Ideje elkezdeni a NIS2/DORA felkészülést

​A szervezeteknek alapvető érdekük lenne, hogy minél hamarabb elkezdjék a felkészülést az Európai Unió legújabb kiberbiztonsági jogszabályaira.
 

Az EU új jogszabályokkal cseréli le a korábbi kiberbiztonsággal összefüggő irányelveket, hogy erősítse a kibervédelmet. Ezek közül kettő különösen meghatározóvá fog válni a következő években. A NIS2 irányelv, amely a 2016-os információbiztonsági irányelv (NIS) helyébe lép, illetve a Digital Operational Resilience Act (DORA), amely egy pénzügyi szektor védelmének erősítését célzó rendelet.
 
Természetesen ez esetben is kulcsfontosságú lesz, hogy az egyes tagállamok hogyan ültetik át az Európai Unió által meghatározott követelményeket a saját jogrendszerükbe. A hazai vállalatok kiberbiztonsági fejlődésében is jelentős pozitív változásokat és valódi fejlődést hozhat, ha észszerűen alakítják ki a hazai jogszabályokat. Ugyanakkor a kibervédelmi szolgáltatóknak is kulcsszerepe lesz abban, hogy támogassák a vállalatokat az előírásoknak való megfelelőségben.
 
NIS2 és DORA
 
A NIS2 2023. január 16-án lépett hatályba, és az Európai Unió tagállamainak 2024. október 17-ig kell átültetniük a benne foglalt intézkedéseket a nemzeti jogba. A NIS2 kibervédelmi direktíva célja, hogy erősítse a kritikus infrastruktúrák kibervédelmét, és harmonizálja a különböző tagállamok kiberbiztonsági követelményeit, valamint az ezirányú intézkedéseik végrehajtását. A NIS2 a kritikus szektorokban tevékenykedő közepes méretű és nagyvállalatokra vonatkozik, beleértve a közlekedési és energiaszektort, a banki és pénzügyi ágazatot, az egészségügyet, a digitális infrastruktúra területeit, valamint a közigazgatást.
 
A DORA rendelet 2023. január 16-án lépett életbe, és 2025. január 17-től kell alkalmazni. Ez a jogszabály a pénzügyi szektor ellenállóságát kívánja erősíteni a kibertámadásokkal szemben egy egységes követelményrendszeren keresztül. Húszféle pénzügyi szervezetre terjed ki, illetve a külső IT-szolgáltatóikra, beleértve a felhőszolgáltatást, a szoftverfejlesztést, a supportot, a digitális szolgáltatásokat és az adatszolgáltatást biztosító vállalatokat.
 
Mit jelent mindez a gyakorlatban?
 
A DORA rendelet a jelenleg rendelkezésre álló információk alapján a pénzügyi szektor informatikai biztonsági szabályaival kapcsolatban fogalmaz meg szigorúbb előírásokat, hogy ezek az intézmények és szervezetek kritikus működési zavarok esetén is rugalmasan tudjanak reagálni. Az érintett vállalatoknak többek között foglalkozniuk kell digitális reziliencia stratégiával, incidenskezelési eljárásrenddel, kockázatkezelési rendszerrel és információbiztonsági irányítórendszerrel.
 
A NIS2 olyan rendelkezéseket foglal magában, amelyek betartásával a szervezetek hatékonyabban tudnak felkészülni, védekezni és elhárítani a kiberbiztonsági incidenseket, valamint megvédeni a kritikus infrastruktúráikat. Az érintett vállalatoknak nem csupán a saját rendszereikre kell figyelmet fordítaniuk, hanem az ellátási láncukra is. Folyamatosan monitorozniuk kell saját infrastruktúrájuk mellett a teljes beszállítói hálózatukat, hogy gyorsan azonosíthassák, validálhassák és rangsorolhassák a kockázatokat, illetve szükség esetén rövid időn belül elháríthassák a kiberbiztonsági problémákat. Konkrét gyakorlatok nem szerepelnek az irányelvben, ezért a végleges követelmények országonként eltérhetnek majd.
 

"Fontos figyelembe venni, hogy aki már most jól működő kibervédelmi rendszert épít ki, az jobban felkészül az új szabályozásokra, amelyek a következő években válnak számukra kötelező érvényűvé. A vállalatok ezzel nem csupán a szabályozásokat előzik meg, de a kiberbűnözőket is. Elemi érdekük már most foglalkozni a kérdéssel, folyamatosan napirenden tartani a témát, és nyomon követni a legújabb fejlesztéseket, fejleményeket, trendeket. Nem kell megvárniuk, amíg törvénybe iktatják a jó gyakorlatokat. Az ugyanis a legjobb gyakorlat, ha szabályozás nélkül is gondoskodnak az erős védelemről"

- foglalta össze Csendes Balázs, a BlueVoyant kelet-közép-európai, valamint a közel-keleti térségekért felelős értékesítési igazgatója.