A 2022/2555-ös NIS2 direktíva (Network and Information Security 2) a 2016-os elődjéhez képest drámaian kibővítette az érintett szektorok körét: az „alapvető fontosságú" vagy „fontos" szervezetek kategóriájába ma már a középvállalati IT-szolgáltatók, gyártók, logisztikai cégek, élelmiszerlánc-szereplők és számos B2B platform is beletartozik.
Mit követel meg konkrétan?
A direktíva 21. cikke szerint a szervezeteknek „a kockázatokkal arányos, korszerű biztonsági intézkedéseket" kell bevezetniük. Ez a gyakorlatban azt jelenti:
- Dokumentált incidenskezelési folyamat – 24 órán belüli előzetes jelentés, 72 órán belüli részletes bejelentés
- Biztonsági mentés és helyreállítási képesség – ellenőrizhető RTO, RPO és helyreállítási próbák
- Beszállítói lánc biztonsága – a kritikus szállítók is auditálandók
- Hozzáférés-kezelés – legkisebb jogosultság elve, többfaktoros hitelesítés
- Kriptográfia – legalább iparági szabványú titkosítás nyugalmi és átviteli állapotban
A backup mint sarokkő
A NIS2 nem mondja ki konkrétan, hogy „immutable mentés kell" – de a 21. cikk (2) bekezdés c) pontja a „business continuity management" és a „backup management" képességet kötelező alapnak tekinti. A magyar SZTFH (és a társhatóságok az EU-ban) az audit során a kontroll-implementáció minőségére kérdez rá: nem elég, hogy van mentés, az is kell, hogy a ransomware-támadásnál ne legyen módosítható.
Az immutable, írásvédett mentés ma már nem extra – minimum elvárás minden NIS2 hatálya alá tartozó szervezetnél.
Hogyan segít a ViVeSec Box?
A ViVeSec Box out-of-the-box teljesíti a NIS2 backup-vonatkozású elvárásait: immutable object storage, kompromittált admin hitelesítés esetén is megőrzött pillanatképek, részletes audit-napló (export), RBAC + 4-szem elv minden adathozzáférésre. A Common Criteria elvek szerinti Security Target és a CE Declaration of Conformity letölthető – egy auditor első kérése után 5 perc alatt mellékelhetők a dokumentációhoz.