OT, ICS/IACS… mik ezek?
Az OT és az ICS/IACS rendszerek olyan rendszerek, amelyeket a gyárakban, energiatermelő üzemekben, vagy egyéb kritikus, létfontosságú infrastruktúrában használnak. Ezek a rendszerek felelősek a gyártási folyamatok, az energiatermelés, vagy egyéb kritikus feladatok automatizálásáért.
Az OT vagy "Operációs Technológia" olyan rendszerek és eszközök összessége, amelyek közvetlenül az ipari folyamatok felügyeletére és irányítására szolgálnak. Ezek az eszközök például olyan ipari gépek, szenzorok, automatizálási rendszerek és egyebek, amelyek segítik a gyárak és létesítmények működését. Az OT különbözik az informatikai (IT) rendszerektől, mivel célja a fizikai folyamatok irányítása, míg az IT inkább az adatok és információk kezelésére összpontosít.
Az ICS vagy "Ipari Vezérlőrendszer" olyan speciális informatikai rendszer, amely az OT területén alkalmazott eszközöket és szoftvert foglalja magában. Az ICS szerepe az ipari folyamatok automatizálása, vezérlése és felügyelete. Az IACS ugyanazon elvek alapján működik, de egy átfogóbb kifejezés, amely magában foglalja az ipari automatizálás és vezérlés teljes spektrumát, beleértve az eszközöket, szoftvereket és hálózatokat is. Ezek a rendszerek kulcsfontosságúak az ipari létesítmények hatékony működése és biztonsága szempontjából.
NIS és ipari kiberbiztonság
A NIS a „Network and Information Systems”-ből eredő betüszó. Az eredeti hálózat- és információbiztonságról szóló irányelv célja az volt, hogy az egész Europai Unióban kiberbiztonsági képességeket építsen ki. Ezzel enyhíteni lehet a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtásához használt hálózati és információs rendszereket fenyegető veszélyeket. Ezzel biztosítani lehet az ilyen szolgáltatások folyamatosságát, ha incidensekkel – azaz a működésüket zavarni próbáló akciókkal - kell szembenéznie.
Ezzel a NIS hozzájárul az Európai Unió biztonságához, valamint gazdaságának és társadalmának hatékony működéséhez.
A NIS2 a kigyúrt NIS
A NIS2 tekinthető "szteroidos NIS-nek" egy olyan korszakban, amelyben az alapvető szolgáltatásokat nyújtó szervezeteknek minden eddiginél jobban kell kezelniük mind az informatikai, mind az operatív technológiák (OT), azaz az ipari műveleteket irányító, felügyelő, automatizáló és ellenőrző vezérlőrendszerek kiber kockázatát. A legnagyobb kockázatot az OT/IT közötti és az interneten keresztül a külső kapcsolatok növekedése okozza.
A NIS2 megerősíti a hatálya alá tartozó ágazatokban az alapvető és fontos szervezetek kiber kockázat-értékelésére vonatkozó követelményeket, és kiterjed az ellátási láncokból és a beszállítói kapcsolatokból eredő kockázatokra.
A hatálya alá tartozó szervezetek irányító szervei jogilag kötelesek és elszámoltathatók lesznek a NIS2-vel kapcsolatos jogszabályok által előírt kiberbiztonsági követelmények végrehajtására. A felügyeleti szerveknek lehetőséget ad, hogy pénzbírsággal sújtsák őket, és a vezetőkkel szemben büntetőjogi felelőséget állapítsanak meg nem megfelelőség esetén. Szélsőséges esetben a cég vezető eltiltható a tevékenységtől.
Új szektorok a szabályzásban.
Az új szabályozás a A szigorúbb szabályozás és a komolyabb szankciók mellett új iparágak is felsorolásra kerültek a rendelkezés hatálylában. Az alapvető szolgáltatások közé bekerült az ivóvíz ellátás mellé a szennyvíz kezelés, az energetikai rendszerek közt megjelenik a hidrogén technológia és a távfűtés. Új elem az alapvető szolgáltatások közt az űripar és a gyógyszeripar. A NIS2 definiál egy második iparági kört is, amit „fontos szolgáltatásoknak” nevez. Ebbe tartoznak a postai és futárszolgáltatások, a hulladék gazdálkodás, a vegyipar és vegyianyag kereskedelem, az élelmiszer ipar, az orvostechnikai eszközök gyártása, az elektronikai ipar, a gép és jármű gyártás, és a digitális szolgáltatók.
Az alapvető és fontos ágazatokban működő állami vagy magánszervezetek akkor tartoznak a törvény hatálya alá, ha az Európai Unión belül szolgáltatnak, tevékenykednek és legalább középvállalkozásnak minősülnek (legalább 50 munkavállalót foglalkoztatnak ÉS éves nettó árbevételük és/vagy mérlegfőösszegük meghaladja a 10 millió eurót), az ennél kisebb szervezetekre tehát nem vonatkoznak az új kiberbiztonsági kötelezettségek.
Az óra ketyeg
A NIS2 direktíva hazai jogharmonizációja elkezdődött, elsőként idén májusban kihirdetésre került a 2023 évi XXIII. törvény a a kiberbiztonsági tanúsításról és a kiberbiztonsága felügyeletről. A végrehajtási rendeletek, amelyek a konkrét kontrollokat tartalmazzák készítés alatt vannak, és várhatóan legkésőbb jövő év első felében kihirdetésre kerülnek. 2024 október közepétől pedig alkalmazni kell az előírtakat.
Látható, hogy jelentősen megnő a kontrollált szervezetek köre, ezek közt számos ipari szereplő is megjelenik. Ezen ipari szereplők üzletmenet folytonossága nehezen elképzelhető az ipari rendszereik nélkül. Olyan OT rendszerek és ezek működtetése kerül most a hatóság látókörébe, amelyeknél az elmúlt évtizedek során nem alakult ki a biztonságtudatosság, sok esetben elavultak. A működtető szervezetek nem rendelkeznek jártassággal a kiber kockázatok kezelésében. Sőt sok esetben talán nem is tudják még, milyen kötelezettségekkel állnak szemben. A jogalkotó sem kapkod segíteni a felkészülést.
Tik-tak.