Hogyan értékeli a víz- és szennyvízágazat az uniós NIS2 irányelvet, amely a hálózati és információs rendszerek kiberbiztonságát szabályozza? Erre a kérdésre az idei berlini SWAN konferencián kaptunk választ. A résztvevők visszajelzései, valamint az általam vezetett kerekasztal-beszélgetésen elhangzott vélemények alapján egyértelmĹąen kirajzolódott: az ágazat szereplői kulcsfontosságúnak tartják a NIS2 bevezetését a jövőbeni biztonságos mĹąködés szempontjából. – Szerző: Tobias Nitzsche, a globális kiberbiztonsági szakág vezetője

Élénk érdeklődés, különböző nézőpontok, eltérő felkészültségi szintek 

A „NIS2 bevezetésének összehasonlítása az EU-s országok körében: hogyan hajtják végre a tagállamok az új uniós kiberbiztonsági jogszabályokat?” címĹą kerekasztal-megbeszélés volt az egyik leglátogatottabb a 17 párhuzamosan futó ülés közül. Annak megismerése, hogy ügyfeleink hol tartanak az irányelv bevezetésében, milyen kihívásokkal szembesülnek, valamint, hogy a különböző országok hogyan hajtják végre az új jogszabályokban leírtakat, létfontosságú látni az előre vezető út kijelöléséhez, emellett biztató volt megtapasztalni, hogy ezek a kérdések fokozott figyelmet kapnak.

A teremben egyértelmĹąen vegyes érzelmek uralkodtak az uniós szabályozással kapcsolatban. Több közmĹąszolgáltató képviselője aggodalmát fejezte ki amiatt, hogy az EU túlzásba viszi a szabályozást, úgy érzik, hogy az előírt követelmények mennyisége túlterheli őket. Ezt az aggodalmat azonban ellensúlyozta, hogy a jelenlévők határozottan elismerték az erőteljes kiberbiztonsági intézkedések szükségességét.

Az ABB-csoport által vezetett vita – amelyben Giuseppe Fraddanno, az ABB Energy Industries közép- és dél-európai értékesítési vezetője, Ragnar Schierholz, az ABB globális kiberbiztonsági termékmenedzsere, valamint jómagam vettünk részt – egyértelmĹąen rávilágított a felkészültségi szintek közötti markáns különbségekre.

A nagyobb közmĹąszolgáltatók bizakodóak az előkészítő munkájukkal kapcsolatban, többen közülük már megkezdték az információbiztonság-irányítási rendszerekre vonatkozó ISO 27001 szabvány bevezetését.  Ezek a szervezetek bíznak abban, hogy a már megtett erőfeszítéseik segíteni fogják őket a NIS2 követelményeinek a teljesítésében és pozitívan állnak az irányelv bevezetéséhez. 

A kisebb közmĹąszolgáltatók azonban más realitással szembesülnek. Az elsődleges kihívás számukra nem a mĹąszaki megvalósítás, hanem inkább a hatókör és az alkalmazási terület meghatározása. Kérdések merültek fel azzal kapcsolatban, hogy mely rendszereket kell bevonni a bevezetés körébe: Csak az informatikai területet vagy ez esetleg magában foglalja az üzemeltetési technológiát is? Mi a helyzet a beszerzési és HR-folyamatokkal? A válasz igen, ezeket a területeket is valamilyen szinten mind figyelembe kell venni, ami rávilágít a NIS2-megfelelés átfogó jellegére.

Az ABB csapata: Tobias Nitzsche, Giuseppe Fraddanno ĂŠs Ragnar Schierholz

Elengedhetetlen a technológia és az emberi szakértelem együttmĹąködése 

A NIS2 szerinti 24 órás eseményjelentési kötelezettség jelentős vitát váltott ki az eseményfelismerő és -figyelő rendszerekről. Az ilyen szoros határidők betartásához a közmĹąszolgáltatóknak fejlett technológiára és megfelelően képzett személyzetre van szükségük. A technológiai kapacitás és az emberi szakértelem egysége, a megbeszélések során a siker kritikus tényezőiként jelentek meg.

A küldöttek hangsúlyozták, hogy továbbra is az emberek jelentik a legnagyobb kockázatot és kihívást, mivel nem mindig értik meg, hogy az OT-részre, azaz az üzemelési technológiára is ügyelniük kell, nem csak az IT-területre. Az IT és OT biztonsági követelmények megfelelő megértése nélkül a szervezetek nem tudják hatékonyan észlelni a hibaeseményeket és nem képesek reagálni azokra a megadott időkereteken belül – jelenleg a jelentési kötelezettség 24 órán belül esedékes. Ezt az emberi tényezőt nem lehet figyelmen kívül hagyni a NIS2 megfelelőséget biztosító technikai megoldások bevezetése kapcsán. 

EgyüttmĹąködési megoldások és jövőbeli megfontolások 

A konferencia számos, az iparágon belüli együttmĹąködési kezdeményezésre hívta fel a figyelmet. Egyre nagyobb az érdeklődés egy kifejezetten a NIS2-re összpontosító SWAN-munkacsoport létrehozása iránt, úgy vélem, hogy ez értékes, szakértői iránymutatást és a legjobb gyakorlatok megosztását biztosíthatná. A kockázatértékelések szintén kiemelt szerepet kaptak a vitákban, a résztvevők felismerték, hogy a szabványos informatikai kockázatértékelések nem elegendőek. Az OT-specifikus kockázatok speciális szakértelmet és testre szabott megközelítéseket igényelnek. Ez egy olyan terület, ahol az olyan vállalatok, mint az ABB, szakértő támogatást nyújthatnak a kockázatértékelési ajánlataik révén.

A digitalizáció, a mesterséges intelligencia és az IT/OT összekapcsolhatóság szélesebb körĹą konferenciatémái is megerősítik, hogy miért kell a kiberbiztonságot már a digitális átalakítási projekt kezdetén figyelembe venni, nem pedig utólag. Ahogy a víz- és szennyvízágazat folytatja a digitális átállását, a kiberbiztonság egyre fontosabbá válik számukra a mĹąködési rugalmasság szempontjából.

Bár a SWAN éves konferenciája sikeresen foglalkozott az ipar kulcsfontosságú kihívásaival, a jövőbeni eseményeknek is előnyükre válna, ha a beszállítók és a megoldásszolgáltatók mellett a közmĹąszolgáltatók is nagyobb arányban vennének részt a konferencián. A végfelhasználók szempontjai is elengedhetetlenek ahhoz, hogy érdemi előrelépést érjünk el ezekben az összetett szabályozási kérdésekben. 

A NIS2 bevezetése még csak most kezdődik, de az általam tapasztalt együttmĹąködési szellem és a kiberbiztonsági kiválóság iránti közös elkötelezettség megerősít abban, hogy az ágazat akar – és képes is lesz – hatékonyan megfelelni ezeknek a kihívásoknak. 

English Summary

At this year’s SWAN conference in Berlin, key stakeholders in the water and wastewater sector discussed the EU's NIS2 directive on cybersecurity. The directive was widely recognized as essential for future operational safety, though reactions were mixed—some utilities expressed concerns about regulatory overload. Larger providers seemed more prepared, already implementing standards like ISO 27001, while smaller ones faced challenges in defining scope and responsibilities. Discussions highlighted the need for both advanced technology and skilled personnel to meet the 24-hour incident reporting requirement. The event also underscored the importance of collaboration and early integration of cybersecurity in digital transformation projects.