security-testing | ethical-hacking | news

NIS 2 irányelv — Mit kell tudnia a magyar cégeknek?

2024. október 18-től a magyar vállalatoknak is alkalmazniuk kell a NIS2 védelmi intézkedéseket. Mi az a sérülékenység közzétételi irányelv (VDP) és miért fontos a NIS 2 megfeleléshez?

Balazs PoznerAugust 08, 2024 · 6 min read · Last Updated:

Az EU tagállamoknak 2024. október 17-ig kell átvezetniük az NIS 2 irányelvet (Network and Information Security Directive 2) a saját jogrendszerükbe, az érintett vállalatoknak pedig október 18-tól már alkalmazniuk kell a megfelelő védelmi intézkedéseket.

Az irányelv célja a kiberbiztonsági kockázatok csökkentése azáltal, hogy erősíti a szervezetek kiberbiztonsági ellenállóképességét, javítja az incidenskezelést és incidensjelentést, biztonságosabbá téve az együttműködést az EU tagállamai között.

Miért fontos a NIS 2?

A kiberbiztonság az EU egyik legégetőbb kihívása. A digitális technológiák a gazdaság, a kormányzás és a mindennapi élet szerves részévé váltak. Ezáltal az európai vállalkozások is sebezhetőbbé válnak a kibertámadásokkal szemben, melyek megbéníthatják a kritikus infrastruktúrát, súlyos pénzügyi károkat okozhatnak, és alááshatják a bizalmat a digitális szolgáltatásokban.

A NIS 2 irányelv kulcsfontosságú lépés a digitális infrastruktúra védelmében.

Az új előírások hátterében az elmúlt években jelentősen megnövekedett kiberfenyegetések állnak. Ahogy Bor Olivér, az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) kiberbiztonsági és kommunikációs szakértője fogalmaz:

“Mostanra olyan szintre növekedett a kiberbűnőzés mértéke, hogy ha a kiberbűnözés önálló nemzetállam lenne, akkor a világ harmadik legnagyobb gazdasága lehetne”

Milyen cégeket érint a NIS 2 irányelv?

A NIS 2 irányelv hatálya az alábbi szervezetekre terjed ki:

  • Vállalatok és beszállítók: Ide tartoznak azok a szervezetek, amelyek alapvető vagy fontos szolgáltatásokat nyújtva kulcsfontosságú szerepet játszanak az európai gazdaság és társadalom fenntartásában, mint például energia-, közlekedési, vízellátó, egészségügyi és digitális szolgáltatásokat nyújtó vállalatok, postai és csomagküldő szolgáltatók, hírközlési szolgáltatók, adatközpontok, illetve kiberbiztonsági szolgáltatókat nyújtó vállalatok.
  • Kiberbiztonsági kockázattal járó tevékenység: Ezenkívül kiterjedhet más szervezetekre is, amelyek tevékenysége jelentős kiberbiztonsági kockázatot jelenthet.

Kötelező a megfelelés, ha egy szervezet a fent említett kategóriák valamelyikébe tartozik, legalább 50 alkalmazottal rendelkezik, vagy pedig éves árbevétele meghaladja a 10 millió eurót.

A NIS 2 sok olyan céget is érint, amelyekre eddig a GDPR-en kívül nem, vagy alig vonatkoztak adatbiztonsági előírások. Ez a változás arra kényszeríti ezeket a vállalatokat, hogy olyan kiberbiztonsági fejlesztéseket hajtsanak végre, amelyeket eddig elhanyagoltak. Ez a folyamat időigényes és költséges lehet, de elengedhetetlen a biztonsági fenyegetésekkel szembeni védekezés érdekében.

A NIS 2 irányelv és a magyar vállalkozások — mire számíthatunk?

A NIS 2 irányelv áttételesen érinti a magyar vállalkozásokat. Ez azt jelenti, hogy az EU tagállamainak, így Magyarországnak is be kellett építenie az irányelv előírásait a saját nemzeti jogrendszerébe. Ezt követően a magyar jogszabályok határozzák meg, hogy hazai szinten mely vállalkozásokra vonatkoznak a NIS 2 irányelv követelményei, és milyen kötelezettségeket kell teljesíteniük.

A NIS 2 magyar végrehajtási rendelete a szakértők szerint példaértékűnek minősül alapossága és szigorúsága miatt. A rendelet számos olyan előírást tartalmaz, amelyek meghaladják az EU-s irányelv minimumkövetelményeit, ezáltal fokozott védelem kiépítésére kötelezi a magyar cégeket a kibertámadásokkal szemben.

Mit jelent ez a gyakorlatban?

A magyar vállalkozásoknak figyelniük kell a magyar jogszabályok változásait és fel kell készülniük a NIS 2 irányelv követelményeinek teljesítésére, amennyiben azok rájuk is vonatkoznak. Ez magában foglalhatja a kockázatértékelés és kockázatkezelés végrehajtását, a szükséges technikai és szervezési intézkedések bevezetését, az incidenskezelési terv kidolgozását és a súlyos incidensek bejelentését.

A NIS 2 irányelv főbb követelményei:

  • Kockázatértékelés és kockázatkezelés végrehajtása
  • Megfelelő technikai és szervezési intézkedések bevezetése a kiberbiztonsági kockázatok kezelésére
  • Incidenskezelési terv kidolgozása és tesztelése
  • Súlyos kiberbiztonsági incidensek bejelentése a nemzeti hatóságoknak
  • Folyamatos felügyelet és fejlesztés
  • Sérülékenység közzétételi irányelv bevezetése

A rendelet további részletei itt olvashatók: a 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről.

Fontos határidők a NIS 2 rendelettel kapcsolatban:

  • 2024. január 1. — Biztonsági osztályba sorolás, elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése
  • 2024. június 30. — Nyilvántartásba vételre bejelentkezés
  • 2024. október 18. — Védelmi intézkedések alkalmazása
  • 2024. december 31. — Első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral
  • 2025. december 31. — Első kiberbiztonsági audit lefolytatása

Mi az a sérülékenység közzétételi irányelv (VDP) és miért fontos a NIS 2 megfeleléshez?

A Sérülékenység Közzétételi Irányelv (VDP — Vulnerability Disclosure Policy) az új NIS 2 irányelv része. A VDP keretbe foglalja biztonsági sérülékenységek bejelentésének és kezelésének folyamatát.

Mik a Sérülékenység Közzétételi Irányelv előnyei?

  • Bárki, aki sérülékenységet talál a weboldaladon, be tudja azt jelenteni a folyamatleírás alapján.
  • Biztosítja a legális hátteret az etikus hackerek számára, hogy az általuk talált sebezhetőségekre felhívják a cég figyelmét.
  • Pontos szabályokat és eljárásokat határoz meg, amely optimalizálja a hatékonyságot.

Miben segít a VDP?

  • Keretrendszert biztosít a cégeknek a sérülékenységek biztonságos és átlátható módon való kezeléséhez, azáltal, hogy hivatalos csatornát hoz létre, amelyen keresztül az etikus hackerek jelenthetik a sérülékenységeket, anélkül, hogy jogi következményektől kellene tartaniuk.
  • Javítja a cég biztonsági kultúráját azáltal, hogy lehetővé teszi a sérülékenységek legális bejelentését. A cég vállalja, hogy ha valaki betartja a bejelentési folyamat követelményeit, akkor jogilag nem szankcionálja.

Fontos tudni, hogy vannak olyan követelmények is, amelyek csak magasabb biztonsági osztály esetén szükségesek, Magyarországon a Sérülékenység Közzétételi Irányelv minden érintett cégnek kötelező lesz, biztonsági osztálytól függetlenül.

A NIS 2 rendelet alapján a cégek különböző biztonsági osztályokba sorolódnak, kockázatuk és az általuk kezelt adatok alapján. Ez a besorolás számos tényezőtől függ, beleértve az általuk kezelt adatok típusát és érzékenységét, a cég által nyújtott szolgáltatások kritikusságát, a cég méretét és bevételét, illetve a cég múltbeli incidenseit.

A rendelet szerint minden érintett szervezetnek kötelező létrehoznia “egy csatornát, amelyen keresztül fogadhatja a szervezeti EIR-ekben és rendszerelemekben található sérülékenységekről szóló jelentéseket.”

További információ:

15.18. Sérülékenységmenedzsment – Sérülékenységi információk fogadása

A NIS 2 irányelv be nem tartásának szankciói

A NIS 2 irányelvet be nem tartó cégek szankciókra számíthatnak, melyek a következőket foglalhatják magukban:

  • Pénzbírság: A szankciók egyik leggyakoribb formája a pénzbírság, amelynek összege a be nem tartás súlyosságától függően változhat.
  • Működési engedély visszavonása: Súlyos esetekben a hatóságok visszavonhatják a vállalat működési engedélyét, ami megakadályozhatja a vállalat működését.
  • Tevékenység korlátozása: A hatóságok korlátozhatják a vállalat bizonyos tevékenységeit, például adatkezelést vagy bizonyos szolgáltatások nyújtását.
  • Nyilvános megrovás: A hatóságok nyilvánosan is megbírságolhatják a vállalatot a be nem tartás miatt, ami károsíthatja a vállalat hírnevét.

Biztonságosan a NIS 2 megfelelés felé — Hogyan segíthetünk?

Csapatunk több éves tapasztalattal rendelkezik a VDP területén, jóval a NIS 2 előtt is ezzel foglalkoztunk. Számos nemzetközi referenciánk van, és büszkék vagyunk arra, hogy segíthetünk ügyfeleinknek a kiberbiztonsági kockázatok csökkentésében.

Menedzselt VDP szolgáltatásunkkal segítünk a magyar cégeknek egy olyan folyamat kialakításában, amelynek segítségével menedzselni tudják a sérülékenység riportokat.

További információ a VDP-ről itt érhető el: Managed Vulnerability Disclosure

VDP-vel és kiberbiztonsági szolgáltatásokkal kapcsolatban keressen minket itt vagy emailen keresztül.

security-testingethical-hackingnews

Written by Balazs Pozner
CEO and Founder of HACKRATE Ltd.

Related ArticlesView All

A VDP szerepe a NIS 2 megfelelésben: Amit a sérülékenység közzétételi irányelvről tudni kell
September 02, 2024 · 7 min read

Az előző cikkben bemutattuk a NIS 2 irányelv követelményeit és a magyar vállalatokra gyakorolt hatását. Ebben a posztban részletesen tárgyaljuk a sérülékenység közzétételi irányelvet (VDP), amely a NIS 2 egyik kulcsfontosságú eleme. Megvizsgáljuk, miért nem elegendő egy egyszerű email cím a sérülékenységek bejelentésére, és miért van szükség jól felépített, strukturált VDP-re a vállalatok kiberbiztonsági pozíciójának erősítésére.

balazs pozner
by Balazs Poznerin security-testing,ethical-hacking,news
Why choose managed Vulnerability Disclosure Programs (mVDP)?
August 30, 2024 · 10 min read

Discover the importance of a well-structured Vulnerability Disclosure Policy (VDP) in the context of the NIS 2 Directive. Learn how VDPs enhance security, ensure legal compliance, boost reputation, and foster collaboration with the cybersecurity community.

balazs pozner
by Balazs Poznerin security-testing,ethical-hacking,news
Pentesting AI Applications with Hackrate and SplxAI
August 12, 2024 · 4 min read

With the implementation of the EU’s AI Act, Hackrate and SplxAI are enhancing AI security through a combination of automation and ethical hacking. Their partnership ensures comprehensive assessments, identifying vulnerabilities and ensuring compliance with new regulations.

balazs pozner
by Balazs Poznerin security-testing,ethical-hacking,news
Navigating the NIS 2 directive - Key takeaways
August 06, 2024 · 6 min read

As the NIS2 Directive deadline approaches, immediate action is crucial. The European Union faces increased vulnerabilities due to frequent, sophisticated cyber-attacks, rapid digitization, and the looming threat of conflict. This urgency has driven the modernization of the Network and Information Security (NIS) Directive, resulting in the introduction of the NIS2 Directive.

balazs pozner
by Balazs Poznerin security-testing,ethical-hacking,news
How to set the scope and budget for pentests in SMBs?
June 05, 2024 · 6 min read

What are the key factors SMBs and IT security teams must consider before defining the scope and budget for their penetration tests? Read our blog to find out.

balazs pozner
by Balazs Poznerin hackrate,ethical-hacking,security-testing
Security regulations and best practices for fintech in 2024
February 19, 2024 · 5 min read

Read about cybersecurity regulations shaping the fintech and banking landscape and the best practices to remain compliant and protect customer data.

balazs pozner
by Balazs Poznerin security-testing,ethical-hacking,hackrate,news