Kiberbiztonság kritikus helyzetben: Mit üzen az ENISA NIS360 jelentése a magyar szervezeteknek?

A NIS2 irányelv számos ágazatra kiterjedő szabályozás, szektoronként sajátos kihívásokkal és kiberbiztonsági igényekkel. Ezek hatékony priorizálása és megértése érdekében az Európai Unió Kiberbiztonsági Ügynöksége, az ENISA 2023-ban kidolgozta a NIS360 módszertant, amely évente értékeli többek között az érintett ágazatok kiberbiztonsági érettségét és kritikusságát.

Az ENISA 2025 februárjában tette közzé az első NIS360 jelentését. A dokumentum célja, hogy támogassa a tagállamokat a kockázatok azonosításában és az erőforrások hatékony elosztásában. A módszertan egyedisége abban rejlik, hogy iparági, hatósági és EU-s szintű szempontokat egyesít.

A tanulmány három egymást kiegészítő nézőpontot integrál:

Kiemelkedő és elmaradottabb ágazatok

A jelentés összegyűjtött adatokra építve kiemeli az egyes ágazatok erősségeit és kihívásait, azonosítja az érettségi eltéréseket, és világos képet ad arról, hogyan hat a kiberbiztonsági szabályozás az EU ellenállóképességre.

A jelentés alapján három ágazat magas felkészültségi fokon áll: villamosenergia-ágazat, a távközlés és a bankszektor. Ezeket hosszú idő óta szabályozói fókusz, globális beruházások és erős köz- és magánszféra együttműködés jellemzi. Ezeknek a szektoroknak az ellenállóképessége kulcsfontosságú az EU társadalmi és gazdasági stabilitása szempontjából.

Ezzel szemben a digitális infrastruktúrák és digitalis szolgáltatók – mint az internetes alapszolgáltatások, adatközpontok, felhőmegoldások – bár magas érettségi szintet mutatnak, számos kihívással szembesülnek heterogén és határokon átnyúló jellegük miatt.

Főbb kihívások szektoronként

Az IKT szektor határokon átnyúló jellege és központi szerepe miatt erősen ki van téve kibertámadásoknak. Szükség van a DORA és NIS2 követelmények összehangolt alkalmazására, valamint hatósági együttműködésre. Az ENISA szerint alapvető fontosságú az IKT-szolgáltatások menedzsmentjében a szoros együttműködés az érintett ágazatok illetékes hatóságai között. Az ágazat szervezetei ellen irányuló kiberbiztonsági incidensek több szektorban is megzavarhatják a kritikus szolgáltatásokat.

Az űripart alacsony kiberbiztonsági tudatosság és a kereskedelmi komponensek dominanciája jellemzi. Fontos a távközlési ágazattal való együttműködés, különösen az 5G és műholdas rendszerek konvergenciája miatt.

A közigazgatás célpontja lehet a hacktivizmusnak és államilag támogatott támadásoknak. Megoldást a Cyber Solidarity Act és közös szolgáltatási modellek bevezetése jelenthet.

Az egészségügyben az elavult rendszerek, gyenge eszközvédelem és komplex ellátási láncok miatt van szükség beszerzési iránymutatókra és dolgozói tudatosságnövelésre.

A gáziparban fejleszteni kell az incidenskezelési kapacitást nemzeti és uniós szinten is, és szükség van a villamosenergia- és gyártási szektorral való együttműködésre.

Miért kulcsfontosságú a NIS360 és a NIS2-re való felkészülés?

A NIS360 jelentés világossá teszi, hogy a kiberreziliencia kiépítése közös európai érdek. Az ágazatok közötti együttműködés, a szektorspecifikus útmutatók, valamint a hatóságok felkészítése és egységes fellépése elengedhetetlen ahhoz, hogy a NIS2 előírásai valóban a gyakorlatban is megvalósuljanak.

2025. december 31-ig minden érintett szervezetnek át kell esnie az első kiberbiztonsági auditon. Ez nemcsak jogi kötelezettség, hanem lehetőség is arra, hogy a szervezetek érettségi szintjüket növelve megerősítsék ellenállóképességüket az egyre gyakoribb és összetettebb kibertámadásokkal szemben.

Az EY Magyarország kiemelt célja, hogy a NIS2-re való felkészülés során a szervezetek partnere legyen. Szakértői csapatunk készen áll arra, hogy támogatást nyújtson a megfelelési stratégiák kialakításában, az auditokra való felkészítésben és a kiberbiztonsági érettség folyamatos fejlesztésében.