemzés, a hatékony irányítási rendszer bemutatása, a biztonsági intézkedések felvázolása és implementációja, felkészülés az üzletfolytonosságra és krízismenedzsmentre.

A vállalkozásoknak értesíteniük kell az érintett nemzeti hatóságokat a biztonsági eseményekről, a súlyos incidenseket 24 órán belül kell majd jelenteni, továbbá az ügyfeleknek is bejelenteni. Szintén követelmény a kritikus szolgáltatást nyújtóknak, hogy az ellátási lánc kapcsán ellenőrizzék a beszállítók hitelességét, valamint kezeljék az ellátási láncon keresztül felmerülő kockázatok lehetőségét.

A NIS2 a hatálya alá tartozó szervezetektől célzott intézkedéseket vár el a kiberbiztonság fokozására. Ezzel nem csak a kiberfenyegetések, támadások kockázatai csökkenthetők, de minimalizálhatók a működéskiesések, valamint az incidensek okozta gazdasági és társadalmi károk.

Mit kell tenni?

Amennyiben egy szervezet eddig nem foglalkozott a kiberbiztonsággal szisztematikusan, akkor ajánlatos kezdésként feltérképezni a szervezet jelenlegi állapotát, kiberbiztonsági auditot lefolytatni és felkutatni a lehetséges gyenge pontokat. Üzleti hatásvizsgálat lefolytatására is szükség van, amelyből kiderül, mi lenne a hatása a megfelelően működő egyedi rendszerekre egy fennakadásnak. Nem csak a használt információs rendszerek kiesése a kérdés, hanem a begyűjtött adatok szivárgásának lehetősége is.

Célszerű ezen a ponton tréningezni a cég kapcsolódó alkalmazottjait, alapképzést pedig minden felhasználónak nyújtani. Professzionális képzés javasolt azoknak, akik a cégnél a kiberbiztonsággal foglalkoznak majd. A felsővezetésnek tudnia kell a kiberbiztonsági keretrendszer fontosságáról, ugyanis személyes felelősségvállalásra kötelezettek ennek minden vonzatával.

Technikai szempontból tűzfal, antivírus és mentési megoldás alkalmazása is javasolt, mindezek ugyanakkor egy cég működtetésének normál, alapvető részei kell legyenek.

A törvénynek való megfelelést kétévente független féllel kell auditáltatni. Az audit akkor is kötelező, ha az érintett szervezet már rendelkezik iparági tanúsítványokkal (pl. TISAX, ISO27001), más auditokkal (pl. SOC2).

Megfelelés vagy büntetés

A NIS2 irányelv konkrét büntetéseket (ezek pénzbeli és nem pénzbeli büntetések, vállalások, szankciók is lehetnek) fogalmaz meg azon szervezetek számára, amelyek nem felelnek meg az elvárásoknak. A NIS2 mellett a 2023. évi XXIII. törvény szintén megfogalmaz büntetési tételeket.

Minden ország saját nemzeti felügyelőhatósággal hajtja be a büntetéseket, rendel el együttműködést, biztonsági auditot, kötelező érvényű lépéseket vagy az ügyfelek értesítését. A kiemelten kritikus szervezetek esetén maximum 10 millió euró vagy az előző pénzügyi évi globális éves forgalom teljes összegének 2 százaléka lehet a büntetés (amelyik magasabb). Az alap kritikus szervezetek esetén maximum 7 millió euró vagy 1,4 százalék ez az összeg.

Az elvárások nem teljesítésekor a kiszabott bírságok újból kiróhatóak. Lehetővé válik a tagállamok számára, hogy a céges vezetőket személyesen is felelősségre vonják, ha egy kiberincidens bebizonyosodik – azért, hogy megelőzzék a kiberkockázatok menedzsmentjének hanyagságát. A pontos, hazai büntetési tételek egyelőre nem ismertek, ezeket valószínűleg miniszteri rendelet szabályozza majd.

Hogyan segít a Lenovo?

A Lenovo Solutions and Services Group együtt kínálja a Lenovo összes IT-megoldását és szolgáltatását, legyen szó PC-ről, infrastruktúráról, kapcsolt szolgáltatásokról, irányított szolgáltatásokról, as-a-Service megoldásokról.

A ThinkShield biztonsági csomag egy adott eszköz teljes életciklusán keresztül átfogó védelmet nyújt, holisztikus és átfogó biztonsági értelemben. Olyan alapmeggyőződésekre építették, amelyek érintik az üzleti részlegek változó biztonsági szükségleteinek legjobb kiszolgálására vonatkozó kérdéseit. A Lenovo tapasztalt, globálisan elérhető biztonsági szakemberei megbízható megoldásokkal segítik a cégek védelmét, a végfelhasználók produktivitásának feláldozása nélkül.

A ThinkShield három rétegű védelmet kínál. Az egyik az operációs rendszertől a felhőig tart, végpontvédelmet- és menedzsmentet, adatvédelmet, biztonságos felhős mentést és jelszómentes hitelesítést is tartalmaz. Az operációs rendszer szintje alatt BIOS-, firmware- és hardvervédelmet, az ellátási lánc kapcsán pedig hitelesítő hardvert, szoftvert és megbízható beszállítói programot kínál.

A biztonsági kockázatelemzés elvégzésével megoldódik a kockázati analízis és az információbiztonsági rendszer irányelveinek kérdése, valamint kiértékelésre kerül a meglévő kiberállapot, azonosításra a hiányosságok, pontatlanságok, amelyek a NIS2 teljesítéséhez és egyéb szabályoknak való megfelelésekhez elengedhetetlenek. Benchmark alapján mutatják meg továbbá, hogy az adott cég hogyan áll az iparág többi szereplőjéhez képest.

További információk: https://techtoday.lenovo.com/us/en/solutions/thinkshield

  • Nem lehet hozzászólni