EU NIS2 és a beszállítói láncok

A NIS2 direktíva explicit tartalmazza a beszállítók, ellátási láncok iránti felelősségét a hatálya alá tartozó vállalkozásoknak.

Sok szervezet oldalán szerepel az EU NIS2 direktíva leírása, magyarázata, azon vállalkozások szempontjából, amelyek a hatálya alá tartoznak. Van azonban a vállalkozásoknak egy még szélesebb köre, akik lehet nem is sejtik, hogy őket is érinteni fogja a NIS2 kapcsán létrejövő jogi szabályozás. Ezen vállalkozások, többsége mikró és kisvállalkozás 2-30 fős létszámmal, akik valamilyen szolgáltatást vagy eszköz, anyag szállítást végeznek a NIS2 hatálya alá tartozó vállalkozásoknak.

A véleményem szerint ezen kisvállalkozásoknak is meg kell kezdeniük a felkészülést arra, hogy legalább a legalapvetőbb kiberbiztonsági ismeretekkel, szabályzatokkal és eljárásokkal rendelkezzenek, amely alapján a NIS2 hatálya alá tartozó cégeknek továbbra is végezni tudják a beszállítói tevékenységeiket, és megfelelnek ezen cégek most kialakuló biztonságtechnikai elvárásainak, vagy képesek lesznek ezeknek megfelelni.

A kiberbiztonsági alapok megteremtéséhez nincs szükség több milliós beruházásra. Sok olyan lehetőség van amelyik kis költséggel, vagy éppen ingyenesen alkalmazható és nagyságrendekkel megnöveli ezen kisvállalkozások kiberbiztonságát és képességét a beszállítókkal kapcsolatos elvárások teljesítéséhez.

Ehhez kezdő információkat talál a következő cikkünkben:

„Kiberbiztonség Kisvállalkozásoknak”

Néhány idevágó bekezdést kiemeltünk a NIS2 szövegéből:

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE (2022. december 14.)

„52 bekezdés
A nyílt forráskódú kiberbiztonsági eszközök és alkalmazások nagyobb fokú nyitottságot biztosíthatnak, és pozitív hatást gyakorolhatnak az ipari innováció hatékonyságára. A nyílt szabványok elősegítik a biztonsági eszközök közötti interoperabilitást, ami az ipari szereplők biztonságát is szolgálja. A nyílt forráskódú kiberbiztonsági eszközök és alkalmazások ösztönözhetik a szélesebb fejlesztői közösséget, lehetővé téve a beszállítók diverzifikálását. A nyílt forráskód a kiberbiztonsággal kapcsolatos eszközök átláthatóbb ellenőrzési folyamatához és a sérülékenységek közösségi alapú felderítéséhez vezethet. A tagállamoknak ezért képesnek kell lenniük arra, hogy előmozdítsák a nyílt forráskódú szoftverek és nyílt szabványok használatát a nyílt hozzáférésű adatok és a nyílt forráskódok – az átláthatóságon alapuló biztonság részeként történő – felhasználásával kapcsolatos szakpolitikák folytatása révén. A nyílt forráskódú kiberbiztonsági eszközök bevezetését és fenntartható használatát előmozdító szakpolitikák különösen fontosak a jelentős végrehajtási költségekkel szembesülő kis- és középvállalkozások számára, mivel a költségek a konkrét alkalmazások vagy eszközök iránti igény csökkentésével minimalizálhatók.”
„56 bekezdés
… Egyes kis- és középvállalkozások olyan sajátos kiberbiztonsági kihívásokkal néznek szembe, mint például az alacsony kibertudatosság, a távoli informatikai biztonság hiánya, a kiberbiztonsági megoldások magas költsége és a fokozott fenyegetettségi szint, például a zsarolóvírusok, amelyekkel kapcsolatban iránymutatást és segítséget kell kapniuk. A kis- és középvállalkozások egyre inkább az ellátási lánccal szembeni támadások célpontjává válnak, mivel kevésbé szigorú kiberbiztonsági kockázatkezelési intézkedésekkel és támadáskezeléssel rendelkeznek, és korlátozott biztonsági erőforrásaik vannak. Az ilyen ellátási láncot érintő támadások nem csak elszigetelten hatnak a kis- és középvállalkozásokra és azok működésére, hanem lépcsőzetes hatást gyakorolhatnak az azon szervezetek elleni nagyobb támadásokra is, amelyek számára a kis- és középvállalkozások ellátást biztosítottak. …”
„85 bekezdés
A szervezet ellátási láncából és a beszállítóival – például az adattárolási és adatkezelési szolgáltatókkal vagy az irányított biztonsági szolgáltatókkal és szoftverszerkesztőkkel – való kapcsolatából eredő kockázatok kezelése különösen fontos, tekintettel az olyan események előfordulási gyakoriságára, amikor a szervezetek kibertámadások áldozatává válnak, és amikor a rosszindulatú elkövetők azzal tudják veszélyeztetni a szervezet hálózatának és információs rendszereinek biztonságát, hogy harmadik fél termékeit és szolgáltatásait érintő sérülékenységeket kihasználnak. Az alapvető és fontos szervezeteknek ezért fel kell mérniük és figyelembe kell venniük beszállítóik és szolgáltatóik termékeinek, szolgáltatásainak, az azokba beépített kiberbiztonsági kockázatkezelési intézkedéseknek, valamint kiberbiztonsági gyakorlatainak általános minőségét és rezilienciáját, beleértve a biztonságos fejlesztési eljárásaikat is. Az alapvető és fontos szervezeteket különösen arra kell ösztönözni, hogy a kiberbiztonsági kockázatkezelési intézkedéseket építsék be a közvetlen beszállítókkal és szolgáltatókkal kötött szerződéses megállapodásokba. Az említett szervezetek figyelembe vehetik a más szintű beszállítóktól és szolgáltatóktól eredő kockázatokat is.”