Részletek

Megjelent: 2025. július 02.

Új korszak kezdődött a hazai vállalatok számára a kiberbiztonság terén: az új irányelv alapján több ezer magyar cég kénytelen lesz jelentős beruházásokkal megerősíteni informatikai védelmi rendszereit. Pokó Istvánt, a Seacon Europe fejlesztési igazgatóját kérdeztük a NIS2-vel kapcsolatos legfontosabb teendőkről, költségekről és következményekről.

Az uniós szabályozás célja az ellátásbiztonság garantálása és a gazdaság sérülékeny pontjainak védelme, a megfelelés viszont új szervezeti, technológiai és pénzügyi kihívások elé állítja a piaci szereplőket. A Seacon Europe fejlesztési igazgatójával többek között arról beszélgettünk a NIS2-vel kapcsolatban,

• hogyan áll a szabályozással Magyarország,
• milyen iparágakat érint a törvény,
• és mivel jár a mesterséges intelligencia elterjedése? 

Miért volt szükség a NIS2 törvényre, és milyen problémákra kíván választ adni a kibertámadások és a kritikus infrastruktúrák védelme terén? 

Az Ipar 4.0, a hozzá kapcsolódó digitalizáció és hálózatba kötés jelentős előnyöket hozott a cégek számára, mondhatjuk forradalmasították a munka világát. A működő szervezetek aktívan használják vagy támaszkodnak az egyre fejlettebb IT-technológiákra, és gyakorlatilag eljutottak oda – egyébként nemcsak az ipar, hanem a társadalom is –, hogy egy olyan adatközpontú kultúrában élnek, amelyben az információ vezérli az intelligens döntéshozatalt.

Ez azonban nemcsak előnyöket, hanem veszélyeket is hozott magával, mivel a technológiai fejlődés felülmúlja sok szervezet azon képességét, hogy megfelelően kezelje az általa okozott kockázatokat. Kijelenthetjük, hogy szakadék alakult ki a kifinomult technológiák alkalmazása és a fejlett fenyegetések elleni védelem között, kritikus, hogy a szervezetek értékeljék a veszélyhelyzetet, hogy hatékony stratégiákat és rendszereket dolgozzanak ki a kockázat minimalizálása érdekében.

Persze a kibervédelem kiépítése nem olcsó dolog, a cégek nem is szívesen foglalkoznak vele.

Egy 2022-es felmérés szerint a cégek 74 százalékának nincs kockázatelemzése, 5-ből 4-nek pedig nincs reagálási terve incidens esetén. A növekvő kiberbűnözés, illetve a háború által generált kiberhadviselés egyre nagyobb veszélyt jelentett az unióra, ezért a nagypolitika is reagált a kialakult helyzetre, és 2022 decemberében megszavazta a NIS2 irányelvet. Ennek lényege, hogy az EU területén működő cégek egy jól meghatározott részének – jellemzően, akik fontos szerepet játszanak a nemzetgazdaságban – előírta egy magas szintű kibervédelmi irányítási rendszer kialakítási kötelezettségét. A legfontosabb cél, hogy a cégek által – a társadalomnak és a gazdaságnak – biztosított termékek-szolgáltatások egy esetleges kiberincidens esetén is – ha csökkentett kapacitással is – biztosítva legyenek.

Mely iparágakat és cégeket érint a NIS2 törvény, és hogyan érinti az informatikai szolgáltatókat?

Alapvetően két nagy csoportra osztja az ipari ágazatokban érintett cégeket a NIS2 irányelv honosítását meghatározó 2024. évi LXIX. törvény:

• Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, jellemzően a társadalom ellátásáért felelős cégek (például energetika, víz, egészségügy, hírközlés).
• A kockázatos ágazatokban működő szolgáltatók és szervezetek pedig olyan piaci szereplők, akik a magyar nemzetgazdaság számára kiemelt fontosságúak (például élelmiszer-előállítás, hulladékgazdálkodás, vegyszerek előállítása, ipari gyártók [TEÁOR 26-31], digitális szolgáltatók).

Az ágazatok mellett fontos kritérium, hogy nem mindenkire, csak bizonyos méret fölötti – 50 fő vagy 10 millió euró bevétel – cégekre, szervezetekre vonatkozik a kötelezettség. A dimenziók alapján néhány informatikai szolgáltató – például felhőszolgáltató, DNS-szolgáltató, online piactér-szolgáltató – alapvetően az érintettek körébe kerül, de a többséget – a törvényben és a végrehajtási rendeletében előírt kötelezettségek alapján – azok az IT-vállalkozások fogják jelenteni, akik beszállítanak a NIS2 hatálya alatt működő szervezeteknek. Ugyanis az érintett cégeknek kötelességük szerződést kötni a digitális beszállítóikkal, hogy az általuk nyújtott termékre vonatkozóan milyen kiberbiztonsági előírásokat kell betartani, így mintegy „lecsorog” a NIS2-előírások betartása minden beszállítóra is.

Milyen konkrét előnyöket várhatunk a törvény bevezetésétől a kiberbiztonság terén, és hogyan javíthatja az EU kibervédelmét?

Ha nagyon szarkasztikus lennék, akkor azt mondanám, hogy legalább lesz kibervédelem a cégeknél! Sajnos ezen a téren nagyon rosszul állunk, mert sem a tulajdonosi, sem a menedzsmentrétegben nem volt jelentős az igény, a cégeknél pedig nem igazán alakult ki az információbiztonsági kultúra. 

z a több ezer cég, amely a NIS2 hatálya alá került, egy elég magas színvonalú védelmet fog kiépíteni, és – ahogy az előző válaszomban mondtam – ez a beszállítók fejlesztéseire-szolgáltatásaira is erős hatást fog gyakorolni. Ha megugorjuk ezt a kihívást, biztosan nem mi leszünk a leggyengébb láncszem az EU-ban, és ugye ide is érvényes az a mondás, hogy minden lánc olyan erős, mint…

Milyen kihívásokat vagy esetleges hátrányokat jelenthet a törvény a cégek számára, különösen az informatikai szektorban dolgozó vállalkozásoknak?

Az érintett cégek első körben egy nagyon kemény felkészülésen fognak átesni, aminek mind erőforrás-felhasználási, mind pénzügyi vonzatai lesznek. A felkészülés után pedig a működési feladatok és költségek közé folyamatosan be fognak épülni a kibervédelmi tételek. Meg fognak változni a beszerzési eljárások, megnőnek az adminisztrációs kötelezettségek, pótolni kell a hiányosságokat, kétévente külső auditornak bizonyítania kell a törvénynek való megfelelést… lesz feladat és költség elég. De ahogy a cikk elején is felvezettem, a mai világban elemi érdekük a cégeknek, hogy védjék adataikat, mert csak így maradhatnak az értékterem tőlánc tagjai, így maradhatnak beszállítók az EU-ban, így maradhatnak életben a piacon.

Az IT-szektort is jelentősen érinteni fogja a NIS2, hiszen ha a megrendelő igényei változnak, a beszállítóknak is idomulniuk kell.

Termékeikben a kibervédelmi képességeket már tervezéskor figyelembe kell venni, és gyártáskor meg kell valósítani, csak így tudnak majd eladni. Meg fognak változni a szállítás utáni támogatási-követési feladatok is. A vevők meg fogják követelni, hogy folyamatosan figyeljük a termékünk – akár saját fejlesztésű, akár beépített részeire vonatkozóan – sérülékenységét, és ha egy új jelenik meg, akkor gondoskodni kell a javításról, és biztosítani kell a vevő számára a telepítést.

Így lehet megfelelni a NIS2-nek

Melyek a legfontosabb pontjai a törvénynek, és hogyan befolyásolja a cégek napi működését és biztonsági protokolljait?

Sok feladatot határoz meg a törvény és a végrehajtási rendelet, a teljesség igénye nélkül talán az alábbiak a legfontosabbak:

• önazonosítás, nyilvántartásba vételre jelentkezés,
• hatósági éves felügyeleti díj megfizetése,
• megfelelő és arányos technikai, operatív és szervezési intézkedések meghozatala – Információbiztonsági Irányítási rendszer kiépítése,
• az üzletmenet-folytonosság megteremtése és fenntartása,
• az információbiztonság beépítése az elektronikus információs rendszerek, szoftver- és hardvertermékek beszerzési, fejlesztési és üzemeltetési folyamataiban,
• szervezeti képesség kialakítása a biztonsági események kezelésére, beleértve a hatóság felé történő értesítési kötelezettség teljesítését is,
• gondoskodni kell a szervezet munkatársainak biztonsági képzéséről,
• a megfelelés bizonyítására kétévente független auditor által auditot kell végeztetni.

Hogyan hat a mesterséges intelligencia (MI) és az automatizált rendszerek fejlődése a NIS2 törvény végrehajtására, és milyen szerepet játszanak ezek a technológiák a kiberbiztonság erősítésében?

Az MI fejlődésének jelentős hatása lesz a kibervédelem területén. Segíteni fogja az incidensek-sérülékenységek felismerését, automatikus védelmi eljárások végrehajtását, a megnövekedett adminisztrációs feladatok elvégzését, a folyamatos értkelést … tulajdonképpen az irányítási rendszer működésének terhét fogja megkönnyíteni, ami által a NIS2-megfelelés is egyszerűbbé válhat. De sajnos ez kétélű fegyver, hiszen az MI tudása a támadók részére is rendelkezésre áll… ha példát kellene hoznom, szerintem egy olyan verseny fog kialakulni, mint ami a hagyományos fegyverek tekintetében évszázadok óta folyik páncélok és páncéltörők között.

Milyen lépéseket érdemes tenniük azoknak a cégeknek, amelyek még nem készültek fel a NIS2-megfelelésre, és hogyan támogathatják az informatikai vállalatok a folyamatot?

A felkészülés érdekében érdemes egy projektet indítani, ami egyrészt létrehozza az irányítási rendszert, másrészt felkészíti az érintett kollégákat a rendszer működésére. A legfontosabb lépések a projekt keretében:

• Információbiztonsági felelős, adatgazdák kijelölése
• Adatvagyon és elektronikus információs rendszerek (EIR) felmérése
• Elektronikus információs rendszerek biztonsági osztályba sorolása
• A védelmi katalógus alapján védelmi státusz (érettség) meghatározása – GAP elemzés
• Kockázatelemzés elvégzése
• Cselekvési terv elkészítése
• Információbiztonsági szabályzat elkészítése
• Eljárásrendekkel kapcsolatos feladatok elvégzése
• Oktatások megtartása
• Beszállítói szerződések módosítása
• Auditori szerződések megkötése

Persze ez nem a teljes feladatsor, és a napi munka mellett ezek általában három-hat hónapos átfutási idejű projektek, amiben intenzíven rész kell venniük belső alkalmazottaknak is. Én javaslom, hogy aki itt tart, az konzultáljon egy felkészítésben jártas tanácsadó céggel, vagy esetleg bízza rájuk a teljes felkészítést.

Az eredeti cikk a vg.hu oldalon olvasható

Részletek

Megjelent: 2024. október 18.

Hatályba lépett a "kibertan" törvénye, a vállalkozások többsége azonban még nem foglalkozik az információbiztonsággal.

Interjú Pokó Istvánnal, a Seacon Europe Kft. fejlesztési igazgatójával.

Információbiztonsággal-, kibervédelemmel foglalkozni nemcsak kötelezettsége, hanem érdeke is a vállalkozásoknak. Az EU-s NIS2 irányelvet tartalmazó 2023. évi XXIII. „Kibertan” törvénye 2024. október 18-i dátummal hatályba lépett, de több ezer vállalkozás még csak különböző készültségi szinteken áll az információbiztonsági- és kibervédelmi intézkedések megvalósításában, a hatályos törvény betartásában.

A törvény hatályba lépésének első napjától, vagyis 2024. október 18-tól már minden érintett vállalkozásnak kiépített információbiztonsági irányítási rendszerrel- és alkalmazott védelmi intézkedésekkel kellene működniük. – nyilatkozta Pokó István.

A Seacon Europe Kft. fejlesztési igazgatója aggályosnak tartja, hogy a több ezer érintett cég különböző szinteken áll a megvalósításában, komplex befejezett felkészülésről nem igen hallani. Pedig az információbiztonság fontos! A digitalizáció hatására az ipar és a társadalom egyaránt olyan adatközpontú kultúrát fogadott el, amelyben az információ vezérli az intelligens döntéshozatalt. Márpedig egy rossz információn alapuló döntés alapjaiban rengetheti meg egy vállalkozás létét, tehet tönkre emberi életeket – hangsúlyozta Pokó István.

A kibervédelem kapcsán hasznos lenne, ha:

• a cégtulajdonosok és vezetők nem egy törvényi kényszer hatására, hanem jól felfogott érdekből foglalkoznának vele;
• a vállalati szintű stratégiák szintjére emelnék;
• a vállalati kockázatelemzés minden dimenziójában megjelenne;
• a cégeknél az adatot vagyontárgyként kezelnék és védenék;
• a fenyegetéseket és az arra adott válaszokat folyamatosan figyelemmel kísérnék;
• 3 év múlva már nem lehetne úgy mérnöki-, gazdasági diplomát kapni, hogy ne vizsgáztak volna információvédelemből;
• az információbiztonság a cég- és társadalmi kultúra részévé válna.

A Pokó Istvánnal készített interjú, a Fejér Vármegyei Kereskedelmi és Iparkamara Gazdasági Kalauz című gazdasági lapjában olvasható, illetve megtekinthető az alábbi linken egyaránt: FMKIK - Gazdasági Kalauz

Forrás: FMKIK

Kép: FMKIK

Részletek

Megjelent: 2024. április 04.

A négy napig tartó kiállítás minden napján találkozhat szakértőinkkel az “A. pavilon” 201/CA standján, valamint érdekes előadásokat hallgathat meg a lean management és az ipari digitalizáció számos területéről.

A Seacon Europe képviseletében Pokó István tart előadást Ipari Kibervédelemi kötelezettségek (NIS2) címmel.

A rendezvényen való részvétel ingyenes!

Részletek és regisztráció: Ipar napjai 2024 - Magyar DigiLean Egyesület

Részletek

Megjelent: 2023. december 14.

Új információvédelmi kötelezettségeket előíró jogszabály lépett életbe ez év májusban: a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvény.

A Fejér Vármegyei Kereskedelmi és Iparkamara nagysikerű online tájékoztatója apropóján Pokó István, a Seacon Europe Kft. fejlesztési igazgatója a Gazdasági Kalauz című lapnak adott interjúban hívta fel a figyelmet, hogy jogszabály számos feladatot ró az érintett vállalkozásokra. Tapasztalata szerint a májusi megjelenés óta eltelt 6 hónapban, az érintett nagyjából 2500 vállalat csak nagyon kis része kezdte el a felkészülést.

Az elvégzendő feladatokról, illetve a határidőkről ad rövid összefoglalót a cikk: Kibervédelmi kötelezettség (a cikk a 3. oldalon olvasható)

Részletek

Megjelent: 2023. november 08.

Pokó István a Seacon fejlesztési igazgatója online tájékoztatót tart a Kibertan törvény kapcsán a Fejér Megyei Fejér Vármegyei Kereskedelmi és Iparkamara szervezésében. Az előadás ismerteti az év májusban életbe lépett új információvédelmi kötelezettségeket előíró jogszabályt a 2023. évi XXIII. tv. a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvényt. A jogszabály számos feladatot ró az érintett vállalkozásokra. Szó lesz a törvény részleteiről, az elvégzendő feladatok ütemezéséről és várható költségéről.

A programon való részvétel térítésmentes, de feltétel az előzetes jelentkezés online ezen a linken.

Részletek

Megjelent: 2023. június 23.

2023.11.08.

08:30 - 16:30

Veszprém

A KÉPZÉSRŐL

A képzés célja, hogy az ipar digitalizációjával járó és elkerülhetetlen megjelenő új veszélyekkel/kiber kockázatokkal szembesítsük, a lehetséges védelmi intézkedésekkel pedig megismertessük a jelentkezőket. Nem feketeöves információbiztonsági szakértőnek, hanem a termelésben ipari informatikát használó műszaki szakembernek (termelésirányítási – technológiai – minőségirányítási mérnökök, termelési középvezetők) kívánunk tudást adni, mely az alapoktól egy teljes Információbiztonsági Irányítási Rendszer (IBIR) kiépítéséig, működtetéséig áttekinti a kibervédelmi vertikumot.

A képzés moduljai:

1. Információbiztonság alapjai,
2. Proaktív információvédelem területei
3. Információbiztonsági kockázatértékelés,
4. Üzletmenetfolytonosság információbiztonsági vonatkozásai
5. Információbiztonsági incidensek kezelése,
6. Információbiztonsági jogszabályok

A képzés részletei és jelentkezés: Információvédelem ipari környezetben - Alapoktól a törvényi megfelelőségig

Részletek

Megjelent: 2022. június 15.

Seacon Europe a DigiLean csapatával együtt rendezett egy egész napos eseményt a Debreceni Egyetemen, ahol többek közt IT/OT biztonsági témával kapcsolatban is folyt műhelymunka Pokó István vezetésével. A résztvevők visszajelzései alapján nagyon hasznosnak tartották ezt a fajta tudás megosztást, amit folytatunk hasonló keretek közt szeptemberben Veszprémben.

Részletek

Megjelent: 2022. május 02.

A DIGILEAN HUB – melynek aktív résztvevőja Seacon Europe - a négy napig tartó kiállítás minden napján az “A. pavilon” 111/C standján érdekes előadásokat tart a lean management és az ipari digitalizáció számos területéről. 
2022.05.10-én kedden 15:00-16:00 között Pokó István a Seacon fejlesztési igazgatója OT/IT információ védelem kapcsán bemutatja az ipari digitalizációval kapcsolatos kiberbiztonsági kihívásokat. Az előadásban szó lesz a:

• Ipari digitalizáció információbiztonsági hatásairól
• Vállalati kiberbiztonsági stratégiáról
• Proaktív védelemről
• Biztonsági képességek szervezeti kiépítéséről

Részletek

Megjelent: 2021. október 21.

A felhőszolgáltatások fokozott használata, a Peremszámítástechnika (Edge Computing), és a szervezetek számára jelentősen kibővült távmunka-lehetőségek olyan szintre emelték a kiberkockázatokat, amelynek értelmezése nem egyszerű. A digitális átalakulási kezdeményezések felgyorsulásával a szervezeteknek mély és pontos ismeretekre van szüksége a kiberkockázataikról.

Az egész szervezetre kiterjedő kockázatértékelési profilt kell elkészíteni a védelemre szoruló kritikus eszközök, funkciók és üzleti folyamatok azonosítása érdekében. A kockázatértékelés során a biztonsági érettséget mind az öt szervezeti pillérre vonatkozóan is értékelni kell, hogy elkerülhető legyen a kognitív disszonancia a szervezet által elért érettségi szint tekintetében.

A külső professzionális biztonsági szolgáltató csapattal való együttműködés egyértelműbbé vált a biztonsági érettség mérhető előrehaladásának útja, többek között:

‒ informatikai stratégia tervezés, kiberkockázat- és adatkezelés;
‒ személyazonosítás és hozzáférés kezelés (IAM) és csalás-kockázatcsökkentés;
‒ hálózati biztonság, felhőbiztonság és kiberműveletek;
‒ kiberátalakítás, mobilitás, IT/OT, valamint fenyegetések észlelése és elhárítása;
‒ sebezhetőségkezelés és incidensek kezelése.

Mostani három részes cikkünk a digitális átalakulás során megjelenő kiberbiztonsági fenyegetések szervezeten belüli kezelésére irányuló holisztikus terv kialakításával foglalkozik.

3.  rész

Bővebben...

Részletek

Megjelent: 2021. október 14.

A felhőszolgáltatások fokozott használata, a Peremszámítástechnika (Edge Computing), és a szervezetek számára jelentősen kibővült távmunka-lehetőségek olyan szintre emelték a kiberkockázatokat, amelynek értelmezése nem egyszerű. A digitális átalakulási kezdeményezések felgyorsulásával a szervezeteknek mély és pontos ismeretekre van szüksége a kiberkockázataikról.

Az egész szervezetre kiterjedő kockázatértékelési profilt kell elkészíteni a védelemre szoruló kritikus eszközök, funkciók és üzleti folyamatok azonosítása érdekében. A kockázatértékelés során a biztonsági érettséget mind az öt szervezeti pillérre vonatkozóan is értékelni kell, hogy elkerülhető legyen a kognitív disszonancia a szervezet által elért érettségi szint tekintetében.

A külső professzionális biztonsági szolgáltató csapattal való együttműködés egyértelműbbé vált a biztonsági érettség mérhető előrehaladásának útja, többek között:

‒ informatikai stratégia tervezés, kiberkockázat- és adatkezelés;
‒ személyazonosítás és hozzáférés kezelés (IAM) és csalás-kockázatcsökkentés;
‒ hálózati biztonság, felhőbiztonság és kiberműveletek;
‒ kiberátalakítás, mobilitás, IT/OT, valamint fenyegetések észlelése és elhárítása;
‒ sebezhetőségkezelés és incidensek kezelése.

Mostani három részes cikkünk a digitális átalakulás során megjelenő kiberbiztonsági fenyegetések szervezeten belüli kezelésére irányuló holisztikus terv kialakításával foglalkozik.

2.  rész

Bővebben...