Kikre vonatkozik az NIS2?
Az uniós NIS2 irányelv 2023 januárjában váltotta fel az eredeti NIS-t, a tagállamoknak pedig 2024 októberéig kellett beépíteniük saját jogrendjükbe. Az irányelv a legalább 50 fős vagy több mint 4 milliárd forintos éves árbevétellel rendelkező közepes és nagy cégeket kötelezi megfelelésre 18 kritikus szektorban, például az energetikában, közlekedésben, a banki szektorban, a digitális infrastruktúra-szolgáltatóknál és a közigazgatásban.
Azokat a szervezeteket, amelyek nem tartják be az előírásokat, borsos büntetések fenyegetik: a legfontosabb cégek akár 4 milliárd forintig vagy a teljes éves árbevételük 2 százalékáig, az egyéb jelentős entitások pedig 2,8 milliárd forintig vagy 1,4 százalékig terjedő bírságot kaphatnak.
Mi az alapvető különbség a kritikus cégek között?
Két kategória létezik: az elsőbe a létfontosságú, például energia-, bank-, egészségügyi és digitális infrastruktúra-szolgáltatók tartoznak, őket folyamatosan ellenőrzik, és a legmagasabb büntetésekkel sújthatják. A másodikba az olyan cégek kerülnek, mint a postai szolgáltatók, hulladékkezelők, élelmiszeripari szereplők – őket csak akkor vizsgálják, ha jogsértést észlelnek, és alacsonyabb a büntetési plafon. Mindkét csoportnak ugyanazokat a kibervédelmi előírásokat kell teljesítenie.
NIS2 és a jelszókezelés kihívásai
Az irányelv 21-es cikke kiemelten kezeli az identitás- és hozzáférés-kezelést, különösen a szervezeti jelszópolitika szigorítását. Az elavult, túlbonyolított jelszavak helyett a hosszú, könnyen megjegyezhető, egyedi jelszavak kerültek előtérbe: egy 15 karakteres, például “kávé-hegyikerékpár-égbolt” típusú jelszó nehezebb célpont a támadók számára. Alapkövetelmény a legalább 15 karakter, a jelszavak szűrése kiszivárgott adatbázisokban, az ismétlődések, gyakori minták és szótári szavak tiltása – valamint a kulcsfontosságú rendszerekben nem lehet újra felhasználni a régieket.
A kötelező, 60–90 naponta történő jelszócsere módszere elavult, ma már inkább adatszivárgás-figyelő rendszerek és csak szükség esetén jelszócserére felszólító eljárások számítanak bevettnek.
A többfaktoros hitelesítés új szabványa
Bár az NIS2 nem írja elő szó szerint az MFA-t, a háttérdokumentumok szerint a kiemelt hozzáférések és kritikus rendszerek esetén már elvárt. Így, még ha egy támadó hozzá is fér egy jelszóhoz, egy második védelmi szinttel is meg kell küzdenie. Az MI-alapú adathalászat vagy automatikus támadások ellen leginkább az ellenálló, modern MFA-módszereket ajánlott bevezetni.
Ez az NIS2-megfelelés gyakorlati menetrendje
Mindez azonban még csak a kezdet. Az első lépés a jelszó- és hozzáférési szabályzatok auditálása, és azok frissítése a korszerű normák szerint. Következő lépés egy jelszókezelő alkalmazásának bevezetése, valamint a kulcsfontosságú fiókok jogosultságainak rendszeres átvizsgálása. Folyamatosan monitorozni kell a kompromittált jelszavakat, bevezetni az MFA-t, kezdetben a legérzékenyebb területeken, majd kiterjeszteni.
Fontos a dolgozók oktatása, a legjobb jelszókezelési gyakorlatok ismertetése és az új előírások miértjének kommunikálása – ugyanis a szabályok betartásához érteniük kell azok jelentőségét. Ezért nem a minél több biztonsági szoftver beszerzése a cél, hanem a szervezet számára valódi védelmet nyújtó, ésszerű, a csapat számára kezelhető megoldások kidolgozása.
