főoldal

OT kiberbiztonság a NIS2 idején

Ma már minden iparvállalat hálózati infrastruktúrájának kialakításakor és annak mindennapos üzemeltetésekor kulcsfontosságú tényező a kiberbiztonság. Az elmúlt években felerősödő digitalizációs és automatizációs folyamatok ezt a követelményt tovább fokozták, valamint világszerte megszaporodtak az OT rendszerekkel szembeni kibertámadások is, amelyeknek kis- és nagyvállalatok, kritikus infrastruktúrák és a legkülönbözőbb létesítmények egyaránt célpontjai. A beláthatatlan károk megelőzése érdekében a megfelelő védekezés elengedhetetlen.

Bővebben…

főoldal / Hírek / ICT

Fontos határidő jár le jövő héten, 5 milliós bírság a vége, ha elmulasztja!

Lehet, hogy csak pár napja maradt cégének, hogy a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) nyilvántartásba vegye!

Miről is van szó?

Mond valamit a NIS2? Hallott már a 2023. évi XXIII. A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletrőlszóló törvényről? Sok cégvezető ismeri már, de valószínűleg még több nem. Miért fontos ez? Június 30-án a törvényben részletezett iparágakban tevékenykedő 50 főnél több alkalmazottal vagy 10 millió euró árbevétellel rendelkező cégeknek nyilvántartásba kell kerülniük a SZTFH-nál.

De mely iparágak érintettek?

Az alábbi iparágakban tevékenységet folytató cégek érintettek:

NIS2 által érintett szervezetek
Forrás: sztfh.hu

Önazonosítás

Fontos tudnia minden cégnek, hogy az SZTFH nem fog értesítést küldeni, hogy érintett-e a cég vagy sem. Ezt a cégnek kell felmérnie egy önazonosítási folyamatban. Ha úgy ítéli meg, hogy érintett, akkor 2024. június 30-ig regisztrálnia kell a céget az SZTFH honlapján! Aki ezt elmulasztja, arra várhatóan bírság vár, ami előreláthatólag milliós tétel lesz! További részletek a hatóság honlapján is elérhetőek.

KKV vagyok, van teendőm?

Alapvetően a KKV-k nem érintettek pár iparágat tekintve. Az alábbi területen tevékenykedő cégekre a törvény méretkorlát nélkül vonatkozik:

  • elektronikus hírközlési szolgáltató
  • bizalmi szolgáltató
  • DNS-szolgáltatást nyújtó szolgáltató
  • legfelső szintű domainnév-nyilvántartó
  • domainnév-regisztrációt végző szolgáltató

Nem vagyok biztos benne, mit tegyek?

A törvény 1 és 2. mellékletben részletezve találhatóak az érintett területek. Ha bármilyen kétely van Önben, akkor érdemes a hatósághoz fordulni. Ha nem kap visszajelzést időben, akkor érdemes benyújtani a regisztrációt, mert ha mégsem érintett a cég, akkor a hatóság elutasítja a kérelmet.

De mire ez a nagy hűhó?

Fontos tudni, hogy eddig kb. 400 cég regisztrált, de az SZTFH számítása szerint kb. 2 500-3 000 cég lehet érintett. Szóval nagyon sokan fogják az utolsó pillanatra hagyni a regisztrációt, Ön ne legyen közöttük!

Van olyan a tevékenységem a vállalkozásomban, ami érintett, de valós tevékenységet nem végez a cégem ezzel kapcsolatban. Akkor is érintett vagyok?

Röviden: igen. Fontos tudni, hogy ha szerepel a cég tevékenységi listájában az érintett iparág – és nem KKV a cég -, akkor is kötelező regisztrálni, ha nem végez ilyen tevékenységet a vállalkozás. Vagy törli a tevékenységet a listájából a cég, vagy regisztrál.

De mit kell tennem, ha érintett a cégem?

A hatóság oldalán több tájékoztató anyagot is lehet találni az önazonosítással és a nyilvántartásba vétellel kapcsolatban. Érdemes elolvasni őket. A nyilvántartásba vételhez az SZTFH 420 “Érintett szervezet nyilvántartásba vételére irányuló kérelmet kell kitölteni a cégkapu segítségével.

Nagy Imre Gábor

A szerző a ZETRON Kft. munkatársa, a Nemzeti Közszolgálati Egyetem Elektronikus Információbiztonsági vezető szakán végzett.

főoldal / Hírek / Jog

Kiberbiztonsági nyilvántartásba vételi kötelezettség – Engem is érint?

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény kiberbiztonsági felügyeleti jogkörrel ruházta fel az Szabályozott Tevékenységek Felügyeleti Hatóságát azon a vállalatok, szervezetek vonatkozásában, amelyek a társadalom és a gazdaság működése szempontjából alapvető szolgáltatásokat, illetve a digitalizáció fejlődése miatt nélkülözhetetlen infrastrukturális szolgáltatásokat nyújtanak.

A törvényben meghatározott szervezeteknek első feladata, hogy nyilvántartásba vetessék a szervezetüket a hatóságnál. Nem egyszerű azonban eldönteni, hogy kik azok, akikre a regisztrációs kötelezettség vonatkozik.

Érintett szervezet, aki:

  1. Mikro- vagy Kisvállalkozás és az alábbi tevékenységet végzi (vagy abban érintett):
    1. elektronikus hírközlési szolgáltató
    2. bizalmi szolgáltató
    3. DNS-szolgáltatást nyújtó szolgáltató
    4. legfelső szintű domainnév-nyilvántartó
    5. domainnév-regisztrációt végző szolgáltató
  2. Közép- vagy nagy vállalat (50 főnél több munkavállaló vagy 10 Millió Euró feletti éves árbevétel) és:
    • Kibertantv. 1. melléklete szerint kiemelten kockázatos ágazatokban működő szolgáltató vagy szervezet:
      • Energetika
      • Közlekedés
      • Egészségügy
      • Ivóvíz, szennyvíz
      • Hírközlési szolgáltatás
      • Digitális infrastruktúra
      • Kihelyezett IKT szolgáltatások
      • Űralapú szolgáltatások
    • Kibertantv. 2. melléklete szerint kockázatos ágazatokban működő szolgáltató vagy szervezet
      • Postai és futárszolgálatok
      • Élelmiszer előállítása, feldolgozása és forgalmazása (az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerint élelmiszer-vállalkozás)
      • Hulladékgazdálkodás
      • Vegyszerek előállítása és forgalmazása
      • Gyártás
        • Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
        • Számítógép, elektronikai, optikai termék gyártása
        • Villamos berendezések gyártása
        • Máshova nem sorolt gépek és berendezések gyártása
        • Gépjárművek, pótkocsik és félpótkocsik gyártása
        • Egyéb szállítóeszközök gyártása
        • Cement-, mész-, gipszgyártás
      • Digitális szolgáltatók
      • Kutatás (kutatóhely)

Az érintettség meghatározásához érdemes átnézni az SZTFH által összeállított anyagot.

Jelenleg nincs hivatalos TEÁOR szám lista, kikre vonatkozik a törvény, csupán az érintett ágazatok felsorolása olvasható a mellékletekben.

Bizonytalanság esetén érdemes beadni a kérelmet, ugyanis az elbírálás során elutasító választ kapnak azok, akikre nem vonatkozik a törvény. Ezzel megelőzhetőek a későbbi szankciók és bírságok, mert bevallási szándék teljesült.

A nyilvántartásba vétel határideje 2024. június 30.

A vállalkozások az alábbi felületen Cégkapun keresztül végezhetik el a nyilvántartásba vételt: https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/

Dél-Dunántúli Gazdaság

Biztonság, informatika és a rövidítések

Ha végig gondoljuk az utóbbi napokban milyen hírekkel találkoztunk, biztos találni fogunk közte olyat, aminek a témája, hogy miképp szivárogtak ki jelszavak, vagy milyen rendszert törtek fel és loptak el adatokat, esetleg egyszerűen egy megtévesztő sms-el csaltak ki pénzt valakitől. Legtöbb esetben vállat vonunk és mint oly sokszor arra gondolunk, hogy ez velünk nem történhet meg. De valóban nem történhet meg? Egy egyszerű ellenőrzést kérek az olvasótól. Kattintson rá a https://haveibeenpwned.com/oldalra, és nézze meg, hogy az általa használt email címek közül bármelyiknek is a jelszava kiszivárgott-e valaha.

Have i been pwnd?

Ha igen, akkor nagyon gyorsan változtassa meg. Természetesen, ha minden zöld, az egy jó jel, de nem elégséges, mert csak a jelenlegi helyzetet mutatja, ami bármikor megváltozhat.
Azonban, hogy ezért a cégek, amelyekkel kapcsolatban vagyunk mit tesznek, azzal kapcsolatban szeretnék bemutatni két irányelvet.

Az utóbbi hónapokban a hírek között számos új informatikához, kiberbiztonsághoz kapcsolódó rövidítés jelent meg. A kiberbiztonság megteremtése mindenki számára fontos, de sajnos a tapasztalat szerint kevés időt és energiát szánunk rá, mert természetesnek vesszük. Ezért az EU is lépett, hogy változtasson ezen a helyzeten. Az EU törekvéseivel most a legtöbben a NIS2 irányelv és a DORA rendelet kapcsán találkozhattak. De mit is jelentenek és miért is érintenek mindenkit az ehhez kapcsolódó tevékenységek.

Egy rövid kitérőt kell tennem, hogy a két rövidítést érhetően be tudjam mutatni. Amikor 2018. május 25-től alkalmazni kellett a GDPR rendeletet, azt legtöbben onnan vették észre, hogy minden weboldal rákérdezett a sütik (angolul cookies) használatra. Sokan nem értették, hogy miért van erre szükség, mert csak plusz idő. Valójában ennek a rendeletnek a lényege, hogy a saját személyes adatainkat védje a nagy tech cégek ellen. És ebből a szempontból rávilágítson arra, hogy a személyes adat egy rendkívül fontos érték, amivel foglalkozni és védeni kell.

Természetesen nem ez volt az első, ahol EU-s szinten fogalmaztak meg stratégiákat és ajánlásokat, de az első, ami széles körben ismert lett, mert mindenkit érintett.
Azonban adatokat, információkat nem csak a személyes érintettség okán kell megvédeni.

DORA rendelet alapvetően pénzügyi szervezetekre pl. bankok és a nekik IT szolgáltatást nyújtó külső vállalkozókra vonatkozik. Azzal mindenki egyetért, hogy szeretné biztonságba tudni a pénzügyi adatait. A DORA az eddigi törekvéseket próbálja úgy egységesíteni, hogy a teljes EU-s pénzügyi szektorra ír elő egységes, arányos és kockázatalapú megközelítést a kiberbiztonság terén.

Ez azt is jelenti, hogy ezzel kapcsolatban – ha nem ebben az iparágban dolgozunk – akkor plusz teendőnk nem lesz. Azonban a bankok továbbra is mindent meg fognak tenni, hogy az adataink védve legyenek.

A NIS2 direktíva, ahogy a nevéből adódik, már egy korábbi ajánlás továbbfejlesztése. Gondoljunk bele, hogy mi történne, ha valamiért megszűnne az áramszolgáltatás. Vagy egyszerűen elmegy az internet. Vagy elfogy a chip, ami miatt nem tudunk új autót gyártani.

Mindegyik olyan esemény, ami, ha megtörténik, akkor azonnal, érezhetően befolyásolja az életünket. A NIS2 direktíva a kiberbiztonsággal kapcsolatban ír elő kötelező lépéseket, hogy ez ne történhessen meg azáltal, hogy pl. az informatikai rendszerünket feltörik. A NIS2 itányelv a jogrendszerbe történő beillsztése Magyarországon is megtörtént, az ezzel kapcsolatos első törvény a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről. Természetesen nem mindenki tartozik a törvény hatálya alá, de sokkal többen, mint elsőre gondolnánk. Az érintett szervezetek a SZTFH alá tartozó Kiberbiztonsági Felügyelethez kell bejelentkezniük. Érdemes sietni, mert június 30-ig kell regisztrálni.

Ami azonban mindenkinek látható lesz a NIS2-ből, hogy a direktíva nagy hangsúlyt helyez az ismeretterjesztésre. Miért fontos ez? Például azért, hogy felismerjük, ha meg akarnak téveszteni, át akarnak verni minket. Hiszen, ha a munkahelyünkön olyan levelet nyitunk meg, ami vírust tartalmaz, azzal akár lebéníthatjuk cég működését is. Ez pedig veszteség. Egy kisebb cég esetében is látható kárt tud okozni egy váratlan, több órás leállás, egy miltiról nem is beszélve. Ezért a felhasználók tudatosítása, képzése rendkívül fontossá vált és erre folyamatosan időt és energiát kell szánni.

 

Nagy Imre

Zetron Kft.

főoldal / Hírek

Információk a kiberbiztonsági törvénnyel kapcsolatban

Az országgyűlés 2023. május 3-i ülésnapján elfogadta a kiberbiztonsági tanúsítási és felügyeleti törvényt.

Mely ágazatokra vonatkozik a törvény?

Két csoportra oszlanak azok az ágazatok – kockázatos és kiemelten kockázatos -, amelyekre a hatálya kiterjed. Az alábbi területeken működő szervezetek és szolgáltatók elektronikus információs rendszereire kell alkalmazni a törvényben foglaltakat.

Kiemelten kockázatos ágazatok:

  • Energetika (Villamos energia, Távfűtés és hűtés, Kőolaj, Földgáz, Hidrogén)
  • Közlekedés (Légi közlekedés, Vasúti közlekedés, Közúti közlekedés, Vízi közlekedés, Tömegközlekedés)
  • Egészségügy
  • Ivóvíz, szennyvíz (Vízközmű szolgáltatás)
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra
  • Kihelyezett IKT (információs és kommunikációs technológia) szolgáltatások
  • Űralapú szolgáltatás

A kockázatos ágazatok pedig az alábbiak:

  • Postai és futárszolgálatok
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek előállítása és forgalmazása
  • Gyártás (Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, Számítógép, elektronikai, optikai termék gyártása, Villamos berendezések gyártása, Máshova nem sorolt gépek és berendezések gyártása, Gépjárművek, pótkocsik és félpótkocsik gyártása, Egyéb szállítóeszközök gyártása, Cement-, gipsz-, mészgyártás)
  • Digitális szolgáltatók

Mik a teendők ezekben az ágazatokban?

A fenti ágazatokban működő szervezeteknek gondoskodniuk kell az elektronikus információs rendszereik és azok fizikai környezetének a biztonságáról, a kiberfenyegetések által okozható károk mértékével arányos módon. Ez magában kell, hogy foglalja az adatok, valamint az elektronikus információs rendszerek révén elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

Forrás és további információ

EU / Hírek / ICT

1,3 milliárd euró a Digitális Európa programból Európa digitális átállására és a kiberbiztonságra

Az Európai Bizottság elfogadta a Digitális Európa Program (DEP) 2023-2024-es munkaprogramját. A Bizottság két többéves munkaprogramot fogadott el a Digitális Európa programhoz, amelyek felvázolják azokat a célkitűzéseket és konkrét tématerületeket, amelyekre összesen 1,284 milliárd euró támogatás jut, amelyből 2023-ban 553 millió euró áll rendelkezésre.

Bővebben…

EU / Hírek / ICT / Pályázatok

Új finanszírozási felhívások a Digitális Európa program keretében a kiberbiztonság növelésére

Az Európai Bizottság felhívást tett közzé vállalatok, közigazgatási szervek és egyéb szervezetek számára, hogy nyújtsanak be javaslatokat innovatív kiberbiztonsági megoldásokra, és pályázzanak uniós finanszírozásra a Digitális Európa program keretében.

Bővebben…