Makay Computer Assessment Passed
NIS2 nem egy probléma,
hanem a megoldás

Felmérjük cége aktuális kiberbiztonsági állapotát, meghatározzuk a hiányosságokat és segítünk a NIS2 követelményeinek való megfelelés teljesítésében.

Mi az a Ransomware-as-a-Service? Szoftverengedélyezési folyamat – Kiberbiztonsági ellenőrzőlista Súlyos sérülékenységre figyelmeztet a Fortinet ManageEngine termékek elérhetősége a Makay Kiberbiztonsági Kft.-nél Broken Object Level Authorization sérülékenység javítása, megelőzése A titkosított Signal üzenetküldő bevezetet a felhasználóneveket Információbiztonság vs. kiberbiztonság Felhőalapú kiberbiztonsági tanácsadás és audit Kiberbiztonsági partnerprogram CVSS: Common Vulnerability Scoring System Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Session Hijacking sérülékenység javítása, megelőzése Kövessen Minket LinkedInen is!

NIS2 auditfelkészítés, tanácsadás, támogatás

Szeretnénk felhívni a figyelmüket, hogy a NIS2 követelményei nem teljesíthetők csupán „papírgyártással” és néhány védelmi eszköz bevezetésével. Sajnálattal tapasztaltuk, hogy ennek ellenére a hazai piacon több szolgáltató is így készíti fel az ügyfeleit. Mi cégre szabott szabályzatokat, a folyamatok és a gyakorlatok felülvizsgálatát, valamint kedvezményes árú védelmi technológiákat szolgáltatunk ügyfeleink számára.

Mit kínálunk?

Mit kínálunk Önöknek?

NIS2 audit-felkészítés, tanácsadás szolgáltatásunk segít a NIS2 kibervédelmi irányelv követelményeire való felkészülésben, az azoknak való megfelelés teljesítésében és általában a kiberbiztonsági fenyegetésekkel szembeni ellenállásban, hogy cégük és reputációjuk egyaránt megfeleljen a törény és az ügyfelek elvárásainak.

Mit tartalmaz?

Mit tartalmaz a szolgáltatás?

Segítséget nyújtunk az adminisztratív, logikai és fizikai védelmi feladatok elvégzésében. Ez kiterjed a (IBSZ, BCP, DRP stb.) szabályzatok és az eljárásrendek ellenőrzésére, a gyakorlatok ezeknek való megfelelésére, a biztonsági események kezelésére, a fejlesztések biztonságossá tételére, valamint az üzemeltetési folyamatokra is.

Miért válasszon?

Miért válasszon minket?

Fontosnak tartjuk, hogy az általunk elvégzett vizsgálat, tanácsadás és segítségnyújtás a lehető legnagyobb hasznot jelentse ügyfeleink számára. Ennek megfelelően Önök partnerünkként profitálnak a kiberbiztonsági auditokban és követelményrendszerekben szerzett sokéves tapasztalatunkból.

NIS2 szolgáltatásaink

Auditfelkészítés Sérülékenységvizsgálat Külsős Információbiztonsági Felelős (IBF, CISO) Védelmi megoldások beszerzése, beüzemelése és üzemeltetése Biztonságtudatossági oktatás és támadásszimulációk

Mi az a NIS2?

A 2016-ban hatályba lépett Network and Information Systems (NIS) Directive az Európai Unió területén működő kritikus nemzeti infrastruktúrákhoz tartozó szervezetekre vonatkozó biztonsági és jelentési kötelezettségeket ír elő. A NIS2 irányelv a folyamatosan változó kiberbiztonsági veszélyekre reagálva a kiberbiztonság további fejlesztését célozza az EU-ban.

2024. október 17-ig minden EU-tagállamnak be kell vezetnie a NIS2 rendelkezéseit saját jogszabályaiban. Azok a vállalatok, amelyek nem felelnek meg az irányelv követelményeinek, nemcsak kiberbiztonsági incidenseket és reputációs veszteségeket, hanem súlyos pénzbüntetéseket is kockáztatnak. Ha az Ön vállalata az érintett szektorokban működik, az irányelvnek való megfelelés elengedhetetlen lesz az Önök számára is.

Kikre vonatkozik a NIS2?
Segítünk az önazonosításban!

Kiemelten kockázatos ágazatok

  • energia ipar
  • vízi közmű
  • egészségügy
  • gyógyszeripar
  • szállítás, szállítmányozás
  • banki és pénzügyi szolgáltatások
  • digitális infrastruktúrák
  • kihelyezett szolgáltatók
  • közigazgatás
  • űripar

Kockázatos ágazatok

  • hulladékgazdálkodás
  • postai és futárszolgálatok
  • elektronikai ipar
  • járműipar
  • élelmiszer előállítás és forgalmazás
  • digitális szolgáltatások
  • vegyipar
  • kutatóhelyek

Ezen belül pedig azokra a szervezetekre vonatkozik, amikben legalább 50 fő dolgozik VAGY a legutolsó éves árbevételük meghaladta a 10 millió eurót.

NIS2 cégméret

NIS2 határidők, dátumok

2024. 06. 30.

2024. 06. 30.

A Kibertantv. hatálya alá tartozó szervezetek önazonosításának és hatósági regisztrációjának határideje.

2024. 10. 17.

2024. 10. 17.

A kötelező védelmi intézkedések bevezetése és a felügyeleti díj (az előző évi árbevétel 0,015%-a, de maximum 10 millió forint) befizetése.

2024. 12. 31.

2024. 12. 31.

Szerződéskötés a hatóságnál regisztrált, az auditok elvégzésére felhatalmazott auditor céggel.

2025. 12. 31.

2025. 12. 31.

A szerződött auditor cég által lebonyolított első kiberbiztonsági audit elvégzése.

NIS2 kötelező teendők

Kockázatkezelés: Az új irányelvnek való megfelelés érdekében a szervezeteknek intézkedéseket kell hozniuk a kiberkockázatok minimalizálása érdekében. Ezek az intézkedések magukban foglalják az incidensek kezelését, az ellátási lánc erősebb biztonságát, a fokozott hálózati biztonságot, a jobb hozzáférés-ellenőrzést és a titkosítást.

Vállalati elszámoltathatóság: A NIS2 megköveteli a vállalati vezetéstől, hogy felügyelje, jóváhagyja és képezze magát a szervezet kiberbiztonsági intézkedéseiről és a kiberkockázatok kezeléséről. A jogsértések szankciókat vonhatnak maguk után a vezetőségre nézve, beleértve a felelősséget és a vezetői feladatoktól való esetleges ideiglenes eltiltást.

Jelentési kötelezettségek: A jogalanyoknak folyamatokkal kell rendelkezniük a szolgáltatásnyújtásra vagy a címzettekre jelentős hatást gyakorló biztonsági incidensek azonnali jelentésére. A NIS2 konkrét bejelentési határidőket határoz meg, például 24 órás „korai figyelmeztetést”.

Üzletmenet-folytonosság: A szervezeteknek meg kell tervezniük, hogyan kívánják biztosítani az üzletmenet folytonosságát súlyos kibernetikai incidensek esetén. Ennek a tervnek tartalmaznia kell a rendszer helyreállítására, a vészhelyzeti eljárásokra és a válságkezelő csoport felállítására vonatkozó megfontolásokat.

Elektronikus információs rendszerek (EIR) biztonsági osztályba sorolása

Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg. A besorolást, amelyet a szervezet vezetője hagy jóvá, hatáselemzés alapján kell elvégezni. Az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság ajánlásként hatáselemzési módszertanokat ad ki. Ha a szervezet saját hatáselemzési módszertannal nem rendelkezik, az így kiadott ajánlást köteles használni.

Alap

Az alap osztályba olyan rendszerek tartoznak, amelyekben az adatvédelmi incidensek csak kis hatással vannak a szervezetre. Ezek az esetek nem eredményeznek jelentős üzleti veszteséget, és a jogi következmények is minimálisak. Az ilyen rendszerek védelméhez alapvető technikai és szervezeti intézkedések szükségesek.

Jelentős

A jelentős osztályba sorolt rendszerek komolyabb károkat okozhatnak, ha adatvédelmi incidensek következnek be. Az itt kezelt adatok kompromittálása vagy szolgáltatások kiesése közepes hatással lehet a működésre vagy a jogi kötelezettségekre. Ebben az esetben fokozott védelmi intézkedésekre van szükség, mint például erősebb hozzáférés-szabályozás és az incidens kezelési folyamatok fejlesztése.

Magas

A magas biztonsági osztályba olyan rendszerek kerülnek, amelyekben az adatszivárgás vagy szolgáltatás kiesés rendkívül súlyos következményekkel járna. Ez lehet gazdasági veszteség, súlyos reputációs kár, vagy akár nemzeti szintű problémák. Ezeknél a rendszereknél szigorú szabályok szerint kell eljárni, beleértve a legmodernebb titkosítási technológiák és redundáns rendszerek alkalmazását, valamint a rendszeres auditokat és monitoring rendszerek használatát.

NIS2 követelmények, követelményrendszer

A NIS2 követelményeinek alapjául a mindenki számára ingyenes és publikus NIST 800-53 Rev. 5 kiberbiztonsági követelményrendszer szolgál, ami kontrollcsaládokba rendezett és szintekbe sorolt kontrollokkal ad iránymutatást a kialakítandó folyamatokról és az elvégzendő intézkedésekről.

  • [AC] Access Control: Hozzáférés-vezérlés
  • [AT] Awareness and Training: Biztonságtudatossági képzések
  • [AU] Audit and Accountability: Naplózás és elszámoltathatóság
  • [CA] Assessment, Authorization, and Monitoring: Felülvizsgálatok, jóváhagyások és ellenőrzés
  • [CM] Configuration Management: Konfigurációmenedzsment
  • [CP] Contingency Plan: Üzletmenet-folytonosság
  • [IA] Identification and Authentication: Azonosítás és hitelesítés
  • [IR] Incident Response: Incidenskezelés és -menedzsment
  • [MA] System Maintenance: Rendszerkarbantartás
  • [MP] Media Protection: Adathordozó-védelem
  • [PE] Physical and Environmental Protection: Fizikai és környezeti védelmi intézkedések
  • [PL] Planning: Tervezés
  • [PM] Program Management: Szervezeti feladatok definiálása
  • [PS] Personnel Security: Személyi biztonság
  • [PT] Personally Identifiable Information Processing and Transparency: Személyesen azonosítható információk feldolgozása és átláthatóság
  • [RA] Risk Assessment: Kockázelemzés
  • [SA] System and Services Acquisition: Rendszer és szolgáltatásbeszerzés
  • [SC] System and Communications: Rendszer- és kommunikációvédelem
  • [SI] System and Information Integrity: Rendszer- és információintegritás
  • [SR] Supply Chain Risk Management: Ellátási lánc kockázatmenedzsmentje

Tipikus hiányosságok a szervezeti működésben

Bár egy-egy sikeres kibertámadás egyszerre több gyökérokra is visszavezethető, van néhány olyan tipikus hiányosság, amiknek pótlásával a különböző támadástípusok túlnyomó többsége megelőzthető:

Szabályzatok és eljárásrendek

Szabályzatok és eljárásrendek

Mielőtt bármelyik munkatárs önfejűen belevág a kiberbiztonsági fejlesztésekbe, fontos szabályzati oldalon is leszögezni, hogy mik a szervezet elvárásai és eljárásrendekben rögzíteni, hogy ezeket milyen módon kell kötelezően teljesíteni. Minden releváns szituációra álljon rendelkezésre kész, a munkatársak által is megismert forgatókönyv.

Védelmi technológiák beszerzése

Védelmi technológiák beszerzése

Egy kisebb vállalkozás számára elsőre komoly kiadásnak tűnhet a kibervédelmi technológiák beszerzése, de ezek nélkül hamar szemben találhatják magukat egy több tízmilliós váltságdíjjal, amit a kiberbűnözők a letitkosított adatok feloldásáért követelnek jellemzően 72 órán belül. Aztán pedig jön a felügyeleti szervektől érkező büntetés is.

Biztonságtudatossági oktatás

Biztonságtudatossági oktatás

Számos kibertámadási kísérlet azért válik sikeressé, mert a szervezet nem biztosított szerepkörre szabott, rendszeresen megtartott biztonságtudatossági oktatásokat és felméréseket a munkavállalói számára, emiatt pedig ők maguk is közreműködtek a támadás végrehajtásában. A biztonságtudatosság tehát az egyik legfontosabb védelem.

Biztonságtudatossági oktatás

Felülvizsgálatok és auditok

Amennyiben egy szervezet már lépéseket tett az informatikai biztonság növelése érdekében, mindenképpen javasolt az elvégzett intézkedések rendszeres felülvizsgálata, valamint sérülékenységvizsgálata, mert hibák és véletlen mulasztások mindenütt előfordulhatnak, még a legnagyobb odafigyelés mellett is.

IT biztonsági tanácsadás, audit-felkészítés

Amennyiben vállalkozásuknak működési feltétele a NIS2 biztonsági követelménynek való megfelelés, érdemes egy olyan megbízható, szakértő csapatot felkeresni, ami megfelelő tapasztalatokkal rendelkezik az ilyen jellegű vizsgálatok lefolytatásában. Ezen tudás birtokában a megfelelésértékelési eljárásokra (auditokra) jóval könnyebben, célirányosabban és költséghatékonyabban lehet felkészülni, mintha egy vállalkozás ezt önerőből próbálná megoldani.

Cégünk munkatársai több éves tapasztalattal rendelkeznek a 41/2015. (VII. 15.) BM rendelet, 42/2015 (III. 12.) Korm. rendelet, NIST, NIS2, ISO 27001 és egyéb szabványok vonatkozásában végzett auditokban. Az így megszerzett tapasztalatainkkal, a hatályos követelmények folyamatos nyomon követésével segítséget nyújthatunk a fent leírtak elvégzésében, teljesítésében.

Kiszervezett, külsős Információbiztonsági Felelős (IBF, CISO, vCISO) szolgáltatás

Munkatársaink sokéves IT biztonsági szakértői tapasztalattal és nemzetközi minősítéssel (CISA) is rendelkeznek, valamint rendszeres időközönként vesznek részt oktatásokon, továbbképzéseken.

Cégünk Információbiztonsági Felelős (IBF) szolgáltatásával levesszük az Önök válláról a terhet, amivel jelentős anyagi és emberi erőforrásokat takaríthatnak meg.

Az IBF szolgáltatásunk keretében – egyéni megállapodástól függően, a teljesség igénye nélkül – az alábbi feladatokat látjuk el:

Védelmi megoldások beszerzése, beüzemelése és üzemeltetése

A Makay Kiberbiztonsági Kft. nemcsak a NIS2 követelményeinek maradéktalan teljesítésének felkészítésében segít, hanem azon védelmi technológiák (antivírusok, tűzfalak, biztonsági mentő megoldások, naplógyűjtés, sérülékenységvizsgálók stb.) beszerzésében, beüzemelésében és üzemeltetésében is, amik elengedhetetlenek ahhoz, hogy az Önök által kezelt adatok a legnagyobb biztonságban legyenek, szükség esetén pedig folyamatos szakértői felügyeletet élvezzenek.

Honnan kérhetek segítséget?

Kérjen segítséget a Makay Kiberbiztonsági Kft.-től a felkészülésben az Árajánlat gombbal és előzze meg a milliós károkat okozó kiberbiztonsági incidensek bekövetkezését!

Webes, hálózati és rendszerszintű sérülékenységvizsgálat Social engineering vizsgálat és biztonságtudatossági oktatás ManageEngine IT üzemeltetési, felügyeleti és biztonsági megoldások
Árajánlat