Mi is az a NIS2?

A NIS2 irányelv az Európai Unió szabályozása, melynek célja a kiberbiztonsági képességeknek az egész Unióban történő egységes kiépítése, kifejezetten a kritikus infrastruktúrákra vonatkozóan, lépést tartva az egyre veszélyesebb és gyakoribb kiberbiztonsági fenyegetésekkel. 2024. október 17-től kezdődően a tagállamok kötelesek a saját nemzeti jogrendszerükbe beépíteni az irányelvet, így Magyarország kiberbiztonsági törvényében is megtalálható. A NIS2 jellemzően nem konkrét eszközöket, műveleteket vagy intézkedéseket tartalmaz, hanem jogi kötelezettségeket és elvárásokat fogalmaz meg. 10 szükséges intézkedést, valamint követelményeket határoz meg a szervezeteknek 4 átfogó területen.

Miért fontos a NIS2 megfelelés?

Az irányelvnek való megfelelés az összes hatálya alá eső szervezet számára kötelező. A meg nem felelés súlyos pénzbírságot és jogi következményeket vonzhat, így a szervezetek számára a megfelelő kiberbiztonság megteremtése mellett, a negatívumok elkerülése érdekében is érdemes megtenni a szükséges lépéseket.

Mely szervezetekre vonatkozik?

A NIS2 a hatálya alá tartozó szervezeteket iparágak, valamint méret és/vagy bevétel alapján is meghatározza. Tehát, a hatálya alá esik egy szervezet, amennyiben a következő iparágak egyikébe tartozik:

• az energia, energiagazdálkodás,
• a közlekedés és szállítás,
• az egészségügy, gyógyszeripar,
• a víz, és szennyvíz,
• a banki és pénzügyi szolgáltatások,
• hírközlési szolgáltatás, a digitális infrastruktúra,
• a kihelyezett IKT szolgáltatások,
• a világűr földi támogatói infrastruktúrái,

és legalább 50 fő alkalmazottal, vagy legalább évi 10 millió eurós árbevétellel rendelkeznek.

Követelmények 4 átfogó területen:

Menedzsment: vezetőség hozzáállása és elkötelezettsége a kiberbiztonság biztosítása és növelése mellett.

Hatósági jelentések: létre kell hozni egy jelentési rendszert a hatóságok felé, a helyi követelményeknek megfelelően.

Kockázatcsökkentés: a kiberbiztonsági kockázatok csökkentésének érdekében bizonyos intézkedéseket kell tenni. Ezek magukba foglalják az incidenskezelést, megerősített ellátási lánc biztonságot, fokozott hálózati biztonságot, jobb hozzáférés-szabályozást, titkosítást.
Redundancia: szükséges terv, intézkedések kiberbiztonsági incidensek kezelésére, hogy ilyen alkalmakkal is tudjon működni a szervezet: rendszerhelyreállítás, vészhelyzeti eljárás, válságkezelés.

10 szükséges intézkedés

1. Kockázatértékelés és biztonsági szabályozások informatikai rendszerekre
2. Terv kiberbiztonsági incidensek kezelésére
3. Tervezet a szervezet működésének biztosítására incidensek alatt és után
4. Biztonságos ellátási lánc és kapcsolattartás
5. Eljárások a biztonsági intézkedések hatékonyságának vizsgálatára
6. Terv a sebezhetőségek kezelésére és jelentésére
7. Kiberbiztonsági tréningek szervezése
8. Kriptográfia és titkosítás használata
9. Érzékeny adatok fokozott biztonsági eljárásokkal való kezelése
10. Többlépcsős azonosítás használata

Hogyan segíti a KGS a NIS2-nek való megfelelést?

A Kidde Global Solutions (KGS) – ezen belül az Aritech – olyan termékeket és szolgáltatásokat kínál, amelyek összhangban vannak a NIS2 irányelv által előírt kibervédelmi követelményekkel. A vállalat rendszereit a „Secure by Design” elv mentén fejlesztik, vagyis már a tervezési szakaszban figyelembe veszik a kiberbiztonsági szempontokat, ezzel minimalizálva a támadási felületeket és elősegítve a hosszútávú, megbízható működést.

A KGS egy globális termék-kiberbiztonsági architektúra keretében irányítja fejlesztési, üzemeltetési és innovációs folyamatait. Ez a keretrendszer kiterjed a biztonsági irányelvek meghatározására, a munkavállalók képzésére, valamint a beépített biztonsági funkciók fejlesztésére és rendszeres kockázatelemzésre. Az incidenskezelés, sebezhetőségek monitorozása, firmware frissítések és az élettartamra vonatkozó terméktámogatás teljes mértékben összhangban van a NIS2 követelményeivel.

A szervezeti megfelelés sem marad el: az Aritech saját Cybersecurity Council-lal, belső audit bizottsággal, valamint éves, minden munkavállalóra kiterjedő biztonságtudatossági képzéssel biztosítja, hogy a kiberbiztonság ne csak technikai, hanem szervezeti alapelv is legyen. Ez különösen fontos a NIS2 irányelv által előírt vezetői felelősség szempontjából.

Az Aritech termékportfóliója közvetlenül támogatja a NIS2 21. cikkében meghatározott technikai és szervezeti intézkedések végrehajtását:

Behatolásjelző rendszerek (Advisor Advanced, Everon x700)

• TLS-alapú titkosított kommunikáció, megbízható adatátviteli védelem
• Kétlépcsős hitelesítés, növelt hozzáférésbiztonság
• Integrált firmware frissítési lehetőség – kritikus biztonsági javítások gyors telepítése
• IP-alapú távmenedzsment és eseménynaplózás, SIEM-kompatibilitással

Beléptető rendszerek (Axon, CDC4)

• Jogosultságalapú hozzáférés-kezelés, auditálható engedélyezési rendszer
• Többfaktoros azonosítás támogatása (kártya + PIN, biometrikus azonosítás)
• Teljes körű eseménynaplózás és audit trail export, NIS2 logolási elvárásokhoz illesztve
• Szerepkör-alapú adminisztrációs rendszer, minimalizált jogosultsági szintelosztás

Videómegfigyelő rendszerek (TruVision)

• Hálózati hozzáférés titkosítása (HTTPS, RTSP-over-TLS), a videófolyam védelme érdekében
• Felhasználói szintű hozzáféréskontroll (admin, operátor, megfigyelő)
• Digitális bizonyíték integritás-védelem (vízjelezés, hash-elés)
• SIEM rendszerintegráció, az események központosított kezeléséhez

Kültéri védelmi megoldások

• Helyi és távoli riasztás, redundáns kommunikációs csatornák
• Zónaalapú logikai szeparáció, az elhatárolt zónák védelme érdekében
• Időalapú hozzáférés-szabályozás, pl. műszakos működés esetén
• Rendszerszintű önellenőrzés és automatikus hibajelentés

A KGS rendszerei az UltraSync technológiával titkosított VPN-alapú kommunikációra képesek, amely védi a felhasználókat a kiberfenyegetésektől. A kommunikáció többfaktoros hitelesítéssel, robusztus jelszóházirenddel és hardcoded eszköz-azonosítókkal is védett. Az ATS8600 integrált menedzsment szoftverrel biztonságosan lehet a KGS rendszereit, termékeit összekötni, és egyetlen szoftverben kezelni egy komplex biztonsági rendszert, megfelelve a NIS2 irányelv előírásainak.

Az Aritech megoldásai beépítve használják a TLS 1.2, AES-128 titkosítást, valamint támogatják az OWASP Top 10 és SANS biztonsági teszteléseket, ezáltal elősegítve a megfelelést olyan szabályozásoknak, mint a NIS2, a GDPR vagy a CNPP. A rendszerarchitektúra lehetővé teszi a kockázatalapú biztonságtervezést, és hosszú távon biztosítja az adaptív védekezési képességeket.

Mindemellett a KGS iparági szerepvállalása is példaértékű: alapító tagja az ISA Global Cybersecurity Alliance-nek, valamint CVE számozási hatóságként (CNA) részt vesz a globális sebezhetőség-koordinációban is. Ezek a kapcsolatok biztosítják, hogy a cég termékfejlesztése naprakészen reagáljon az új fenyegetésekre és jogszabályi változásokra.

Hogyan segítik a PartnerTech által forgalmazott eszközök a NIS2 direktíváknak való megfelelést? 

ATS Advanced x500 központ esetén:

• Az ATS8500 programozó szoftver és a központok között AES-128 titkosítással történik a TCP/IP kommunikáció.
• A központoknál korlátozható a központhoz távolról csatlakozni képes felhasználók köre, és a távoli csatlakozásnál elérhető jogosultságok.
• A központoknál beállítható, hogy a központhoz való csatlakozás csak a központ paraméterekben beállított IP címekről történhessen.
• A központok távoli elérése szükség esetén letiltható, vagy a fizikai kezelő egységen való engedélyezéshez köthető.
• A központok firmwarének fejlesztése folyamatos, kiemelt figyelmet fordítva az IT biztonsági előírásokra, ajánlásokra és tapasztalatokra.

Mivel a fizikai hozzáférés hatással lehet az IT biztonsági opciókra is, ezért itt is kiemelt funkciókkal rendelkeznek az ATS Advanced x500 központok:

• A központ EN50131 Grade 3 szabvány megfelelőséggel telepítve biztosítja a legmagasabb szintű fizikai védelmet.
• A rendszer telepítője is csak megfelelő szintű felhasználói hozzáférés engedélyezés után módosíthatja a beállításokat a fizikai kezelő egységen.
• A terület és érzékelő állapotok kijelzése letiltható, biztosítva ezzel a rendszer nehezebb kijátszhatóságát.
• Szükség esetén 10 karakteres PIN kód is használható a rendszer kezelésére.
• A megfelelő eszközökkel (pl.: ATS118X, ATS1140, ATS1136) használva a beléptetés kizárólag titkosított Mifare DesFire EV1 / EV2 kártyákkal valósulhat meg. Jelen technológiával ezek a kártyák nem másolhatóak, továbbá az olvasó csak az ilyen titkosítással ellátott kártyákkal lép működésbe.
• A megfelelő eszközökkel (pl.: ATS1180, ATS1140, ATS1136, CDC4) AES-128 titkosított kommunikáció valósul meg a központ és a kezelők / olvasók / bővítők között, így a kezelő / olvasó / bővítő nem játszható ki az eszköz fizikai cseréjével, mert nem fog megegyezni a titkosító kulcs. Régebbi rendszerek esetén – pl.: olvasók Wiegand illesztőn való csatlakoztatása – az olvasó és központ közötti kommunikáció könnyen másolható volt, továbbá a fizikai eszköz csere ellen sem volt védett a rendszer.
• Szükség esetén a fizikai hozzáférés biztonsága központ funkciókkal még tovább növelhető. Például: kártya és PIN kód alapú beléptetéssel, két kártyás beléptetéssel, két PIN kódos hatástalanítással, időzár alapú működéssel és számos egyéb funkcióval.

CDC4 / AXON beléptetés vezérlő egység esetén:

• Az ATS8500 programozó szoftver és a CDC4 között AES-128 titkosítással történik a TCP/IP kommunikáció.
• A CDC4-hez való csatlakozáshoz szükséges egy 10 digites számítógép csatlakozási jelszó.
• A CDC4 firmwarének fejlesztése folyamatos, kiemelt figyelmet fordítva az IT biztonsági előírásokra, ajánlásokra és tapasztalatokra.

Mivel a fizikai hozzáférés hatással lehet az IT biztonsági opciókra is, ezért itt is kiemelt funkciókkal rendelkeznek a CDC4 beléptetés vezérlő egységek:

• A CDC4-EN verzió Grade 3 szabvány megfelelőséggel rendelkezik.
• A megfelelő eszközökkel (pl.: ATS118X) használva a beléptetés kizárólag titkosított Mifare DesFire EV1 / EV2 kártyákkal valósulhat meg. Jelen technológiával ezek a kártyák nem másolhatóak, továbbá az olvasó csak az ilyen titkosítással ellátott kártyákkal lép működésbe.
• AES-128 titkosított kommunikáció valósul meg a CDC4 egységek és az ATS Advanced x500 központ között, így a bővítő nem játszható ki az eszköz fizikai cseréjével, mert nem fog megegyezni a titkosító kulcs.
• A megfelelő eszközökkel (pl.: ATS118X) AES-128 titkosított kommunikáció valósul meg a beléptetés vezérlő egység és az olvasók között, így az olvasó nem játszható ki az eszköz fizikai cseréjével, mert nem fog megegyezni a titkosító kulcs. Régebbi rendszerek esetén – pl.: olvasók Wiegand illesztőn való csatlakoztatása – az olvasó és vezérlő közötti kommunikáció könnyen másolható volt, továbbá a fizikai eszköz csere ellen sem volt védett a rendszer.
• Szükség esetén a fizikai hozzáférés biztonsága hardver funkciókkal még tovább növelhető. Például: kártya és PIN kód alapú beléptetéssel, két kártyás beléptetéssel, anti-passback funkcióval, zsilip működéssel és számos egyéb funkcióval.

TruVision videó rendszer esetén:

• A TruVision kamerák és rögzítők firmwarének fejlesztése folyamatos, kiemelt figyelmet fordítva az IT biztonsági előírásokra, ajánlásokra és tapasztalatokra.
• Az TruVision Navigator szoftver verziójának fejlesztése folyamatos, kiemelt figyelmet fordítva az IT biztonsági előírásokra, ajánlásokra és tapasztalatokra.
• A TruVision Navigator szoftverbe belépés felhasználónévvel és jelszóval történik, különböző operátor jogosultsági szintekkel.
• A TruVision Navigator szoftverbe belépés kettős autentikációval is történhet.

ATS86xx / C4 szoftver esetén:

• Az ATS86xx / C4 szoftver és az ATS Advanced x500 központok között AES-128 titkosítással történik a TCP/IP kommunikáció.
• Az ATS86xx / C4 szoftver és a CDC4 között AES-128 titkosítással történik a TCP/IP kommunikáció.
• A C4 szerver és a C4 kliensek között HTTPS alapú titkosított kommunikáció valósul meg, de szükség esetén saját tanúsítvány is használható.
• Az adatok mentése/tárolása MS SQL DB adatbázisba történik, ami lehet lokális vagy távoli elérésű. Az adatbázisra az MS SQL-re vonatkozó összes biztonsági alapelv vonatkozik. A jelszavak hash-elve kerülnek be az adatbázisba.
• A C4 szoftverbe belépés felhasználónévvel és jelszóval vagy Windows hitelesítéssel történik, különböző operátor jogosultsági szintekkel.
• Az ATS86xx / C4 védett a brute-force attack támadásokkal szemben, minden hibás bejelentkezés után nő a késleltetés a következő bejelentkezés előtt.
• Az ATS86xx / C4 szoftverben elvégzett összes konfigurációs és felügyeleti beállítás naplózásra kerül az adatbázisban, visszakereshető.
• Az ATS86xx / C4 szoftverben folyamatos a rendszer erőforrások felügyelete: adatbázis kapcsolat, adatbázis méret, szerver memória terhelés.
• A rendszerben előforduló különböző eseményekre egyedi értesítési beállítások konfigurálhatók (email küldés, SMS küldés).
• Az ATS86xx / C4 az utolsó 3 napról folyamatosan adatbázis mentést készít a beállított elérési útvonalra.
• Az ATS86xx / C4 szoftverben konfigurálhatóak a jelszó beállításra vonatkozó minimális követelmények (jelszó hossz, speciális karakterek).
• Az ATS86xx / C4 szoftverben beállítható, hogy hány naponta legyen szükséges a felhasználó jelszók módosítása.
• Az ATS86xx / C4 szoftverben beállítható, hogy mennyi tétlenségi idő után jelentkezzen ki automatikusan a szoftver.
• Az ATS86xx / C4 szoftverben konfigurálható, hogy milyen módon felejen meg a GDPR előírásoknak a törölt felhasználók kezelésére vonatkozóan. Továbbá egyszerű áttekintést ad a személyes adatokhoz hozzáférő személyekről.
• Az ATS86xx / C4 szoftver szükség szerint redundáns módon is használható, két független szerver szolgáltatással és adatbázissal.
• Az ATS86xx / C4 szoftver verziójának fejlesztése folyamatos, kiemelt figyelmet fordítva az IT biztonsági előírásokra, ajánlásokra és tapasztalatokra.