A Portfolio Uzsoki Mátét, az információbiztonsággal és szoftverfejlesztéssel foglalkozó Serpentarius Software Kft. ügyvezetőjét kérdezte arról, milyen konkrét lépéseket kell megtenni a NIS2-felkészülés során, miért válik kritikus tényezővé az információbiztonság a beszállítói kapcsolatokban, illetve hogyan segíthet ebben az egyedi szoftverfejlesztés, és miként illeszkedik ebbe a folyamatba mesterséges intelligencia.
Milyen konkrét lépéseket tehetnek a cégek a NIS2-követelmények teljesítésére való felkészüléshez?
A felkészülés első lépése annak meghatározása, hogy a vállalat a tevékenysége alapján a NIS2-irányelvet átültető magyar jogszabály hatálya alá tartozik-e, ez az ágazati besorolás (például energia, közlekedés, egészségügy, digitális szolgáltatások) és a vállalat mérete alapján történik. Az érintett cégeknek már be kellett jelentkezniük a megfelelő hatósághoz, a legtöbb vállalat számára ez a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelenti.
Ezt követően egy kockázatalapú információbiztonsági értékelést kell elvégezni, amely feltárja a vállalat sebezhetőségeit, és meghatározza az alkalmazandó technikai és szervezeti intézkedéseket. A megfelelés része egy részletes incidenskezelési terv kidolgozása is, amely lehetővé teszi az események gyors felismerését, kivizsgálását és jelentését.
A magyar jogszabály előírja, hogy az érintett szervezeteknek tanúsítással kell igazolniuk a megfelelést. Ezt a tanúsítást kizárólag az SZTFH által elismert auditor végezheti.
Célszerű már a felkészülés korai szakaszában kiválasztani egy NIS2-felkészítő tanácsadót,
aki előkészíti a szükséges dokumentációt, segít bekérni az árajánlatokat az auditra és koordinálja a teljes folyamatot.
A tanúsítás érvényessége időben korlátozott, az auditot legalább kétévente el kell majd végezni, de a hatóság vagy az auditor rendkívüli auditot is előírhat.
Hogyan érinti a kiberbiztonsági szabályozás azokat a kis- és középvállalkozásokat, amelyek nem tartoznak közvetlenül a NIS2 hatálya alá?
Azok a vállalkozások, amelyek méretük vagy tevékenységi körük alapján nem tartoznak közvetlenül a NIS2-irányelv hatálya alá, jelenleg nem NIS2-kötelezettek, de az SZTFH egyedi döntéssel később is kijelölheti őket. Ugyanakkor a szabályozás közvetett hatásai rájuk is egyre erőteljesebben érvényesülnek, különösen a beszállítói láncokon keresztül. A kötelezett, nagyobb cégek egyre gyakrabban követelnek meg információbiztonsági megfelelést partnereiktől is, akár szerződéses feltételként. Ez különösen releváns lehet IT-szolgáltatók, szoftverfejlesztők, felhőszolgáltatók, üzemeltetők és más technológiai beszállítók esetében.
Számukra a kiberbiztonság már nem csupán szakmai szempont, hanem piaci elvárás és potenciális versenyelőny is. A változó üzleti környezet miatt célszerű, hogy még a nem kötelezett vállalkozások is önkéntesen kialakítsanak egy alapvető kiberbiztonsági kontrollrendszert. Az olyan intézkedések, mint a jogosultságkezelés, az incidenskezelési protokoll, az adatmentés és a munkatársak képzése, nemcsak a vállalat működését teszik biztonságosabbá, hanem javítják annak megítélését a partnerek és ügyfelek szemében is. Különösen igaz ez az exportorientált, versenypiaci környezetben.
Hogyan választhatják ki a cégek a számukra legmegfelelőbb auditort az SZTFH által nyilvántartott cégek közül?
Az SZTFH által elismert auditáló cégek listája nyilvános, de fontos, hogy a kiválasztásnál figyelembe kell vennünk az auditorok és a szervezetünk besorolását, mivel nem ugyanazok a lehetőségeink, ha jelentős vagy magas besorolásunk van.
Lényeges szempont, hogy több ezer cég vár auditra és az auditor cégek száma jelenleg rendkívül korlátozott.
Jelenleg a legalacsonyabb, legtágabb körben végezhető „alap” besorolást mindössze 10 auditor cég jogosult elvégezni. A kiválasztásnál véleményem szerint elsősorban a felkészítő cég javaslatát érdemes figyelembe vennünk, de az audit ára, az auditor elérhetősége és a korábbi esetleges közös munka is fontos döntési paraméter.
Milyen típusú kibertámadásokkal kell szembenézniük jelenleg a magyar vállalatoknak a leggyakrabban, és mennyire vannak felkészülve ezekre a vállalati IT-rendszerek?
A magyar vállalatokat érő kibertámadások egyre célzottabbá és kifinomultabbá válnak. A leggyakoribb fenyegetések közé tartoznak pl. az adathalász (phishing) támadások, azaz személyre szabott, gyakran hitelesnek tűnő e-maileken keresztül próbálnak hozzáférni érzékeny adatokhoz vagy bejelentkezési információkhoz. Zsarolóprogramok (ransomware) esetében a támadók titkosítják a vállalat adatait, majd díjat követelnek azok feloldásáért. A támadó ilyenkor gyakran azzal fenyegetőzik, hogy nyilvánosságra hozza az adatokat. Szintén nagyon gyakori a pszichológiai manipuláció (social engineering). Ez azt jelenti, hogy a támadók a hozzáféréssel rendelkező kollégákat vagy más felhasználókat próbálják pszichológiai eszközökkel arra rávenni, hogy hibás döntéseket hozzanak, tévesen pénzt utaljanak a támadónak, vagy hozzáférési adatokat adjanak ki. Gyakori eszköz a sürgetés, bizalomépítés vagy félrevezetés.
Szintén fontos, hogy a NIS2 nem kizárólag kibertámadásokkal foglalkozik, hanem azzal is, hogy mennyire szakszerű a vállalati IT-rendszerek kialakítása és üzemeltetése. Ez valójában abszolút a tulajdonost, a vezetőket védi és az az elsődleges célja, hogy megmutassa, ha olyan hiányosság van, ami a vállalat működésében fennakadást és ezáltal anyagi veszteséget okozhat. Annak érdekében, hogy konkrét példát mondjak: ha elromlik egy szerver, és ezért bármilyen fontos adatot elveszítünk, akkor ott valami nincs rendben. Ugyanez igaz arra, amikor a weboldalunk, levelezésünk vagy az ügyviteli rendszer napokig áll. Ezeknek minden esetben egy olyan hiányosság az oka, amit előre kezelnie kellett volna az IT-rendszereket üzemeltető kollégáknak. Ha ezeket a hiányosságokat a NIS2-felkészítő cég megtalálja és az IT-szolgáltató megoldja őket, akkor nemcsak az auditon fogunk jobb eredményt elérni, hanem a vállalatunk is megbízhatóbban fog működni.
Mit jelent pontosan a pszichológiai manipuláció ebben az esetben, és mennyire a védekezés része a dolgozók felkészítése?
A társadalmi manipuláció nem korlátozódik kizárólag elektronikus csatornákra. Gyakori módszer a fizikai hozzáférés jogosulatlan megszerzésének kísérlete is, például biztonsági ellenőrzésnek álcázott látogatással vagy egy alvállalkozó nevében történő belépéssel. Ezek során a támadók célja lehet belső rendszerekhez való fizikai hozzáférés, adathordozók eltulajdonítása vagy éppen megfigyelő eszközök elhelyezése.
Hasonlóan veszélyesek a telefonos manipulációs technikák, amelyek során a támadók magukat rendszeradminisztrátornak, ügyfélszolgálati munkatársnak vagy éppen partnercég képviselőjének adják ki, és így próbálnak érzékeny információkat kicsalni. Az ilyen támadások elleni védekezés nemcsak technikai kérdés, hanem a dolgozók tudatosságán is múlik, aminek fejlesztéséhez rendszeres oktatás szükséges.
Hogyan érinti a NIS2 azokat a cégeket, amelyek már korábban is rendelkeztek fejlett kiberbiztonsági rendszerekkel?
Azok a cégek, amelyek korábban is rendelkeztek tanúsított információbiztonsági irányítási rendszerrel – például ISO/IEC 27001 szabvány alapján –, jellemzően kedvezőbb helyzetből indulnak a NIS2-nek való megfelelés szempontjából. Ugyanakkor a meglévő rendszereket is át kell világítani. Meg kell vizsgálni, hogy a korábbi gyakorlatok összhangban vannak-e a NIS2-ben előírt követelményekkel. Fontos, hogy az intézkedések dokumentáltak, naprakészek és rendszeresen felülvizsgáltak legyenek. Kiemelt figyelmet kell fordítani az incidensjelentés, a beszállítói kockázatkezelés, a szervezeti felelősségi körök és a tanúsítási követelmények beépítésére is.
A NIS2 sajátossága, hogy nemcsak technikai, hanem szervezeti, irányítási és jogi szempontból is átfogó megfelelést vár el, így azoknak a cégeknek is további fejlesztésekre lehet szükségük, akik egyébként érett kiberbiztonsági kultúrával rendelkeznek.
Milyen szerepet játszanak a beszállítók és partnerek kiberbiztonsági intézkedései egy vállalat saját védelmi stratégiájában?
A beszállítói lánc biztonsága és közvetett érintettség kérdése pontos és fontos elem, amit sok vállalat alulértékel. A NIS2 egyik fontos újítása, hogy a vállalatoknak felelősséget kell vállalniuk a beszállítói láncuk informatikai biztonságáért is. Ez azt jelenti, hogy a szerződésekben egyre gyakrabban szerepelnek kiberbiztonsági követelmények, auditálási lehetőségek és felelősségi nyilatkozatok.
A partnerkiválasztás során a biztonsági érettség is szempont, nemcsak az ár vagy a teljesítmény.
Az olyan partnerek esetében, akik hozzáférnek a vállalat rendszereihez vagy adataihoz, különösen szigorú kontroll szükséges. Célszerű bevezetni egy beszállítói kockázatértékelési rendszert, amely folyamatosan értékeli a partnerek kiberbiztonsági megbízhatóságát.
Ez a szemlélet nemcsak a szabályozási megfelelés miatt fontos, hanem a valós kockázatok kezelése és a reputáció védelme szempontjából is elengedhetetlen.
Milyen felelősséget viselnek a vállalat vezetői a NIS2-megfelelés során, és mit jelent ez a gyakorlatban?
A NIS2-irányelv a vezetői szintű felelősséget nemcsak elvárásként, hanem konkrét jogi kötelezettségként is nevesíti. Ez azt jelenti, hogy a vállalat legfelsőbb vezetése – jellemzően az ügyvezetés, az igazgatóság vagy a cégvezetés – köteles biztosítani, hogy a szervezet teljesítse az információbiztonsági előírásokat. A megfelelés nem delegálható kizárólag az IT-re vagy egy kijelölt szakértőre: a vezetőknek aktívan részt kell venniük a kockázatok értékelésében, az intézkedések jóváhagyásában és az erőforrások biztosításában.
Milyen tipikus hibákat követnek el a cégek a NIS2-felkészülés elején? Mire érdemes különösen figyelni?
A NIS2-felkészülés elején a cégek gyakran abba a hibába esnek, hogy kizárólag IT-projektként kezelik a megfelelést, miközben az irányelv valójában szervezeti szintű átalakulást kíván: vezetői elkötelezettséget, beszállítói lánc kontrollt, incidenskezelési képességet és dokumentált folyamatokat. Tipikus tévedés az is, hogy a cégek nem tudják pontosan, hogy érintettek-e, vagy későn kezdik el a felkészülést, így nem marad idejük a szükséges intézkedések bevezetésére, pláne azok bejáratására. Sokszor hiányzik a kockázatalapú szemlélet, a partneri kitettség vizsgálata, és nem ritka, hogy az incidenskezelés csak papíron létezik, a gyakorlatban viszont nincsenek begyakorolt forgatókönyvek.
A legnagyobb hiba mégis az, ha a vállalat nem integrálja a megfelelést a működésébe, hanem pusztán megfelelési „pipa-projektként” tekint rá.
A legfontosabb, hogy a felkészülést ne kampányként, hanem rendszerszintű átalakulásként kezeljük. Minél előbb tisztázza a cég az érintettségét, jelölje ki a felelősöket, térképezze fel a kockázatait, és alakítsa ki a folyamatait, és annál gördülékenyebb lesz a tanúsítás és annál valóságosabb a biztonság.
Érinti a NIS2-irányelv a felhőalapú szolgáltatások és külső IT-üzemeltetők alkalmazását is?
A NIS2 kifejezetten kiterjeszti a felelősséget a külső szolgáltatók – köztük a felhőalapú megoldások és menedzselt IT-szolgáltatók – irányába is. Ez azt jelenti, hogy a szervezet nem háríthatja át a kockázatokat pusztán azzal, hogy kiszervezi az infrastruktúráját vagy az üzemeltetést: a végső felelősség a szolgáltatást igénybe vevő szervezetet terheli. A gyakorlatban ez azt kívánja meg, hogy a felhőszolgáltatóval és egyéb külső IT-partnerrel kötött szerződésekben egyértelműen rögzítve legyenek a biztonsági elvárások, az auditálási jogok, az incidensjelentési kötelezettségek és a szolgáltatásbiztonság minimális szintje. Emellett a kiszervezett szolgáltatások biztonságát is értékelni kell a kockázatelemzés során, különösen akkor, ha ezek rendszerei vagy emberei hozzáférnek az ügyfél szenzitív adataihoz vagy kritikus rendszereihez.
A felhőmodelleknél (IaaS, PaaS, SaaS) külön figyelmet érdemel a megosztott felelősség elve: fontos, hogy a vállalat tisztában legyen azzal, milyen biztonsági rétegekért felel maga, és mit várhat el a szolgáltatótól. A NIS2 szigorúbb kontrollt követel meg a külső szolgáltatók irányába – a szerződéskötéstől a működésen át az incidensek kezeléséig.
Hogyan kommunikálhatják hatékonyan a cégek ügyfeleik felé, hogy megfelelnek az új kiberbiztonsági előírásoknak?
A kiberbiztonsági megfelelés ma már nemcsak belső kontroll, hanem PR-értékkel bíró versenyelőny is lehet, de a kommunikáció csak akkor hiteles, ha valós és rendszeresen ellenőrzött megfelelésen alapul. A kommunikáció nem helyettesíti a valódi megfelelést.
A valódi teljesítmény hatékony kommunikációja több módon történhet. Például tanúsítványok közzétételével, azaz a cég honlapján, ajánlatokban vagy üzleti dokumentumokban jelezhető, hogy a szervezet tanúsított. Adatvédelmi és IT-biztonsági nyilatkozatok frissítésével is, azaz ezekben részletezhető, hogy milyen intézkedések történtek a megfelelés érdekében.
Hogyan illeszthető be a NIS2 követelményrendszere egy már meglévő ISO-alapú compliance- rendszerbe?
A NIS2-követelmények hatékonyan integrálhatók egy már működő, ISO/IEC 27001 szabvány szerint kialakított információbiztonsági irányítási rendszerbe tekintve, hogy a két keretrendszer filozófiája és alapelvei jelentős átfedést mutatnak. A NIS2 – akárcsak az ISO 27001 – kockázatalapú megközelítést alkalmaz, hangsúlyozza a folyamatos fejlesztést, a vezetői elkötelezettséget, valamint a dokumentált és ellenőrizhető biztonsági intézkedések szükségességét. Ezért a megfelelés alapja jellemzően nem újrakezdés, hanem célzott bővítés és finomhangolás. A megfeleltetés első lépése egy alapos „gap analysis”, azaz megfelelési résvizsgálat, amely feltárja, hogy az adott szervezet meglévő ISO-rendszere milyen mértékben fedi le a NIS2 által előírt követelményeket, és hol szükséges kiegészítés. A leggyakoribb hiányosságok abból adódnak, hogy a NIS2 konkrét intézkedéseket ír elő, míg az ISO/IEC 27001 sokkal rugalmasabb, a vállalatra szabható rendszer.
A meglévő ISO 27001 alapú rendszerbe ezeket a NIS2 által megkövetelt elemeket úgy érdemes beilleszteni, hogy azok szervesen illeszkedjenek az irányítási struktúrába, ne párhuzamos, redundáns folyamatokat eredményezzenek. Például az incidenskezelési eljárásokat kiegészíthetjük a hatósági jelentési kötelezettségre vonatkozó specifikus lépésekkel; a beszállítókezelési szabályzatba beépíthetjük a biztonsági elvárásokra és auditálási jogokra vonatkozó klauzulákat; a rendszeres belső auditot pedig ki lehet terjeszteni a NIS2 által kiemelt kockázati pontokra is.
A szolgáltatók egyre gyakrabban kínálnak testreszabott informatikai megoldásokat: ezek segíthetnek a cégeknek a követelmények teljesítésében?
A NIS2-megfelelés és NIS2-felkészítés technológiai vonatkozásai gyakran túlmutatnak a szabályozási és szervezeti szinten különösen azoknál a vállalatoknál, amelyek egyedi fejlesztésű alkalmazásokat, belső rendszereket vagy integrált megoldásokat használnak. A mi csapatunk például nemcsak szabályozási, hanem szoftvermérnöki tapasztalattal is rendelkezik, egyedi szoftverfejlesztéssel is foglalkozunk, képesek vagyunk a kiberbiztonsági követelményeket közvetlenül beépíteni az ügyfeleink által használt rendszerekbe 20 éves tapasztalattal. Legyen szó naplózási funkciók fejlesztéséről, incidensérzékelési logikák implementálásáról, hozzáférés-kezelési modulok finomhangolásáról vagy szabályozásnak megfelelő riportálási funkciók kialakításáról, egyedi fejlesztéseink segítenek abban, hogy az információbiztonság ne csak dokumentumban, hanem a rendszer szintjén is megvalósuljon.
Hogyan érinti a mesterséges intelligencia népszerűsödése a követelményrendszert és az információbiztonság kérdéskörét?
A mesterséges intelligencia megjelenése új szintre emeli az információbiztonság kihívásait. Bár a NIS2 nem nevesíti az MI-t, a kockázatalapú megközelítés, az incidensjelentés és az ellátási lánc biztonsága már most kiterjed rá is.
Különösen kritikus kérdés a generatív MI, például a nagy nyelvi modellek (LLM-ek) vállalati használata. Egyre több szervezetnél fordul elő, hogy a munkavállalók érzékeny vagy üzleti titoknak minősülő adatokat visznek be nyilvános MI-szolgáltatásokba. Ez azonban komoly kockázat: ezek az adatok adott esetben nemcsak kiszivároghatnak, hanem az MI-rendszerek tanulási folyamatai révén később akár más felhasználók számára is elérhetővé válhatnak.
A szabályozási térkép is bővül: az EU nemrégiben ISO/IEC 42001 szabványként ismerte el a mesterséges intelligencia menedzsmentrendszerére vonatkozó új nemzetközi szabályozást. Ez az ISO 27001-hez hasonlóan keretet ad az MI használatának átlátható, biztonságos és felelősségteljes működtetésére, kiegészítve a NIS2 által előírt kockázatalapú megközelítést és kontrollkötelezettséget.
A Serpentarius-nál ezekre a kihívásokra privát MI-szerverek bérbeadásával válaszolunk. Ennek lényege, hogy ügyfeleink zárt, ellenőrzött környezetben, saját adatvédelmi szabályaik mentén használhatják a mesterséges intelligenciát. Emellett megkezdtük az ISO/IEC 42001-nek megfelelő MI-kompetenciák kiépítését is. Célunk, hogy ügyfeleink számára a mesterséges intelligencia nyújtotta lehetőségeket a legmagasabb szintű adatbiztonság mellett tegyük elérhetővé – akár meglévő ügyviteli rendszereikbe integrálva, akár önálló megoldásként.
A cikk megjelenését a Serpentarius Software Kft. támogatta.
Címlapkép forrása: Portfolio
Trump emberének merész terve: felforgathatja az amerikai tőzsde 55 éves szabályait
Már nagyon gyors változást ígérnek a negyedéves jelentések kukázásánál.
Erős bejelentést tett a Fed döntéshozója: így alakulhatnak a kamatok
Egy kimagasló oka volt a kamatvágásnak.
Példátlan: gyakorlatilag lekapcsolták a netet egy egész országban
Cél az "erkölcstelenség elleni fellépés".
Kiderült Trump gázai béketerve
Nemzetközi testület irányítaná a területet, ő maga állna az élére.
Az Egyesült Államok olyan szabályt vezetett be, ami felforgathatja a globális kereskedelmet
Főleg kínai cégekre csaptak le, de EU-n belüli vállalatok is bajba kerültek.
Hatalmas összeget csoportosít át a kormány, de nem világos, mire megy a pénz
Úgy osztanak újra 35 milliárd forintot, hogy csak a pénz címzettje ismert.
Botrány a bíróságokon: mesterséges intelligencia gyártott hamis jogi hivatkozásokat
Alapjaiban alakul át a jogalkalmazás.
Új lakossági állampapírok érkeznek októbertől. Érdemes sietnie a befektetőknek?
Új lakossági állampapírok forgalmazása indul el októbertől, ezzel párhuzamosan számos jelenleg elérhető befektetés forgalmazása lezárul. Ráadásul nem csak a szokásos sorozatcserékről van
Olcsó kacatból high-tech ipar
USA Innovates, China Replicates, Europe Regulates - szól a régi mantra. Sokan még ma is igaznak tartják, hogy Kína csak lopja a technológiát, másolja a... The post Olcsó kacatból high-tech ipar a
A Vaslady ébredése
Batman, Spiderman, Iron Lady. Mintha Thatcher valami szuperhős lenne a Marvel univerzumból, akinek az a szuperereje, hogy soha "nem hátrál meg". Meg azt mondja: "ha a mértéktelen [állami] költek
Clorox Company - elemzés
Kereskedési célpontokat keresgéltem, most éppen a magas ROIC, az elfogadható osztalékhozam és a chart alapon jó beszállási lehetőségek voltak a legfontosabb szempontjaim. Így találtam rá a C
A kertészkedés egészséges, és nem csak a friss zöldségek miatt
Friss kutatások szerint már heti két és fél óra kertészkedés is elegendő lehet ahhoz, hogy csökkentsük a túlsúly, a magas vérnyomás, a cukorbetegség és más egészs
Agrárgazdaság átadása: a generációváltás és a vagyontervezés kulcsa az agráriumban
Az agrárgazdaság átadása az elmúlt években az agrárium egyik legaktuálisabb kérdésévé vált. A rendszerváltás idején önálló gazdálkodóvá vált generáció mára elérte vagy hamarosan
Magyar ingatlanpiac: hórukk országban mérsékelt verseny
A héten Zsolt pihenőt kapott, Balázs és Ádám pedig Tibor Dávid Masterplast CEO-val beszélgetett a magyar ingatlanpiac évtizedes kérdéseiről. Dögunalmas szakmai adásunkban szó lesz a... The p
Külföldre költözés matematikája
Hamarosan itt a választás, ilyenkor sokan szokták megfogadni, hogy valamilyen eredmény esetén emigrálnak. Ezeket általában nem kell komolyan venni, valószínűleg üres lenne az ország, ha tényl
Tőzsdei túlélőtúra: Hogyan kerüld el a leggyakoribb kezdő hibákat?
A tőzsdei vagyonépítés során kulcsfontosságú az alapos kutatás és a kockázatok megértése, valamint a hosszú távú célok kitűzése és kitartó befektetési stratégia követése.
Tőzsdézz a világ legnagyobb piacain: Kezdő útmutató
Bemutatjuk, merre érdemes elindulni, ha vonzanak a nemzetközi piacok, de még nem tudod, hogyan vágj bele a tőzsdézésbe.
Nagy ütést vinne be az oroszoknak von der Leyen: a magyar gazdaság is megérezheti?
Bekeményít az EU elnöke?
A magyar mezőgazdaság életben maradása múlik ezen: víz nélkül nem fog menni
Túl sok függ az időjárás szeszélyeitől.
Ismét téma a nyugdíjemelés: kik kaphatnának sokkal többet havonta?
Mi az a minimálnyugdíj, és hogy lehetne hatékonyan alkalmazni?
