Egyre inkább foglalkoztatja a vállalatokat az Európai Unióban, hogy hogyan fogja érinteni őket a NIS2, a felülvizsgált kibervédelmi irányelv, amely a 2016-os hálózat és információbiztonsági irányelv helyébe lép (NIS), illetve a Digital Operational Resilience Act (DORA), a pénzügyi szektor védelmének erősítését célzó rendelet. A NIS2 esetében a részletek még pontosításra várnak és a tagországok csak később ültetik át a nemzeti jogba az irányelveket, de az biztos, hogy az EU-n belül tevékenykedő cégeknek komoly munkát kell fektetniük abba, hogy eleget tegyenek a jogszabályoknak. Ha észszerűen implementálják az előírásokat a helyi jogrendbe, az jelentős előrelépést hozhat a hazai vállalatok kibervédelmi fejlettségében, ám ehhez kulcsfontosságú, hogy már most elkezdjék a felkészülést. A BlueVoyant szakértői áttekintették, hogy várakozásaik szerint mit jelentenek majd a gyakorlatban a jogszabályok.
Az elmúlt években a technológiai fejlődés következtében világszerte felgyorsult a digitalizáció üteme, ami tovább növeli a támadások lehetőségét a kibertérben, ennek következtében ugrásszerűen megnőtt a kibertámadások száma. Ezért az Európai Unióban új jogszabályokkal cserélik le a korábbi irányelveket, hogy erősítsék a kibervédelmet. Ezek hasznos iránymutatást nyújtanak az érintett vállalatok számára a biztonság hatékony erősítésében, egyben további kötelezettségeket jelentenek.
A BlueVoyant szakértőinek tapasztalatai szerint az iparági szabályozások kifejezetten hasznosak és szükségesek. Kulcsfontosságú lesz azonban, hogy az egyes tagállamok hogyan ültetik át az Európai Unió által meghatározott irányelveket a helyi jogba. A hazai vállalatok kiberbiztonsági fejlődésében is jelentős pozitív változásokat és valódi fejlődést hozhat, ha észszerűen alakítják ki a helyi jogszabályokat, lehetőleg az iparági szereplők bevonásával és a tapasztalataik felhasználásával. A kibervédelmi szolgáltatóknak emellett kulcsszerepe van abban, hogy támogassák a vállalatokat az előírásoknak reziliens kibervédelmi képességek kialakításában és a szabályoknak való megfelelésben, és már most felhívják a figyelmüket arra, hogy szabályozás nélkül is elemi érdekük a rendszereik megóvása.
NIS2 és DORA, a felzárkóztató
A NIS2 2023. január 16-án lépett hatályba, és az Európai Unió tagállamainak 2024. október 17-ig kell átültetniük a benne foglalt intézkedéseket a nemzeti jogba. A NIS2 kibervédelmi direktíva célja, hogy erősítse a kritikus infrastruktúrák kibervédelmét, és harmonizálja a különböző tagállamok kiberbiztonsági követelményeit és intézkedéseik végrehajtását. A NIS2 a kritikus szektorokban tevékenykedő közepes méretű és nagyvállalatokra vonatkozik, beleértve a közlekedési és energiaszektort, a banki és pénzügyi ágazatot, az egészségügyet, a digitális infrastruktúra területeit és a közigazgatást.
A DORA rendelet 2023. január 16-án lépett életbe, 2025. január 17-től kell alkalmazni, és a pénzügyi szektor ellenállóságát kívánja erősíteni a kibertámadásokkal szemben egy egységes követelményrendszeren keresztül. Az új jogszabály meghatározza az uniós szabályozást, és igazítja a meglévő uniós pénzügyi szolgáltatásokról szóló irányelveket a 2022/2256 irányelvhez. Húszféle pénzügyi szervezetre terjed ki, illetve a külső IT-szolgáltatóikra, beleértve a felhőszolgáltatást, a szoftverfejlesztést, a supportot, a digitális szolgáltatásokat és adatszolgáltatást biztosító vállalatokat.
Mit jelent mindez a gyakorlatban?
A DORA rendelet a jelenleg rendelkezésre álló információk alapján a pénzügyi szektor informatikai biztonsági szabályaival kapcsolatban fogalmaz meg szigorúbb előírásokat, hogy ezek az intézmények és szervezetek kritikus működési zavarok esetén is rugalmasan tudjanak reagálni. Az érintett vállalatoknak többek között foglalkozniuk kell digitális reziliencia stratégiával, incidenskezelési eljárásrenddel, kockázatkezelési rendszerrel és információbiztonsági irányítórendszerrel.
A NIS2-nél központi elem a kiberbiztonsági reziliencia: olyan rendelkezéseket foglal magába, amelyek betartásával a szervezetek hatékonyabban tudnak felkészülni, védekezni és elhárítani a kiberbiztonsági incidenseket és megvédeni a kritikus infrastruktúrákat. Az érintett vállalatoknak nem csupán a saját rendszereikre kell figyelmet fordítaniuk, hanem az ellátási láncukra is. Folyamatosan monitorozniuk kell saját infrastruktúrájuk mellett a teljes beszállítói hálózatukat is, hogy gyorsan azonosíthassák, validálhassák és rangsorolhassák a kockázatokat, és szükség esetén rövid időn belül elháríthassák a kiberbiztonsági problémákat. Konkrét gyakorlatok nem szerepelnek az irányelvben, ezért a végleges követelmények országonként eltérhetnek majd attól függően, hol hogyan ültetik át a rendelkezéseket a helyi jogba.
„Fontos figyelembe venni, hogy aki már most jól működő kibervédelmi rendszert épít ki, az jobban felkészül az új szabályozásokra, amelyek a következő években válnak számukra kötelező érvényűvé. A vállalatok ezzel nem csupán a szabályozásokat előzik meg, de a kiberbűnözőket is. Elemi érdekük már most foglalkozni a kérdéssel, folyamatosan napirenden tartani a témát és nyomon követni a legújabb fejlesztéseket, fejleményeket és trendeket. Nem kell megvárniuk, amíg törvénybe iktatják a jó gyakorlatokat. Az ugyanis a legjobb gyakorlat, ha szabályozás nélkül is gondoskodnak az erős védelemről” – foglalta össze Csendes Balázs, a BlueVoyant kelet-közép-európai, valamint a közel-keleti térségekért felelős értékesítési igazgatója.
Nem maradnak magukra az érintettek
A kibervédelemmel foglalkozó vállalatok, köztük a BlueVoyant célja, hogy megkönnyítsék a szervezetek számára a különböző szabályozásokkal járó kötelezettségek teljesítését. Így rendkívül értékes támogatást nyújthatnak minden olyan cég számára, amelyeket érintik az új szabályozások. Segítenek felépíteni és működtetni az előírások teljesítéséhez szükséges képességeket. Például átfogó megoldást kínálnak az ellátási láncok monitorozásához, ami az előzetes információk alapján fontos pont lesz a NIS2 követelményei között.