Szerző:

NIS2 - minden, amit tudnod kell!

A 2023-ban elfogadott NIS2 EU irányelv – amely a NIS szigorítása – kötelezi Magyarország és az EU folyamatos működését biztosító szervezeteket arra, hogy a jövőben prioritásként kezeljék a kiberbiztonsági kockázatokat és olyan eljárásokat, módszereket vezessenek be, amelyekkel a kibertámadások megelőzhetők és kezelhetők. Célja az EU-s szintű kiberbiztonsági stabilitás megteremtése.

Kire vonatkozik a NIS2?

Több ezer hazai cég tartozik a NIS2 hatálya alá, amelyeknek rendszeres hatósági ellenőrzésekkel kell majd szembe nézni, illetve a külső, független auditok kockázatértékelése is kötelezővé válik.

Az auditálásra kötelezett vállalkozásoknak 2025 december 31-ig kell igazolniuk, hogy megfelelnek az előírásoknak, azaz minden olyan vállalkozásnak, amely:

  • 50 főnél több alkalmazottal rendelkezik,
  • vagy az éves árbevétel meghaladja a 10 millió eurót;
  • és beletartozik az alapvető vagy kritikus szervezet kategóriájába!
  • vagy akinek NIS2 hatálya alá eső szervezet a beszállítója;

Alapvető szervezetek:

  • postai és futárszolgálatok,
  • élelmiszer előállítása, feldolgozása és forgalmazása,
  • hulladékgazdálkodás,
  • vegyszerek előállítása és forgalmazása, gyártása
  • orvostechnikai, villamos berendezések, elektronikus eszközök stb. előállítása
  • digitális szolgáltatásokat (pl. webshopok, közösségi média platform, keresőmotor stb.) üzemeltetők
  • kutató szervezetek

Kritikus szervezetek

  • energetikai cégek az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén),
  • közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés),
  • egészségügyi szervezetek,
  • banki és pénzügyi szolgáltatók,
  • közigazgatási szervezetek,
  • ivó- és szennyvíz szolgáltatók,
  • hírközlési szolgáltatások,
  • űrkutatási szervezetek
  • digitális infrastruktúra-szolgáltatók (felhőszolgáltatók, domainnév-nyilvántartók, DNS szolgáltatók, internet szolgáltatók)

A NIS2 viszont nem vonatkozik a nemzetbiztonság, a közbiztonság, a védelem vagy a bűnüldözés szervezeteire.

Mire számíthat, aki nem felel meg a NIS2 előírásainak?

Komoly büntetés jár, ha egy érintett cég nem felel meg az előírásoknak: a kritikus besorolású cégek 10.000.000 eurós (vagy az előző évi árbevétel 2%-a, attól függ melyik a nagyobb) bírság megfizetésére kötelezhetők, továbbá a cégvezető is eltiltható. Az alapvető besorolású cégeknél a bírság 7.000.000 euró, vagy az előző évi árbevétel 1,4%-a szabható ki és szintén eltiltható a cégvezető.

Mit vár el a NIS2?

Az érintett cégeknek június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságnál, továbbá 2025 végéig el kell végezni a cég kiberbiztonsági átvilágítását egy külső auditor által.

A NIS2 előírja, hogy az érintett cégeknek kötelező:

  • ellenőrizniük beszállítóik kibervédelmi gyakorlatait,
  • oktatniuk alkalmazottaikat a kibervédelemről,
  • javítaniuk IT biztonságukat,
  • bejelenteniük incidenseiket.

Az intézkedésekre vonatkozó szabályok a következő területekre terjednek ki:

  • kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
  • eseménykezelés;
  • üzletmenet-folytonosság, például tartalékrendszerek kezelése (backup management), katasztrófa utáni helyreállítás, válságkezelés;
  • az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
  • biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
  • szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
  • alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
  • a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
  • humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
  • adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.

Hogyan segít a PassMan a felkészülésben?

Tedd meg az első lépést a megfeleléshez! A PassMan Céges Jelszókezelő egy hazai fejlesztésű PAM (Privileged Access Management) megoldás, amely a közép- és nagyvállalati kibervédelmi megoldások meghatározó szereplője, ráadásul az irányelv bizonyos előírásainak is segít megfelelni.

Íme néhány terület, ahol a PassMan segít a NIS2 megfelelésben:

1. Biztonságos jeszókezelés és titkosítás

A PassMan a céges jelszavaid AES 256-os titkosítással tárolja egy központosított rendszerben. A szoftver képes szinkronban tartani a jelszavakat (célrendszer és a jelszókezelő között) automatikus jelszógenerálással és cserével. Lehetőség van egységes jelszópolitika bevezetésére is, amely extra löketet ad céged kiberhigiéniájának.

2. Hozzáféréskezelés

A központosított rendszerben tárolt jelszavakhoz a felhasználók a megfelelő jogosultság esetében mobiltelefonon vagy számítógépen férhetnek hozzá. A hozzáférések akár részletesen testreszabhatók, pl. beállítható, hogy egy felhasználó a jelszó ismerete nélkül lépjen be egy célrendszerre, akár automatikusan, csak meghatározott ideig.

A rendszeren belül tárolt fiókokhoz a hozzáférés biztonságosan megosztható a felhasználók között egyszer használatos jelszó (OTP) generálásával is.

3. Többfaktoros hitelesítés

A felhasználónév/jelszó azonosítási eljárás kiegészíthető a PassMan saját QR kódos authentikációjával, vagy külső hitelesítő alkalmazás (Google, Microsoft, SAP, stb.) által létrehozott egyszer használatos bejelentkezési kódok alkalmazásával is.

4. Folyamatos auditálás, incidens kezelés

A folyamatos ellenőrzés érdekében a PassMan minden felhasználói tevékenységet rögzít. A munkamenetek rögzítésével (session recording) és visszajátszásával, továbbá a SIEM integráció lehetőségével felgyorsíthatod az elemzési és beavatkozási folyamatokat.

Az incidensek elkerülése érdekében 3-tagú klaszter felel a folyamatos rendelkezésreállásért, az adatokról pedig időzített biztonsági mentés is készíthető. A rendszer képes riasztásokat is küldeni, így IT csapatod időben beavatkozhat egy esetleges incidens esetén.

Próbáld ki a PassMan Céges Jelszókezelőt!

100% kockázatmentes!

Regisztrálj 30 napos, ingyenes próbaverziót szerverre vagy felhőben! Még bankkártya adatokat sem kérünk!

KIPRÓBÁLOM