NIS2 és DORA: Kiberbiztonság az ellátási láncban

|

dr. Szabó Tamás ( Bajcsay & Társai Ügyvédi Társulás )
NIS2 és DORA: Kiberbiztonság az ellátási láncban

A mai gazdasági viszonyokban egy adott termelő vagy szolgáltató társaságnak számos kihívással kell szembenéznie. Az egyik ilyen – különösen ha nem ez a szakterülete – az egyre inkább feltörekvő és égető NIS2 és DORA kiberbiztonsági megfelelés. Azonban felmerül a kérdés, hogy meddig terjed a kibervédelmi optimum szintje? Mit tehet egy cég, illetve milyen IT céget kell megkeresnie, hogy garantálva legyen az ellátási lánc biztonsága, legyen szó általános kiberbiztonságról vagy specifikus pénzügyi szektorbeli elvárásokról.

A digitális átalakulás során az adatvagyon egyre nagyobb része kerül ki a helyi szerverekről, kerülnek megosztásra felhőszolgáltatók vagy más adatfeldolgozók, harmadik felek közreműködésével. Ebben a környezetben a cégnél tárolt adatokra vonatkozó kibervédelem és kiberstratégia már teljesen új kihívások és lehetőségek elé állítja a vállalkozásokat. A kiber-felfogás tehát issue-vá vált, sőt, igen nagy probléma, így adatvesztés esetén ez egy kulcsfontosságú stratégiai kérdés.

De melyek a szükséges lépések, hogy a vállalkozások igazán egy síkon legyenek a jelenleg igen aktuális NIS2 és a DORA korszakra?

Jogszabályi háttér: A NIS2, a DORA és a hazai kiberbiztonsági törvény

A modern gazdaság digitális összekapcsoltsága miatt a hálózatbiztonság már nem csupán egyéni vállalati érdek, hanem össztársadalmi és szuverenitási kérdés.

Az Európai Unió két említett karakteres jogszabálya mellett a kiberbiztonsági jogi keretet hazánkban a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény is meghatározza. Ugyan felmerülhetne, hogy főleg a DORA rendelet miatt a kiberbiztonság csak a pénzügyi szervezetek, illetve azok alvállalkozóinak fontos, ez azonban gyorsan megcáfolható.

Egy tudatos kibervédelmi stratégia csak akkor működik, ha az hermetikusan zár. Ekként, ha csak az ügyfelünk ügyfelének kötelessége betartani ezen előírásokat, ezen cég meg fogja követelni, hogy az egész beszállítói láncolat is hasonló védelemmel és megfeleléssel rendelkezzen. Így a kiberbiztonsági fókusz alapjaiban írja át a beszállítói-alvállalkozói láncolat hálózatbiztonságát és az IT-szolgáltatók és ügyfeleik kapcsolatát is (supply chain security).

A NIS2, a DORA és a hazai kiberbiztonsági törvény

Milyen szolgáltatók léteznek a szabályozások szerint?

Irányított szolgáltatók és az MSSP szerepköre

Az említett jogszabályok definiálják azokat a szereplőket, akik e lánc kritikus pontjait jelentik. A kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltatók azok a szervezetek, amelyek IKT-termékek, hálózatok vagy alkalmazások telepítését, üzemeltetését vagy karbantartását végzik. Gyakorlatilag ide tartoznak az IT infrastruktúrát felépítő, kialakító, karbantartó cégek, amelyek egy adott termelő/szolgáltató cég működésében alapvető beszállítónak minősül.

Amennyiben ezen felül kiberbiztonsági kockázatok kezelését is végzik e beszállítók, úgy a törvény irányított biztonsági szolgáltatónak (MSSP) minősülnek (NIS2 6. cikk 40. pont).

Ezek a szolgáltatók mélyen integrálódnak az ügyfelek rendszereibe, így az ő kiberbiztonsági szintjük közvetlenül meghatározza az általuk kiszolgált alapvető és fontos szervezetek ellenálló képességét is.

Kiberstratégia, megfelelés és incidenskezelés

A megfelelési felkészülés során a szolgáltatóknak figyelembe kell venniük, hogy az ellátási láncból eredő kockázatok kezelésének kötelező eleme a kiberbiztonsági kockázatkezelési intézkedéseknek. A felkészülés kulcsfontosságú eleme továbbá az incidenskezelési folyamat kidolgozása is. A szolgáltatóknak készen kell állniuk arra, hogy a tudomásukra jutott jelentős eseményekről haladéktalanul, de legkésőbb 24 órán belül megtegyék az első bejelentést a hatóságok (például a CSIRT) felé.

A NIS2 szerinti jelentős kiberfenyegetésről, a technikai jellemzői alapján feltételezhető, hogy jelentős vagyoni vagy nem vagyoni kárt okozva súlyos hatást gyakorolhat egy szervezet hálózati és információs rendszereire vagy a szervezet szolgáltatásainak felhasználóira. A DORA e fogalomba beemeli még a „jelentős IKT-vonatkozású esemény” kifejezését is, amelynek jelentős káros hatása van a pénzügyi szervezet kritikus vagy fontos funkcióit támogató hálózati és információs rendszerekre.

A zárt és folytonos védelem alapelvei

A NIS2 21. cikke előírja, hogy az ellátási lánc biztonságának ki kell terjednie a szervezet és közvetlen beszállítói vagy szolgáltatói közötti kapcsolatok biztonsági szempontjaira is. Innentől tehát nem pusztán az árverseny dönt egy beszállító kiválasztásában, hanem az érdekeinknek megfelelő kibertudatosság és kibervédelem garantálása is elvárt.

A szolgáltatóknak a zárt, teljeskörű és folytonos védelem elvét kell alkalmazniuk, összhangban a NIS2 szabályozással. Ez azt jelenti, hogy:

  • A kibervédelemnek az időben változó körülmények között is megszakítás nélkül meg kell valósulnia.
  • Hatékony IT, technikai, operatív és szervezési intézkedéseket, protokollokat kell fenntartani,
  • Az összes számításba vehető fenyegetést előrelátóan figyelembe kell venni.
  • A ráfordított költségeknek arányosnak kell lenniük a fenyegetések által okozható károk értékével.

A bizalom alapja: Szerződéses garanciák és transzparencia

A szolgáltató felelős azért, hogy amennyiben közreműködőt vesz igénybe, a kiberbiztonsági követelmények szerződésben rögzített kötelemként teljesüljenek. Ez kényszeríti a hálózatbiztonsági szolgáltatókat arra, hogy átláthatóvá tegyék saját belső folyamataikat is.

A szerződéses minimum-tartalomról, azaz a pénzügyi szervezet és a harmadik fél IKT-szolgáltató jogairól és kötelezettségeiről a DORA 30. cikke szól tételesen.

Ezek között az alábbi főbb kategóriák szerepelnek:

  • IKT-szolgáltatások egyértelmű és részletes leírása, azok kiszervezése megengedett-e;
  • adatkezelés/tárolás és IKT-szolgáltatásnyújtás földrajzi helyszínei;
  • adatok hozzáférésére, integritására vonatkozó előírások;
  • SLA-szabályozás;
  • együttműködés, támogatási stratégia;
  • Exit plan – felmondás, átmeneti időszak.

Milyen szolgáltatásokkal segíthet egy IT cég az ellátási lánc biztonságában?

Az IT cégek, mint tisztáztuk kihelyezett infokommunikációs szolgáltatóként járulhatnak hozzá az ellátási lánc védelméhez hálózatok és infrastruktúrák telepítésével, karbantartásával és üzemeltetésével. Meghatározó szolgáltatásuk a sérülékenységvizsgálat (pentest), valamint a rosszindulatú támadásokat szimuláló behatolásvizsgálat, amelyek feltárják az informatikai rendszerek technikai hiányosságait. E körben a DORA rendelet a pénzügyi szervezetek esetében kifejezetten a fenyegetés alapú behatolásvizsgálatokat (TLPT) írja elő. Emellett e cégek független auditorként ellenőrizhetik a szervezetek védelmi intézkedéseinek jogszabályi megfelelőségét.

A kiberbiztonsági incidenskezelés során az IT-cégek termékei közreműködnek az események észlelésében, elemzésében és a gyors helyreállításban, ezáltal tesztelve a rendszerek ellenálló képességét. Szolgáltatásaik közé tartozik a munkavállalók kiberbiztonsági képzése is, amely alapvető a kiberhigiénia fenntartásához. Végül technikai platformokat és mechanizmusokat biztosíthatnak a kiberfenyegetésekre vonatkozó önkéntes információmegosztási megállapodásokhoz, összhangban a NIS2 és DORA szabályozás követelményeivel.

A források alapján egy IT szolgáltató az alábbi konkrét megoldásokkal támogathatja ügyfelei megfelelését és az ellátási lánc átláthatóságát:

Sérülékenységvizsgálat és technikai audit

  • Az ügyfél rendszereinek proaktív átvizsgálása, például a behatolásvizsgálat (pentest) által. Leegyszerűsítve, ilyenekor a rosszindulatú támadások jóhiszemű tesztelése, a védekezés szimulációja, hogy azonosítsák a gyenge pontokat.
  • A DORA rendelkezései a pénzügyi szervezeteknek fenyegetés alapú behatolásvizsgálatot (TLPT) lehet elvégeztetniük. A szolgáltatók részt vehetnek ebben, mint külső tesztelők, ha rendelkeznek a megfelelő szakmai felkészültséggel, technikai képességekkel.

Kiszervezett kibervédelem

  • A szolgáltató átvállalhatja a kiberbiztonsági kockázatok kezelését, biztosítva a folyamatos monitorozást és az azonnali riasztási mechanizmusokat. Ez segít az ügyfeleknek a 24 órás jelentéstételi kötelezettség teljesítésében is, valamint hathatósan képes kezelni az incidenseket, fenntartani a biztonságot egy outsourcing után ezen szolgáltató.
  • A szolgáltató optimálisan olyan rendszereket és eljárásokat üzemeltethet és értékesíthet, amelyek minimális leállási idő mellett garantálják az adatok integritását és visszaállítását egy-egy incidens, vagy behatolási esemény után.

Exit plan és üzletmenet-folytonossági támogatás

  • Az IT cégek segíthetnek az alvállalkozói jogviszony megszüntetésénél, ha egy olyan kilépési adatszobát alakítanak ki, amelyben a dokumentáció és az elszámolás biztonságosan történik. Ez a szolgáltatás lehetővé teszi az adatok biztonságos leválasztását és migrációját egy másik szolgáltatóhoz. Valamint, a tesztelésékkel olyan megoldásokat azonosíthatnak, amelyek az üzletmenet-folytonosságot továbbra is biztosítják.

A hálózatbiztonsági szolgáltatóknak a jövőben nem csupán technikai szakértőként, hanem a kiberbiztonsági kockázatmenedzsment keretrendszer szerves részeként kell működniük. Az új kiber-érára való felkészülés során stratégiai és értékesítési szinten fókuszálni kell az IKT-kockázatkezelésre, a transzparenciára és az auditálhatósági követelményekre. Továbbá fenn kell tartani a működési rezilienciát a zero trust policyt és az MFA rendszereket.

A NIS2 és a DORA nem csupán adminisztratív teher. Hanem lehetőség a piaci szereplők gyakorlatának „kifehéredésére” és egy integráltabb, biztonságosabb európai belső piac megteremtésére. Az IT cégek által végezhető szolgáltatások együttesen biztosítják, hogy az ellátási lánc ne csak egy „fekete doboz” legyen, hanem egy folyamatosan ellenőrzött, zárt, teljes körű és folytonos védelmi rendszer. Ez figyelemmel van a láncolat elemeire, mégis egy hermetikus rendszert alkot. Ezen felfogást első körben egyes cégcsoportok, leány-anyavállalatok tudják kiaknázni.

Összegző táblázat: Az IT szolgáltatások az ellátási lánc védelmében

Összegző táblázat: NIS2 és DORA

Ha kiberbiztonsági, vagy kiberhigiénés kérdéssel szermbesül, a Rendszerinformatika Kft. hosszú évek tapasztalatával nyújt megbízható szakértelmet a modern IT-környezetben. Cégünk a korszerű IT-eszközökkel támogatja partnereit, így a biztonságos működés alapjai mindig biztosítottak.

Ha szeretne ehhez egy támpontot, vegye fel velünk a kapcsolatot az alábbi űrlap kitöltésével.

E-mail: office@bajcsaylegal.com
Telefonszám: (0036) 1 404-5983

( * kötelező mező )
Mindkét hozzájárulás szükséges, hogy felvehessük veled a kapcsolatot a megkeresésed kapcsán!
– Szolgáltatásaink csak cégek és gazdasági társaságok számára elérhetőek –

További cikkeink

WAN vs LAN: Mi a különbség?

WAN vs LAN: Mi a különbség?

A hálózati architektúra az üzletmenet-folytonosság alapja. Cikkünkben részletezzük a LAN és WAN eltérő működési elveit, költségszerkezetét és biztonsági protokolljait, segítve a két technológia hatékony vállalati integrációját és a precíz tervezést.

Elolvasom »
Lenovo Thinkstation PGX nevű szuperszámítógép a mesterséges intelligencia megfelelő futtatására

Szuperszámítógép az asztalomon?!

AI-szuperszámítógép egy gyanúsan kicsi dobozban? Leteszteltem a Lenovo ThinkStation PGX-et, hogy kiderüljön, valóban képes-e irodai körülmények között nagy nyelvi modellek futtatására. Nem bíztam semmit a véletlenre: többnapos, éles terheléssel néztem meg, mit tud a gyakorlatban.

Elolvasom »

Ezeket olvastad már?

Kapcsolódó szolgáltatásaink

A Tovább gombra kattintva új ablakban nyílik meg az ügyfélportálunk.

Meglévő ügyfélként itt intézheti adminisztratív és technikai támogatással kapcsolatos ügyeit.

Mégse
Tovább

Köszönjük érdeklődését!

Meglévő szerződéssel vagy szolgáltatással kapcsolatos megkereséshez
kérjük kattintson ide!

Érdeklődésének tárgyát kérjük válassza ki a lenyitható listából!

( * kötelező mező )
Mindkét hozzájárulás szükséges, hogy felvehessük a kapcsolatot a megkeresés kapcsán!

– Szolgáltatásaink csak cégek és gazdasági társaságok számára elérhetőek –