Minden, amit NIS2-ről tudni érdemes
Miben tud segíteni az ALFA-CON Tanácsadó Iroda és Oktatóközpont?
- NIS-2 (NIS2) vagy NIS2 felmérés, jelentés.
- Felkészülés: NIS-2 (NIS2) kontrollok kialakítása, bevezetése, ellenőrzése.
- ISO 27001:2022 szabványnak való megfelelés kialakítása.
- NIS-2 (NIS2) auditok végrehajtása
- ISO 27001:2022 auditok végrehajtása
- ISO 27001:2022 tanúsítvány megszerzése
Mit jelent a NIS betűszó?
Network and Information Systems
NIS-2 (NIS2) szabályozásról
A 2016-ban életbe lépő Network and Information Systems (NIS) Directive a kritikus nemzeti infrastruktúrákba tartozó szervezetek számára írt elő biztonsági és jelentési kötelezettségeket az Európai Unión belül. A NIS 2 irányelv lépést tart a folyamatosan változó kiberbiztonsági fenyegetésekkel, és célul tűzte ki a kiberbiztonság további javítását az EU-ban. Az irányelv nevesíti azokat a szektorokat, mint például az energia-, víz-, közlekedési- és egészségügyi szektort, amelyek kritikus fontosságúak, és kitágítja az ezekben a szektorokban tevékenykedő cégekre is a kiberbiztonsági incidensek bejelentési és kezelési kötelezettségét, és célzott kiberbiztonsági intézkedéseket követel meg. A NIS2 az eddigieknél szigorúbb bírságokat és büntetéseket helyez kilátásba a szabályokat be nem tartó érintettekkel szemben.
NIS-2 összefoglaló
A NIS-2 direktíváról röviden:
Az Európai Unióban 2021. december 27-én hirdették ki a NIS-2 (Network and Information Systems Directive 2) irányelvet, amely 2023. január 16-án lépett hatályba. Az irányelv célja, hogy biztosítsa a folyamatos működést és a megbízhatóságot az információs rendszerek és hálózatok terén, valamint védelmet nyújtson a kibertámadásokkal szemben.
Az NIS-2 előírja az uniós tagállamok számára, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, hozzanak létre nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós tagállamokkal és uniós intézményekkel a kiberbiztonság területén. Az érintett ágazatokon belül minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak, de itt is lesznek kivételek, pl. a minősített bizalmi szolgáltatók, a legfelső szintű domain név-nyilvántartók, valamint a DNS-szolgáltatókra méretüktől függetlenül vonatkozik majd a NIS-2. A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük az események és kockázatok megelőzésére, észlelésére, az azokra való reagálásra, valamint azok mérséklésére. Az irányelv alapján létre kell hozniuk vagy ki kell jelölniük egy, vagy több CSIRT-et (Computer Security Incident Response Team, számítógép-biztonsági incidenskezelő csoport), és biztosítaniuk kell, hogy azok megfelelő erőforrásokkal és technikai képességekkel rendelkezzenek. Az EU tagállamoknak 2024. október 17-ig kell átültetniük az NIS-2 irányelvet a saját jogrendszerükbe. A hangsúlyos területek azonban az egész EU-ban egységesek lesznek.
Megjelent az új 27001 szabvány az ISO/IEC 27001:2022, amely az új ISO ISO/IEC 27002:2022 követelményszabványa.
Az új szabvány szerint lehet tanúsítványt szerezni átállással vagy új rendszer kidolgozással.
A jelenleg érvényes tanúsítványokról két éven belül át kell állni az új tanúsítványokra.
Változások az új ISO 27001:2022-ben
A legfontosabb változás már a címében benne van, miután bevette az érvényességi területe alá a személyes adatok védelmét azaz a „Privacy”-t.
„Információbiztonság, kiberbiztonság és a személyes adatok védelme” - Követelmények
TISAX - Információbiztonság az autóiparban
TISAX (Trusted Information Security Assessment Exchange) :
Felkészítés, tanúsítás
Információbiztonság az autóiparban
A Német Autóipari Szövetség (Verban der Automobilindustrie – VDA) által életre hívott információbiztonsági tanúsítvány (TISAX) lényege, hogy az autóipari szereplők számára is egységesítse a kiberbiztonsági elvárásokat. Lényegében az ISO/IEC 27001-es nemzetközi standardra épülve biztosítja az adatok, információk, személyes adatok és prototípusok védelmét. A TISAX modell segítségével az autóipari beszállítók megmutathatják elkötelezettségüket az információbiztonság iránt, mindezt független fél által alátámasztva.
Az AlfaCon és a TISAX
Az AlfaCon Kft. széleskörű autóipari és információbiztonsági tapasztalattal rendelkező szakértőkkel rendelkezik.
Elsődlegesen fókuszálunk:
- ügyfeleink információbiztonsági érettségének növelésére;
- az információbiztonság hozzáadott értéket teremtsen ügyfeleink számára;
- az információbiztonsági rendszer fenntartása ne jelentsen terhet.
Az új ISO/IEC 27001 és ISO/IEC 27002 tervezett változásai Kiemelt
Hír:
Az ISO/IEC 27001 és az ISO/IEC 27002 egyaránt felülvizsgálat alatt áll. Az új 27001:2022 és az új ISO 27002:2022 a tervek szerint 2022 március végéig megjelenik.
Megjelent az új ISO/IEC 20000-1:2018 szabvány Kiemelt
A legújabb, harmadik generációs szabványt a ISO/IEC JTC 1, Information technology, SC 40, IT Service Management and IT Governance testület készítette és adta ki. Az IT szektorban méltán népszerű szolgáltatásirányítási követelményeket tartalmazó ISO/IEC 20000-1:2011 szabványt váltja fel, alapvető változásokat hozva az ITIL alapú irányítási rendszerkövetelmények körében.
A legfontosabb változás, a szabvány felépítése és struktúrája, melyet az Annex SL of the Consolidated ISO Supplement to the ISO/IEC Directives Part 1 – határoz meg. Ennek előnye, hogy integrálhatóvá teszi egyéb irányítási rendszerekkel, úgy mint az ISO 27001:2013, ISO 9001:2015 vagy akár az ISO 14001:2015.
A struktúrális változáson túl, számos, a gyakorlatban hasznosítható fejlesztést is tartalmaz, amelyet a modern IT technológiák és trendek figyelembevételével alkottak meg. Úgy mint az IT szolgáltatások értékteremtő képessége, ügyfélhasznosság, vagy a többes beszállítói struktúrában való szolgáltatásnyújtás.
