2025. április 8.
Már javában benne vagyunk 2025 -ben. Aki kicsit is foglalkozik az IT Biztonsággal az tudja, hogy sok területen ez az év a NIS2 körül fog forogni – vagy aki felkészült annak már forog is – vagy aki még ennél is jobban felkészült, az már hátradőlve várja az auditot.. (ilyen emberekkel szívesen dumcsiznék ha van rám pár percük.. 😀 )
De mi is ez a NIS2? Miért vannak sokan "kiakadva" tőle? Miért van erre egyáltalán szükség? (miért nyomja le a torkunkon Brüsszel :D )
Mi az a NIS2?
„A NIS2 (Network and Information Systems Directive 2) célja, hogy egységes európai uniós szabályozás keretében erősítse a tagállamok és az érintett szervezetek kiberbiztonsági felkészültségét. A szabályozás szigorúbb követelményeket ír elő a kockázatkezelési intézkedésekre és a jelentéstételi kötelezettségekre, valamint fokozott hatósági ellenőrzést vezet be.
A NIS2 egyik legfontosabb eleme a kötelező kiberbiztonsági audit, amelyet az érintett szervezeteknek kétévente kell elvégeztetniük. Ez biztosítja, hogy az informatikai rendszerek biztonságosan működjenek, és megfelelő védelmet nyújtsanak a kiberfenyegetésekkel szemben.”
Mit jelent ez a valóságban?
A valóság az, hogy a digitális térben egyre több a veszély. Egyre sűrűbben és egyre komolyabb támadások érnek cégeket és magánembereket egyaránt. Ugyanakkor a legtöbb ember és cég még mindig félvállról veszi ezeket a fenyegetéseket, nem foglalkozik velük, nem fordít figyelmet a megelőzésükre. Ehelyett pánikba esik és sopánkodik mikor támadás éri és komoly anyagi kára keletkezik..
"Évente 71,1 millió ember válik kiberbűnözés áldozatává. A kár, amit ezek a támadások okoznak évente 15 %-al nő globálisan. A világon minden 40. másodpercben megtámad egy zsarolóprogram egy vállalkozást. És ezek a számok a mesterséges intelligencia miatt még tovább fognak nőni."
Tehát míg ezt a cikket végigolvasod, addig kb. 7 céget ér kibertámadás. Lehet, hogy épp téged?
Magyarországon 2024 -ben kb. 30 milliárd forintnyi kárt okozott a kiberbűnözés.
A generatív AI megoldások fejlődésével és terjedésével a kiberbűnözés is új lendületet kapott. Ma már nincsenek könnyen észrevehető „google fordítós” támadások, ami azonnal észlelhető és könnyen kiszűrhető. Tökéletes magyarsággal megírt, tökéletesen lemásolt oldalakkal és dokumentumokkal találkozunk, amikről néha még a szakértőnek is nehezére esik megállapítani, hogy eredeti vagy egy megvezetésre tervezett hamisítvány..
A NIS2 -t ez a helyzet hívta életre, hogy – ha már önmaguktól nem fordítanak rá kellő figyelmet – akkor a törvény erejével vegyék rá a védekezésre a cégeket.
NIS2? De ez úgy hasonlít valamire.. hmm.. ISO27001?
Az ISO27001 azaz az „IT biztonsági iso” már egy régóta ismert fogalom az IT világában, sőt, nem csak az IT -ban, hanem minden olyan területen akik egy kicsit is komolyabban foglalkoztak már az IT biztonsággal.
Régóta velünk van, már sokadik átdolgozása jelenik meg, a legújabb verzió az ISO27001:2022 , ami az eddigihez képest szinte teljesen új struktúrát jelent és jelentősen kibővült az eddig megszokott ISO27001:2013 -hoz képest.
Amelyik cég jelenleg is rendelkezik ISO27001 tanúsítvánnyal, annak nem számítanak újdonságnak a NIS2 -ben megjelenő elvárások. A legnagyobb különbség az, hogy míg az ISO27001 egy önkéntes tanúsítás volt, addig a NIS2 nem önkéntes.
A NIS2 Magyarországon az SZTFH -hoz tartozik ( Szabályozott Tevékenységek Felügyelet Hatósága – Szabályozott Tevékenységek Felügyeleti Hatósága ). Ők „A hatóság” akinek a kezében van, aki koordinálja, aki meghatározza, hogy kik azok akik NIS2 kötelezettek, és ők szabják ki az esetleges bírságokat is
Tehát ez nem egy opció! Aki a NIS2 jogszabály hatálya alá tartozik, arra nézve kötelező jellegű, és ha nem felel meg vagy nem működik együtt a hatósággal, akkor a bírságok mértéke az adott cég árbevételéhez van kötve, annak X százaléka!
A NIS2 kötelezett cégeknek évente be kell fizetniük a felügyeleti díjat és kétévente az auditálási díjat is. Ezért cserébe egy független auditáló cég az ISO audithoz nagyon hasonló módon elvégzi a cég ellenőrzését, és megteszi a javaslatait, ha nem találja megfelelőnek a cég felkészültségét.
Röviden összefoglalva tekinthetjük úgy, hogy a NIS2 az ISO27001 kibővített változata, ami a hatálya alá eső cégek számára kötelező.
Miért vannak sokan „kiakadva” tőle?
Annak a cégnek ahol van ISO27001 annak nem lesz komoly gondja a NIS2 -vel sem. Megvan a apparátusa a szabályozás kialakítására, tudják mire és hogyan kel felkészülni, hogyan zajlik egy audit. Nagyon sok az átfedés a kettő között. Kell bele energiát fektetni és ki kell köhögni az auditálás milliós összegét is, de alapvetően nagyobb gond nélkül meg tudják ugrani a NIS2-t is.
Jó kérdés, hogy ha a NIS2 általánosan kötelező lesz Európában, akkor lesz-e egyáltalán értelme az ISO 27001 -nek?
Nagyon sok olyan cég is a NIS2 kötelezettek közé került, akinek eddig nem volt ISO27001 -e, és aki eddig nem is fordított igazán komoly figyelmet az IT biztonságra. Hát nekik most egy hatalmas feladat-tömeg hullott ezzel a nyakukba.
Szűk egy évük van arra, hogy kialakítsák a cég IT biztonsági szabályzatait, ezeket keresztülverjék az egész szervezeten, leoktassák a dolgozóknak, majd meg is csinálják a kiberbiztonsági auditot.
De ami még ennél is nehezebb, hogy a NIS2 nem csak azt jelenti, hogy le kell gyártani több száz oldalnyi szabályozást és dokumentációt. Ha csak erről lenne szó, akkor semmit sem érne. Az egészben az a legfontosabb, hogy ténylegesen át kell alakítani az IT működését a cégben.
Biztonsági megoldásokat kell bevezetni, szabályzásokat készíteni, továbbképezni a meglévő IT szakembereket és/vagy új szakemberekkel bővíteni az IT csapatot, oktatásokat tartani a dolgozók számára, kifizetni az audit díjakat .. Ezek összességében több milliós extra költséget jelentenek az eddigi IT kiadásokon felül, meg persze rengeteg plusz munkaórát..
Miért van erre egyáltalán szükség?
– miért nyomja le a torkunkon Brüsszel?!? 😀
A kérdés feltevés már eleve rossz. Mintha azt kérdeznénk, hogy miért erőszakolja ránk a rendőr, hogy bukósisakot vegyünk fel motorozás közben.. nem, nem a rendőr érdeke az, hogy bukósisakot vegyünk fel, hanem a miénk, hogy ne halljunk meg..
Ugyan ez igaz a NIS2 -re is!
Olyan komoly méreteket öltött a kiberbűnözés, hogy muszáj tenni ellene! Nincs olyan cég, nincs olyan iparág ami nem érintett benne!
A NIS2 azért született, hogy egyetemes formában segítsen abban, hogy az egyre növekedő kiberbűnözés ellen védettek legyenek a cégek. A cégeken keresztül pedig védettek legyenek azok a magánemberek is, akik igénybe veszik ezeknek a cégeknek a szolgáltatásait.
Lehet utálni és lehet nem szeretni a NIS-t, de az elve és a hosszútávú céljainak a megvalósulása segíteni fog abban, hogy csökkenjen a kiberbűnözés által okozott kár.
Gyerekbetegségek, rengeteg kérdés
Persze ez az egész egyáltalán nem megy zökkenőmentesen. Szinte nap mint nap jelennek meg új részletek, változnak meg részek a szabályozásban vagy az audit módjában. A hatóság oldalán nagyon kevés jó szakember áll rendelkezésre, miközben rengeteg feladatuk van.
Jelenleg kb. 3.800 db NIS2 kötelezett cég van az országban, és erre van jelenleg 10 db auditor cég. Év végéig kellene ezt a 3.800 db céget auditálni. Azaz naponta 10,5 céget kellene auditálni akkor ha az év 365 napjával számolunk. Ha csak a munkanapokkal, akkor naponta 16 céget kellene auditálni.
Már akkor, ha január 2 -el elkezdődtek volna az auditok.. amire esély sem volt, mert akkor még az sem jött ki szabályozásként, hogy az auditnak hogyan kell zajlania és mennyibe fog kerülni. A realitás inkább az, hogy júniusban indulhatnak el komolyan az auditok, azaz alig 7 hónap lesz az auditok lefolytatására.
Naponta 25 céget kellene auditálni az év végéig a 10 auditor cégnek, tehát minden cégnek minden munkanapon napi 2,5 auditot kellene elvégeznie.
Ez lehetetlen.
Hogy mi lesz erre a megoldás? Egyszerűsített audit, kitolt határidő? Ezt még nem tudjuk.
Ugyan így nem tudjuk azt sem, hogy mi lesz azokkal a cégekkel, akik méretük és/vagy tevékenységi körül miatt NIS2 kötelezettek, de alapvetően nincs mit auditálni náluk? Ilyen cég lehet mondjuk egy napelem park. Itt nincsenek EIR -ek, amiket auditálni kellene, de a legtöbb esetben egyetlen egy IT eszköz, sőt még alkalmazott sincs a cégekben, ugyanakkor mégis NIS2 kötelezettek, mert energiatermelési iparágban dolgoznak..
Összegzés
Az IT biztonság kiemelt kérdéskör amire hatalmas figyelmet kell fordítani.
Napról napra egyre több és egyre komolyabb támadás ér mindenkit, és a károkozás mértéke is drámain növekszik szintre minden percben. Ezért az IT biztonság kiemelt kérdéskör amire hatalmas figyelmet kell fordítani.
Ez azt is jelenti, hogy a kereslet is folyamatosan nő az IT biztonsági szakemberekre!
Ha most megkérdezné a fiam, hogy az IT milyen irányába kezdje el képezni magát, akkor tuti azt tanácsolnám, hogy vagy hacker legyen vagy IT biztonsági szakember. Attól függően, hogy melyik oldalon és hogy legálisan vagy illegálisan akar-e nagyon gazdag lenni 😀
Rengeteg pénzt és időt fog elvinni mindenkitől a NIS2 megfelelés, de hatalmas szükség van rá. Sajnos nincs más megoldás, mint törvényi erővel kikényszeríteni a cégekből, hogy fokozott figyelmet fordítsanak az IT biztonságra.
És mi lesz a jövőben?
Ha tippelnem kellene, akkor a kezdeti nehézségek és a NIS2 elindulása után az fog következni, hogy ki fogják terjeszteni a NIS2 kötelezett cégek sorát, és szépen lépésről lépésre minden cégre kötelezőek lesznek az előírásai..
Kaqk 😀