Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

NIS2 az ICS/OT világban - még mindig

Facebook Tumblr Tweet Pinterest Tetszik
0
2024. július 06. - icscybersec

A NIS2, ahogy a múlt héten én is írtam róla, most az egyik legforróbb téma az EU mindenféle fontos informatikai rendszereit (legyenek azok adat- vagy fizikai folyamatirányító rendszerek) üzemeltető cégei és azok beszállítói és tanácsadói számára. A múlt héten azt próbáltam némileg megvilágítani, milyen kockázatai lehetnek annak, ha kizárólag az IT világban szerzett tapasztalatok birtokában próbál valaki NIS2 megfelelőséget szavatoló intézkedéseket bevezetni ICS/OT rendszereket (is) használó szervezeteknél. Ma ennél egy kicsit mélyebbre megyünk a NIS2 dzsungelben, ezúttal is a SANS ICS blogján megjelent írásokat szemlézve.

Az első cikk, amit a témában találtam, rögtön egy 8 részes sorozat, aminek az első része a NIS2 hatálya alá tartozó szervezetek kiberbiztonsági képesség-fejlesztésével foglalkozik (nyilván a mindenféle plecsnik hasznáról is szól, ha már a SANS egy olyan szervezet, ami nagyon durván drága tanfolyamokat és minősítéseket kínál - de tényleg elképesztően drágák lettek ezek a tanfolyamok és vizsgák...).

A második rész a megfelelőségen túl vizsgálja a NIS2 kínálta lehetőségeket arra, hogyan építhetnek az új jogszabály hatálya alá tartozó szervezetek egy, az eddigieknél kiberbiztonsági szempontból ellenállóbb rendszereket.

A harmadik rész a NIS2 hatásaival foglalkozik, röviden ismerteti a kritikus és fontos szervezetek kategóriáit, a biztonsági incidensek jelentésére vonatkozó szigorú követelményekkel, az érintett szervezetek fejlődő kiberbiztonsági állapotával, a munkatársak oktatásával és képzésével és az időben (korán) kezdett felkészülés fontosságával.

A negyedik rész a NIS2 követelmények teljesítéséhez szükséges biztonsági műveleti központok (SOC-ok) által tapasztalt kihívásokkal foglalkozik, az ötödik rész pedig a kiberbiztonsági stratégia három kritikus területét vizsgálja. Ezek a következők:

- Felsővezetői felelősség és felsővezetői kiberbiztonsági képzések;
- Kockázatmenedzsment keretrendszer (külön érintve a mentésekre, kockázatelemzésre, több-faktoros authentikációra, beszállítói lánc biztonságára, üzletmenet-folytonosságra, alapvető kiberbiztonsági higiéniára és incidenskezelésre vonatkozó témákat);
- Jelentéstételi kötelezettség a kiberbiztonsági incidensekre vonatkozóan;

A hatodik részben azt foglalják össze, amit (a SANS szerint) minden szervezetnek tudnia kell a NIS2-vel kapcsolatban. Kinek kell megfelelni a NIS2 alapján támasztott követelményeknek? Milyen követelmények vonatkoznak a beszállítói lánc biztonságára? Kinek és mennyi időn belül kell jelenteni a kiberbiztonsági incidenseket? Ezek a kérdések csak ízelítőként szolgálnak az ebben a részben tárgyalt témákból.

Jó ez a sorozat, de a számunkra, ezen a blogon igazán érdekes kérdés az, hogy mit jelent a NIS2 megfelelés az ICS/OT rendszerek esetén? Ez a téma a hetedik részben kerül boncolgatásra. Ez a rész szól az ICS/OT rendszereket fenyegető kiberbiztonsági kockázatokról és az ICS/OT rendszerek megfelelőségi kihívásairól.

A nyolcadik rész pedig egy finom kritika, ami arra próbál rámutatni, hogy a NIS2 önmagában miért nem fogja megoldani az információ-megosztás problémáját.

Mára nagyjából ennyi, ígérem, hogy (ha csak nem történik valami rendkívüli) egy időre most igyekezni fogok nem NIS2-vel kapcsolatos dolgokról írni.

Szólj hozzá!
ICS biztonság NIS2

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4718440223

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása