NIS2 néven új szabályozást vezet be az Európai Unió, a szabályokat a tagországoknak, így hazánknak is 2024. október 18-ig kell implementálni. Sok cég azonban még azt sem tudja biztosan, vonatkozik-e rá az előírás – erről és a már régóta ismert TISAX autóipari szabványról kérdeztük Dr. Répás Sándort, aki maga is vezet képzéseket a CertUnion Tudásközpontjában, mindkét témában.
Mi pontosan a NIS2 és miért volt szükség a bevezetésére?
Már a 2000-es évek elejétől megkezdte az EU a kritikus infrastruktúra védelmével kapcsolatos szabályozás kialakítását. Majd ehhez kapcsolódóan, 2016-ban pedig a hálózati szolgáltatások védelmével kapcsolatos irányelvét is kiadta, mely az informatikai rendszerek biztonságát hivatott fokozni. Ez volt a NIS direktíva, ami ma is érvényben van. Ez azonban már nem felel meg a kor biztonsági kihívásainak, a cél ennek a továbbfejlesztése. Az igény pedig a geopolitikai helyzet, többek között az orosz- ukrán háború miatt merült fel, ami arra is rávilágított, mennyire kiszolgáltatottak vagyunk már az infokommunikációs technológiáknak. Ezért szeretné az EU mint jogalkotó a létfontosságú rendszereket, a hálózati szolgáltatásokat is sokkal szigorúbban szabályozni. A legfontosabb cél, amit úgy neveznek, hogy kiber-reziliencia, a kiber-ellenállóképesség fejlesztése.
Mit jelent ez az ellenállóképesség pontosan? Feltörhetetlen hálózatokat kell létrehozni?
Ez egyrészt valóban azt jelenti, hogy minél nehezebb legyen valamit feltörni, kihívást jelentsen eredményesen megtámadni, de tudjuk, hogy tökéletes rendszer nem létezik. Ezért az is cél, hogy ha egy hálózatot, rendszert mégis feltörtek, megtámadták, akkor viszonylag gyorsan vissza is tudjon állni a szolgáltatás. Például, ha egy informatikai támadás miatt leállítanak egy távközlési szolgáltatót, akkor szünetel egy adott országrészben az internet. De a cél az, hogy viszonylag gyorsan újra tudjon indulni a szolgáltatás.
Ha ezt be tudnák tartani a szervezetek, sokkal nagyobb biztonságban lehetne mindenki, de ez rengeteg erőforrást igényel: pénzt is, időt is, szakembert is.
Kikre vonatkozik pontosan ez az előírás? Magyarországon hány céget érint a szabályozás?
Az SZTFH szerint (Szabályozott Tevékenységek Felügyeleti Hatósága – amely ennek a szabályozásnak a felügyeleti szerve) 2000-2500 céget érint. Szerintem inkább 3000 körüli ez a szám. Nagyon sok kkv van köztük, amelyek internetszolgáltatással vagy távközléssel foglalkoznak. De számos más profilú cég is, pl. az autógyártás is, a biológiai laborok, tehát elég széles a skála, hogy milyen ágazatokat érint a jogszabály bevezetése.
Ezért mondom azt, hogy egyszerűen nem lesz elég szakember, aki felkészítse ezt a közel háromezer céget, még akkor sem, ha azt feltételezzük, hogy közülük akár már ezer nagyon jól áll.
Egyszerűen nincs ennyi információbiztonsággal foglalkozó szakember itthon, aki ezt meg tudná csinálni.
Sok cég még azt sem tudja, hogy vonatkozik rá a NIS2 szabvány. Hogy állnak a cégek a bevezetéssel?
Ahogy említettem a beszélgetés elején, ez egy EU-s előírás, amelyet a hazai jogrendben is adaptálni kell. A céldátum a NIS2 esetében 2024. október 18-a. Tehát erre az időpontra az érintett cégeknek meg kell felelni a jogszabálynak.
Ehhez képest én azt tapasztalom, hogy van, akinek fogalma sincs róla, hogy egyáltalán érinti.
Van, aki azt gondolja, hogy nála minden feltétel teljesül – majd az audit során kiderül, hogy koránt sincs így. És vannak olyanok – például az autógyártók –, ahol valóban elég komoly rendszerek is vannak, de mondjuk a beszállítóiknál már előfordul, hogy még szinte sehol sem tartanak.
De azoknál a cégeknél, például kisebb internetszolgáltatóknál, ahol saját érdekükből már sokat költöttek a biztonságra, náluk is felmerül most számos új adminisztratív feladat, amivel eddig nem foglalkoztak. Ha van két-három dolgozója egy ilyen vállalkozásnak, nem biztos, hogy még szabályzatok írására is jut elég idő.
Mit tehetnek a cégek, ha meg akarnak felelni a szabályozásnak?
A szakemberhiányra megoldás lehet a képzés. Konferencia és webinár sok van a témában, én azonban úgy gondolom, hogy félnapos, vagy néhány órás eseményen nem lehet felkészülni a NIS2 bevezetésére. Ezért a Tudásközpontban egy olyan felnőttképzési programot állítottunk össze, ami többnapos képzést jelent. Ennek során már elég jól fel lehet készíteni a szakembereket arra, hogy mit hogyan lehet megoldani. Mivel ez egy nagyon nagy terület, nem lehet ennyi idő alatt sem átadni mindent, de egy jó részét, amit fontosnak/legnehezebbnek látok benne, arról részletesen lehet beszélni, felkészülni rá. Ez a képzés azoknak a szakembereknek szól, akik már mondjuk informatikusként dolgoznak egy gazdasági szervezetnél. Ők a képzés után nagyrészt meg tudják önerőből ugrani a feladatot.
Ezek a képzések az október 18-ai határidő előtt elvégezhetők?
Mindenképpen. Lehetőség szerint több képzést is szeretnék, legalább két fajtát: egyik a vezetőknek, másik az informatikusoknak és azoknak, akik velük dolgoznak. Illetve talán még egyet érdemes a kockázatelemzésről szervezni, de ehhez meg kell várni a pontos jogszabály megjelenését, akkor érdemes lenne egy képzést erre is indítani.
A TISAX képzés viszont már hosszú idő óta elérhető a Tudásközpontban. Mire vonatkozik ez a szabvány pontosan?
Ez kifejezetten egy autóipari információbiztonsággal foglalkozó rendszerszabvány. Az autóiparban meglehetősen sok a nagyon drága kutatás, az iparági szereplők féltik a titkaikat, ezért viszonylag jól vigyáznak is rá.
A TISAX szabványt a német autógyártók hozták létre közösen, hogy a beszállítóikat ne saját maguknak kelljen külön-külön auditálni, hanem el tudja végezni ezt egy külső auditor is.
A TISAX maga valójában egy elvárásgyűjtemény, nem egy ISO audit. Itt nem tanúsítványt, hanem címkéket kapnak a vállalatok, és ezt nem is tudják máshol használni, például kitenni a weboldalra. Ez egy teljesen zárt rendszer. Az léphet be, aki kifizeti a díjakat, jelentkezik és esetleg auditáltat is. Vagy ha nem auditálja saját működését, akkor auditot követel meg valaki mástól, és ebben a rendszerben nézheti meg az audit eredményt.
Ez egy nagyon meghatározott kör, akiket érint ez a fajta tanúsítás. Miért érdemes mégis megcsináltatni egy cégnek?
Magyarországon a német autóipar az egyik legfőbb része a gazdaságunknak, sok gyárat érint. Ezek pedig egyre inkább megkövetelik a magyar beszállítóiktól, hogy legyen valamilyen szintű TISAX megfelelésük. Ez a legkülönbözőbb gyártókat érinthet, aki mondjuk lámpabúrát, vagy akkumulátor csatlakozót gyárt, annak meg kell ezt csinálni, majd megmutatni, hogy elvégeztette az auditot és megfelelt.
Kiknek szól az Autóipari információbiztonsági belső auditor képzés a Tudásközpontban?
Akitől autóipari beszállítóként megkövetelik a TISAX auditálást, annak két lehetősége van. Vagy megbíz valakit kívülről, hogy segítse őt a felkészülésben az auditra, vagy ha nem szeretne külső felkészítőt, esetleg szeretne sok mindent maga megcsinálni, akkor ő maga is jelentkezhet a képzésre. Számos szakembernek hasznos lehet, hiszen az autóipar eléggé specifikus. Nemcsak informatikusokat érint a téma. Például a minőségbiztosítási szakembernek is tud újat mondani a képzés, ugyanígy, ha van információbiztonsági szakember a cégnél, ő is profitálhat belőle.
Három területe van egyébként, a TISAX-nak. A legfontosabb az információbiztonság, de a prototípus -, és a személyes adatok védelme is ide tartozik.
Meddig lehet érdekes még a autóipari információbiztonsági belső auditor képzés, nem fog ez kifutni?
A legtöbb autóipari cégnél ez az előírás, kötelezettség még csak az első beszállítói szinten kötelező. Azt gondolom, ha ebben a körben cég elvégzi az auditálást, akkor előbb-utóbb a teljes beszállítói láncra vonatkozni fog. Érdemes erre már időben felkészülni. Szerintem TISAX-témában még évekig biztosan szükség lesz a szakemberek képzésére.