A NIS2 EU-s irányelv 2022 óta ismert, de ahogy közelednek az első, az érintetti körbe tartozó szervezetekre vonatkozó határidők, mostanában kezdenek egyre többen és egyre többet beszélni róla. Az a probléma, amiről a mai poszt szól, a NIS2 által érintett ágazatok széles köréből adódik. A NIS2 két kategóriában számos érintett nemzetgazdasági ágazatot nevesít, a kiemelten kritikus kategóriában 11 ágazat szerepel:
- Energiaszektor (villamosenergia, távfűtés és hűtés, olaj, gáz, hidrogén);
- Szállítmányozás (légiközlekedés, vasúti közlekedés, viziközlekedés, közúti közlekedés)
- Banki szolgáltatások;
- Pénzügyi piaci infrastruktúrák;
- Egészségügy;
- Ivóvíz-szolgáltatás;
- Sennyvíz-kezelés;
- Digitális infrastruktúra
- Infokommunikációs szolgáltatások irányítása;
- Közigazgatás;
- Világűr;
Az egyéb kritikus ágazatok listáján 7 további ágazat szerepel:
- Postai és futárszolgáltatások;
- Hulladékgazdálkodás;
- Vegyszerek gyártása, előállítása és forgalmazása;
- Élelmiszer-termelés, -feldolgozás és -forgalmazás;
- Gyártás (Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógépek, elektronikai és optikai termékek gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és gépi berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása);
- Digitális szolgáltatók;
- Kutatás;
Ebből a felsorolásból is látszik, hogy a NIS2 irányelv nagyon sokféle különböző területet fog lefedni, amelyek egy jelentős része csak adatokkal foglalkozik, míg a másik részének elválaszthatatlan részét képezik a különböző fizikai folyamatokat vezérlő ICS/OT rendszerek, amikre egészen más biztonsági intézkedéseknek és kontrolloknak kell vonatkoznia - és ezzel el is érkeztünk oda, ami miatt elkezdtem írni a mai posztot. Számos olyan előadás hangzott el az utóbbi időben itthon, amiket általam nagyra tartott információbiztonsági vagy IT biztonsági szakemberek tartottak, azonban ezeknek a szakértőknek tudomásom szerint semmilyen ICS/OT kiberbiztonsági tapasztalatuk nincs. Önmagában még ez sem jelent törvényszerűen problémát, de amint egy ipari folyamatirányító rendszerekre köré épülő szervezetben kezdenek dolgozni, rögtön megváltozhat a helyzet. Ennek egy igen látványos példája volt idén februárban az a nyílt levél, amiről én is írtam.
Azóta nem csak a nagyvállalati IT-ban komoly tapasztalatokkal rendelkező kollégák kezdtek foglalkozni a NIS2-ből eredő követelmények teljesítésével, hanem kisvárosok telekommunikációs szolgáltatói között is láttam olyat, amelyik NIS2-megfelelőségi szolgáltatásokat kínál.
Szóval igen érdekes idők következnek és csak bízni tudok abban, hogy a nemzeti kritikus infrastruktúrák NIS2-megfelelésén dolgozó kollégáknak lesz idejük (és szándékuk!) megtanulni a folyamatvezérlő rendszerek biztonságának a nagyvállalati információ-/IT biztonságétől gyakran nagyon is különböző kontrolljainak sajátosságait.