A NIS2 irányelv kezelése a vízügyi ágazatban: A 2025-ös SWAN konferencián megfogalmazott főbb szempontok

A résztvevők visszajelzései, valamint az általam vezetett kerekasztal-beszélgetésen elhangzott vélemények alapján egyértelműen kirajzolódott: az ágazat szereplői kulcsfontosságúnak tartják a NIS2 bevezetését a jövőbeni biztonságos működés szempontjából.

Élénk érdeklődés, különböző nézőpontok, eltérő felkészültségi szintek

A „NIS2 bevezetésének összehasonlítása az EU-s országok körében: hogyan hajtják végre a tagállamok az új uniós kiberbiztonsági jogszabályokat?” című kerekasztal-megbeszélés volt az egyik leglátogatottabb a 17 párhuzamosan futó ülés közül. Annak megismerése, hogy ügyfeleink hol tartanak az irányelv bevezetésében, milyen kihívásokkal szembesülnek, valamint, hogy a különböző országok hogyan hajtják végre az új jogszabályokban leírtakat, létfontosságú látni az előre vezető út kijelöléséhez, emellett biztató volt megtapasztalni, hogy ezek a kérdések fokozott figyelmet kapnak.

A teremben egyértelműen vegyes érzelmek uralkodtak az uniós szabályozással kapcsolatban. Több közműszolgáltató képviselője aggodalmát fejezte ki amiatt, hogy az EU túlzásba viszi a szabályozást, úgy érzik, hogy az előírt követelmények mennyisége túlterheli őket. Ezt az aggodalmat azonban ellensúlyozta, hogy a jelenlévők határozottan elismerték az erőteljes kiberbiztonsági intézkedések szükségességét.

Az ABB-csoport által vezetett vita – amelyben Giuseppe Fraddanno, az ABB Energy Industries közép- és dél-európai értékesítési vezetője, Ragnar Schierholz, az ABB globális kiberbiztonsági termékmenedzsere, valamint jómagam vettünk részt – egyértelműen rávilágított a felkészültségi szintek közötti markáns különbségekre.

A nagyobb közműszolgáltatók bizakodóak az előkészítő munkájukkal kapcsolatban, többen közülük már megkezdték az információbiztonság-irányítási rendszerekre vonatkozó ISO 27001 szabvány bevezetését. Ezek a szervezetek bíznak abban, hogy a már megtett erőfeszítéseik segíteni fogják őket a NIS2 követelményeinek a teljesítésében és pozitívan állnak az irányelv bevezetéséhez.

A kisebb közműszolgáltatók azonban más realitással szembesülnek. Az elsődleges kihívás számukra nem a műszaki megvalósítás, hanem inkább a hatókör és az alkalmazási terület meghatározása. Kérdések merültek fel azzal kapcsolatban, hogy mely rendszereket kell bevonni a bevezetés körébe: Csak az informatikai területet vagy ez esetleg magában foglalja az üzemeltetési technológiát is? Mi a helyzet a beszerzési és HR-folyamatokkal? A válasz igen, ezeket a területeket is valamilyen szinten mind figyelembe kell venni, ami rávilágít a NIS2-megfelelés átfogó jellegére.

Elengedhetetlen a technológia és az emberi szakértelem együttműködése

A NIS2 irányelv szerinti 24 órás eseményjelentési kötelezettség jelentős vitát váltott ki az eseményfelismerő és -figyelő rendszerekről. Az ilyen szoros határidők betartásához a közműszolgáltatóknak fejlett technológiára és megfelelően képzett személyzetre van szükségük. A technológiai kapacitás és az emberi szakértelem egysége, a megbeszélések során a siker kritikus tényezőiként jelentek meg.

A küldöttek hangsúlyozták, hogy továbbra is az emberek jelentik a legnagyobb kockázatot és kihívást, mivel nem mindig értik meg, hogy az OT-részre, azaz az üzemelési technológiára is ügyelniük kell, nem csak az IT-területre. Az IT és OT biztonsági követelmények megfelelő megértése nélkül a szervezetek nem tudják hatékonyan észlelni a hibaeseményeket és nem képesek reagálni azokra a megadott időkereteken belül – jelenleg a jelentési kötelezettség 24 órán belül esedékes. Ezt az emberi tényezőt nem lehet figyelmen kívül hagyni a NIS2 megfelelőséget biztosító technikai megoldások bevezetése kapcsán.

Együttműködési megoldások és jövőbeli megfontolások

A konferencia számos, az iparágon belüli együttműködési kezdeményezésre hívta fel a figyelmet. Egyre nagyobb az érdeklődés egy kifejezetten a NIS2-re összpontosító SWAN-munkacsoport létrehozása iránt, úgy vélem, hogy ez értékes, szakértői iránymutatást és a legjobb gyakorlatok megosztását biztosíthatná.

A kockázatértékelések szintén kiemelt szerepet kaptak a vitákban, a résztvevők felismerték, hogy a szabványos informatikai kockázatértékelések nem elegendőek. Az OT-specifikus kockázatok speciális szakértelmet és testre szabott megközelítéseket igényelnek. Ez egy olyan terület, ahol az olyan vállalatok, mint az ABB, szakértő támogatást nyújthatnak a kockázatértékelési ajánlataik révén.

A digitalizáció, a mesterséges intelligencia és az IT/OT összekapcsolhatóság szélesebb körű konferenciatémái is megerősítik, hogy miért kell a kiberbiztonságot már a digitális átalakítási projekt kezdetén figyelembe venni, nem pedig utólag. Ahogy a víz- és szennyvízágazat folytatja a digitális átállását, a kiberbiztonság egyre fontosabbá válik számukra a működési rugalmasság szempontjából.

Bár a SWAN éves konferenciája sikeresen foglalkozott az ipar kulcsfontosságú kihívásaival, a jövőbeni eseményeknek is előnyükre válna, ha a beszállítók és a megoldásszolgáltatók mellett a közműszolgáltatók is nagyobb arányban vennének részt a konferencián. A végfelhasználók szempontjai is elengedhetetlenek ahhoz, hogy érdemi előrelépést érjünk el ezekben az összetett szabályozási kérdésekben.

A NIS2 bevezetése még csak most kezdődik, de az általam tapasztalt együttműködési szellem és a kiberbiztonsági kiválóság iránti közös elkötelezettség megerősít abban, hogy az ágazat akar – és képes is lesz – hatékonyan megfelelni ezeknek a kihívásoknak.

Szerző: Tobias Nitzsche, a globális kiberbiztonsági szakág vezetője