NIS2 tapasztalatok

Közösségi kerekasztal

Sziasztok!

 

NIS2 tapasztalatok érdekelnének.

 

Kollégák ezerrel pörögnek NIS2 auditon és rettegnek, hogy ha mindent bevezetünk ami az előírás, akkor megáll a cég mint a szög. :)

Pl. repo maintainer nem lehet ugyanaz mint a reviewer meg a dev. (legalábbis ilyen szabályzattal találkoztam legutóbb), ez egy két fős projektnél azért necces, de van még millió ilyen.

 

Hogy megy ez a gyakorlatban? Mennyire lehet lazítani a szabályozáson, van-e valami minimum szint? 

 

Köszi!

  • 224 megtekintés

( csardij v | 2025. 08. 12., k – 14:47 )

Itt most alapvetően két dolog van: meg akarsz felelni az auditon, hogy legyen meg a plecsni, de amúgy kit érdekel, vagy tényleg be is akarjátok tartani?

Web, Domain, Tárhely

( locsemege v | 2025. 08. 12., k – 15:11 )

Sokkal egyszerűbb. Nincs maintainer meg reviewer. Van a dev, commitol, amikor úgy látja helyesnek, szól a többieknek, amikor elkészült. Ami nincs, az nem tud ugyanaz lenni, mint a másik, szóval probléma megoldva. Vagy a NIS2 azt is megmondja, hogy hány fokos szögben állhat a monitorod, milyen magas lehet, hányra menj be dolgozni, s mikor mehetsz mosdóba, kávézni és ebédelni? Esetleg a NIS2-ben nincs szabályozva, hogy mit ehet a fejlesztő? A fejlesztő kezében lehet csavarhúzó és forrasztópáka, vagy csak a billentyűzetet püfölheti?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Vagy a NIS2 azt is megmondja, hogy hány fokos szögben állhat a monitorod, milyen magas lehet, hányra menj be dolgozni, s mikor mehetsz mosdóba, kávézni és ebédelni? Esetleg a NIS2-ben nincs szabályozva, hogy mit ehet a fejlesztő?

A NIS2 információbiztonsági, folyamatbiztonsági elvekről szól. Nem konkrétumokról, elvekről. A cégek meg úgy adoptálják ezeket az elveket a saját szabályzatukban, hogy megfeleljenek az előírásnak. Lehetne nagyon szigorú és lazább megfelelések is, az egész arról szól, ha kiberbiztonsági incidens van, akkor legyen egy dokumentum, amiben benne van, hogy "ezt kellett volna csinálni" és a tények ("ez történt valójában").

Ugyebár ha nincsen meg az a bázis, hogy "ezt kellett volna csinálni", akkor minden viselkedés szabályszerű, és az incidens kivizsgálásának az az eredménye, hogy nem történt semmi probléma. Na, ezt elkerülendő van a NIS2, ami előírja, hogy nem lehet az, hogy nincsenek szabályok lefektetve kiberbiztonságilag.

Ugyanúgy, ahogy a GDPR sem konkrétumokat írt elő, hanem azt, hogy ha valaki adatot kezel, akkor azt milyen elvek mentén kell csinálnia.

( persicsb | 2025. 08. 12., k – 17:10 )

Az összes ilyen folyamatokat előíró dokumentum nem arról szól, hogy tatsd be minden pontját mindig.

Hanem arról, hogy ha gebasz van, akkor utólag ki lehessen deríteni, hogy ki és miért nem tartotta be a szabályokat, és lehessen felelőst találni.
A cég ezzel lefedi magát, a felelősség a munkavállalókra terelődik, mert a szabályzat megvan, legfeljebb a melósok nem tartják be.

Ugyanígy, ez egy kétélű fegyver: ha valamivel nagyon bajod van, akkor te is tudsz mutogatni arra, hogy jó, akkor innentől minden szabályzat minden pontját mindig betartod, ha ez azzal jár, hogy 10x annyi ideig tart egy munkafolyamatot elvégezni, akkor ezzel jár és kész.

Akkor valószínűleg megkeresik azt az embert, aki a tartalom elolvasása nélkül aláír mindent, bepipál minden checkbox-ot, persze, ha borul a bili, a management azonnal előhúzza majd a szigorú szabályokat, s sajnálkozva mondják, be kellett volna tartani azokat. :(

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

ha borul a bili, a management azonnal előhúzza majd a szigorú szabályokat

Nem a menedzsment, hanem a hatóság. Olyan cégek számára van előírva a NIS2 irányelveknek megfelelés, amik nemzetbiztonságilag fontosak (kritikus termékek gyártása, víz/energiaellátás, közlekedés, egészségügy, pénzügyi szolgáltatások stb.). A jóskapiska bt-k számára nem kell a NIS2 megfelelés, de mondjuk a MOL-nak, a bankoknak, meg a Telekomnak igen.

Melyik részét? A NIS2 hatálya tök jól leírja, hogy kire vonatkozik.
 

Ezt az irányelvet az I. vagy II. mellékletben említett típusú olyan állami vagy magánszervezetekre kell alkalmazni, amelyek a 2003/361/EK ajánlás mellékletének 2. cikke szerint középvállalkozásoknak minősülnek vagy meghaladják az említett cikkben a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és amelyek az Unión belül nyújtják szolgáltatásaikat vagy végzik tevékenységeiket.

Ez az irányelv – méretüktől függetlenül – az I. vagy II. mellékletben említett típusú szervezetekre is alkalmazandó, amennyiben:

a)    a szolgáltatásokat a következők nyújtják:

  1. nyilvános elektronikus hírközlő hálózatok szolgáltatói vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók;
  2. bizalmi szolgáltatók;
  3. legfelső szintű doménnév-nyilvántartók és doménnévrendszer-szolgáltatók;

b)    a szervezet egy tagállamban az egyetlen szolgáltató egy olyan szolgáltatás tekintetében, amely elengedhetetlen a kritikus társadalmi vagy gazdasági tevékenységek fenntartásához;

c)    a szervezet által nyújtott szolgáltatás zavara jelentős hatással lehet a közvédelemre, a közbiztonságra vagy a közegészségre;

d)    a szervezet által nyújtott szolgáltatás zavara jelentős rendszerszintű kockázatot idézhet elő, különösen azokban az ágazatokban, ahol az említett zavarnak határokon átnyúló hatása lehet;

e)    a szervezet kritikus, mivel nemzeti vagy regionális szinten különös fontossággal bír az adott ágazat vagy szolgáltatás típusa, vagy a tagállam más, kölcsönösen függő ágazatai szempontjából;

f)    a szervezet:

  1. valamely tagállam által annak nemzeti jogával összhangban meghatározott, központi kormányzathoz tartozó közigazgatási szerv; vagy
  2. valamely tagállam által annak nemzeti jogával összhangban meghatározott, regionális szintű közigazgatási szerv, amely kockázatalapú értékelés alapján olyan szolgáltatásokat nyújt, amelyek zavara jelentős hatást gyakorolhat kritikus fontosságú társadalmi vagy gazdasági tevékenységekre.

(3)   Ez az irányelv – méretüktől függetlenül – az (EU) 2022/2557 irányelv szerint kritikus szervezetként azonosított szervezetekre is alkalmazandó.

(4)   Ez az irányelv – méretüktől függetlenül – a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetekre is alkalmazandó.

(5)   A tagállamok rendelkezhetnek úgy, hogy ez az irányelv alkalmazandó a következőkre:

  1. helyi szintű közigazgatási szervek;
  2. oktatási intézmények, különösen, ha kritikus fontosságú kutatási tevékenységeket végeznek.

Az I-II. melléklet meg ezeket sorolja még fel:

  • Energia
  • Szállítás
  • Banki szolgáltatás
  • Pénzügyi piaci infrastruktúrák
  • Egészségügy
  • Ivóvíz
  • Szennyvíz
  • Digitális infrastruktúra
  • IKT-szolgáltatások vállalkozások között
  • Közigazgatás
  • Világűr
  • Postai- és futárszolgáltatások
  • Hulladékgazdálkodás
  • Vegyszerek gyártása, előállítása
  • Élelmiszer-termelés
  • Gyártás, ezen belül orvostechnika, elektronikai, optikai termékek, villamos berendezése, gépjárművek, egyéb szállítóeszközök
  • Digitális szolgáltatók
  • Kutatás

 

Az egész NIS2 a nemzetbiztonságilag fontos kritikus infrastruktúra (szolgáltatás, ellátási lánc) kibervédelméről szól. Az itthon bejegyzett kb. 500 ezer társas vállalkozásból kb. 4000-et érint.

OK, csak ebben a hozzászólásodban az az egy sor nem fedte le azt, amelyet a jogszabályból lejjebb idéztél. A jogszabályban lévő felsorolásba beleesünk. Mondjuk tudtam, mert nem hivatalos tályékoztatásként ugyan, de elhangzott.

Szerk.: Visszatérve az eredeti problémához. Ha a dolgozó feszesen mindent betart, kirúgják a hatékonytalanság miatt. Ha nem, akkor megy a szekér, amíg nincs baj, ha viszont baj van, magára hagyják, miért nem tartotta be a szabályokat, övé a felelősség.

Ezért is mondom jó ideje, és mondtam mindig is, hogy nagyon gyorsan ki kellene lépni az EU-ból!

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Mik v | 2025. 08. 12., k – 17:23 )

Csak érdekességnek: GitLabban a repo maintainernek by default van dev joga.