• A NIS2 az EU meglévő (és első) kiberbiztonsági jogszabálya, a NIS-irányelv helyébe lépett idén januárban. A NIS2 a különböző ágazatokban működő szervezeteknek előírja, hogy biztosítaniuk kell, hogy a szolgáltatásnyújtáshoz és tevékenységük végzéséhez használt hálózatok és rendszerek magasabb szintű kiberbiztonságot érjenek el.
A tagállamoknak, így Magyarországnak is 2024. október 17-ig kell elfogadniuk és kihirdetniük azokat a rendelkezéseket, amelyek szükségesek ahhoz, hogy a NIS2 irányelvnek megfeleljenek. Ennek részleteiről már beszélt Dr. Bencsik Balázs a SecWorld 2022 rendezvényen.
• 2022. szeptember 15-én az Európai Unió új törvényjavaslatot nyújtott be "Cyber Resilience Law" névvel ("törvény a kiberrezilienciáról"). Ez a jogszabály a kiberbiztonság horizontális európai megközelítését szorgalmazza, és kifejezetten a hardver- és szoftvergyártókat érinti, mivel ők viselik a legnagyobb felelősséget a (biztonságosabb) technológiai eszközök fejlesztésében. A törvényt valószínűleg 2024-ben fogadják el. Erről szintén tartott előadást Dr. Bencsik Balázs és Marsi Tamás a SecWorld 2023 konferencián, a videót később tesszük elérhetővé. Az eseményen egyébként videóelőadást tartott Chester Wisniewski, a Sophos Field CTO Applied Research szakembere.
A Sophos szerint az NIS2 szabályozás már régóta esedékes, és sürgős szükség volt rá. Az EU biztonságának és a bomlasztó támadásokkal szembeni stabilitásának nagy lökést adhat majd a definíciók összehangolása arról, hogy kinek kell megfelelni a tagállamok között, kombinálva a
• jobban meghatározott jelentéstételi elvárásokkal,
• a megfelelőségi szabályokkal és
• a modernebb fenyegetések kezelésére való frissítésekkel.
Az iparágak kibővített listája üdvözlendő, de továbbra is nyitva hagyja az ajtót a nem szabályozott entitások számára, hogy kockázatot jelentsenek a "supply chain" támadásokon keresztül. A nagy szervezetek esetében a követelmények ugyan szigorúbbak, ám egységesek lesznek az egész EU-ban és többletköltség nélkül jobb biztonságot eredményezhetnek, mivel nem kell több, egymással ütköző tagállami szabályt betartani. A megfelelőségi követelmények megnövekedhetnek azon szervezetek számára, amelyek csak egy vagy néhány tagállamban folytatnak üzleti tevékenységet, de a beruházások szükségesek és jelentősen javíthatják védekezési és az incidensekre való reagálási képességüket. Az egyik fő ok az aggodalomra a képzett, tapasztalt biztonsági szakértők hiánya, akik segítenék a szervezeteket az előírásoknak való megfelelésben, ám valószínűleg sokan biztonsági szolgáltatókhoz fordulnak majd a belső csapatuk kiterjesztése érdekében. Ez lehetővé teszi számukra, hogy kisebb számú külső szakértőt vegyenek igénybe a szakértői útmutatás megszerzéséhez.
A Sophos szerint a Cyber Resilience Act, avagy a számítástechnikai rezilienciáról szóló törvénytervezet valószínűleg nem fogja érdemben lelassítani a kiberbűnözés terjedését és valószínűleg magasabb árakat, illetve korlátozottabb választási lehetőségeket eredményez majd az európaiak számára. A törvény célja jó, de a robbanásszerűen növekvő mennyiségű adatszivárgások és DDoS támadások befolyásolásának képessége valószínűtlen. A DDoS támadásokat nem érdeklik a határok és ugyan jó dolog, ha az eszközök legalább Európában ellenállóbbak, de ez nem fog javítani a meglévő eszközök milliárdjain és nem akadályozza meg, hogy gyengébb "minőségű" eszközökről támadjanak az USA-ban, Brazíliában, Vietnámban vagy Oroszországban. A legtöbb ransomware támadás olyan eszközök eredménye, amelyek nem kaptak javításokat, még ha a javítások már készen álltak és elérhetőek voltak, vagy pedig lopott jelszavakból származtak. E kérdések egyikével sem foglalkozik igazán a törvény. Az alapvető szándékok jók, de a szabályozás nagy része "jó biztonsági magatartást" ír elő, amelyet nem lehet bizonyítani, tesztelni vagy tanúsítvánnyal ellátni.
A Cyber Resilience Act elsősorban a gyártókat teszi felelőssé termékeik, hardvereik és szoftvereik kiberbiztonságáért. A hivatalos szöveg szerint a törvény "minden olyan termék gyártóira vonatkozik, amelynek rendeltetésszerű használatához közvetlen vagy közvetett digitális vagy fizikai csatlakozás szükséges egy eszközhöz vagy hálózathoz".
Konkrétan ez a felelősség három kötelezettségre oszlik. Először is, a termékeket az "alapvető biztonsági szabályok" hosszú listája szerint kell fejleszteni, megtervezni és legyártani az illetéktelen hozzáférés elleni védelem, az érzékeny adatok biztonságos tárolása vagy a frissítések telepítése érdekében. Ezen túlmenően a gyártóknak képesnek kell lenniük a felhasználók rendelkezésére bocsátani termékeik biztonságos telepítésére és használatára vonatkozó megfelelő dokumentációt.
Nem utolsósorban a harmadik kötelezettség: a vevőikkel szembeni átláthatóság folyamatában a gyártóknak harmadik feleket kell megbízniuk biztonsági tesztek elvégzésével, és ezentúl kötelesek jelenteni a termékben felfedezett sebezhetőségeket a forgalomba hozatal után. De azokban az esetekben, amikor ezt a kötelezettséget nem tartják be, akkor megfelelő szankciókat alkalmaznak: a biztonsági követelményeknek meg nem felelő termékeket kivonják a forgalomból, és súlyos pénzbírságra is számíthatnak azok a gyártók, akik nem kívánják javítani termékeik biztonsági szintjét.
Nem arról van szó, hogy senkihez sem tartozik a tulajdonjog, mint inkább arról, hogy sok közreműködő közös tulajdona. E kollektívák számára terhet jelentene, ha e kód miatt beperelnék vagy felelősségre vonnák őket, amelyet legtöbbször nyilvános használatra adományoznak. Amikor egy kereskedelmi cég felhasználja azt az adományt és profitorientált helyzetben használja fel, akkor a szabályok vonatkoznak rá, arra ösztönözve a profitorientált cégeket, hogy javítsák, átadják vagy javítsák a nyílt forráskódú termékek biztonságát.
A Cyber Resilience Actnek még hosszú utat kell megtennie a teljes elfogadásig, mivel kissé túlzottan ambiciózusnak tűnik. Ezen túlmenően a gyártóknak nem lesz más lehetősége, mint súlyos befektetéseket szánni a termékeik biztonságára, hogy azok megfeleljenek a követelményeknek. Kétségtelen, hogy a nyomásgyakorló csoportok megpróbálnak majd tárgyalásokba bocsátkozni bizonyos kiigazítások elvégzése érdekében.
Még ha az Európai Unió célkitűzései megvalósíthatónak is tűnnek, biztos, hogy néhány évet várnunk kell, mire meglátjuk, valóban jelentős változásokat hozhat -e ez a törvény a kiberbiztonság terén.
