2026. július 12.

NIS2 és a hitelesítés: mit kell változtatniuk az alapvető és fontos szervezeteknek

A NIS2 jogi kötelezettséggé teszi az erős hitelesítést, vezetői felelősséggel. Mit vár el az irányelv a bejelentkezésektől, és hogyan zárja a rést.

A határidő már lejárt. A NIS2 (az EU megújított kiberbiztonsági irányelve) 2024. október 17-ig minden tagállamban átültetendő volt a nemzeti jogba. Ha az Ön szervezete alapvető szolgáltatásokat üzemeltet, vagy jelentős szereplő az irányelv hatálya alá tartozó ágazatok egyikében, a kérdés már nem az, hogy a szabályok vonatkoznak-e Önre, hanem az, hogy be tudja-e mutatni egy hatóságnak, hogy a hozzáférés-kezelése megfelel azoknak. És most először ez a kérdés a felső vezetést terheli, nem csupán az IT-részleget.

A hitelesítés mostantól a törvényben szerepel, nem csak az ajánlásokban

A korábbi jó gyakorlati keretrendszerek javasolták a többfaktoros hitelesítést. A NIS2 tovább megy. Alapszintű kockázatkezelési intézkedései (21. cikk) olyan technikai kontrollok bevezetését írják elő, mint a hozzáférés-kezelési szabályzatok, a kriptográfia és (kifejezetten megnevezve) a többfaktoros hitelesítés vagy folyamatos hitelesítési megoldások alkalmazása, ahol az indokolt.

A gyakorlatban egy gyenge vagy opcionális második faktor már nem védhető álláspont. Ha egy auditor rákérdez, hogyan jelentkezik be egy kiemelt jogosultságú rendszergazda a VPN-be, a Windows-kiszolgálókra vagy a felügyeleti konzolra, akkor a „jelszóval és néha egy SMS-kóddal” válasz megnyitja az első megállapítást.

Kikre vonatkozik

A NIS2 alapvető és fontos szervezetekre osztja a vállalkozásokat az ágazatok széles körében: energia, közlekedés, banki és pénzügyi piaci infrastruktúra, egészségügy, ivóvíz- és szennyvízkezelés, digitális infrastruktúra, közigazgatás és még sok más, egy második szinttel, amely bevonja a postai szolgáltatásokat, a hulladékgazdálkodást, a gyártást, az élelmiszeripart, a vegyipart és a digitális szolgáltatókat. Sok szervezet, amely az eredeti NIS-irányelven kívül esett, most szilárdan az utódjának hatálya alá tartozik.

Két változás emeli ezt a megfelelési pipát meghaladó szintre:

  • Vezetői felelősség. A vezetőségnek jóvá kell hagynia és felügyelnie kell a kiberbiztonsági kockázatkezelési intézkedéseket, és a mulasztásokért személyes felelősség terhelheti.
  • Valós szankciók. A felügyeleti hatóságok jelentős bírságokat szabhatnak ki: alapvető szervezetek esetén akár 10 millió eurót vagy a globális éves árbevétel 2%-át, attól függően, melyik a magasabb.

Hogyan néz ki valójában a „NIS2-szintű” hitelesítés

Ha van valamilyen MFA, az még nem azonos az irányelv szándékának teljesítésével. Három dolog választja el az auditort kielégítő kontrollt attól, amely csak egy dián mutat jól:

  • Adathalászat-ellenállás. Az SMS-kódok lehallgathatók vagy SIM-cserével eltéríthetők, és mind ezek, mind az egyszerű, egyérintéses push áldozatul esik a közbeékelődéses (adversary-in-the-middle) továbbításnak. A felhasználó eszközének hardveréhez kötött kulcs (amelyet nem lehet másolni vagy visszajátszani) a kockázatnak ezt az egész osztályát megszünteti. A push-fáradtság ettől külön probléma, és egyetlen kulcs vagy biometria sem állítja meg, amint az értesítés eléri a telefont: kizárólag az győzi le, amit az értesítés megjelenít, annak pontos, olvasható leírása, hogy pontosan mit hagynak jóvá, így soha semmit nem hagynak jóvá vakon.
  • A kiemelt jogosultságú és távoli hozzáférés lefedése. A követelmény nem az, hogy „MFA a webmailen”. Hanem minden út, amelyet egy támadó ténylegesen használna: VPN, távoli asztal, kiszolgálói bejelentkezések, felügyeleti konzolok.
  • Bizonyíték. A NIS2 legalább annyira szól a kontroll bizonyításáról, mint a meglétéről. Minden egyes hitelesítésnek auditálható, manipulációbiztos nyomot kell hagynia arról, hogy ki mit és mikor hagyott jóvá.

Hol illeszkedik a Notakey

A Notakey pontosan az ilyen profilú szervezetekre készült: szabályozott, biztonságtudatos és auditoroknak elszámoltatható.

  • A felhasználó kulcsa a telefon biztonságos hardverében jön létre, és soha nem hagyja el azt. Nincs ellopható megosztott titok, és nincs mit adathalászni.
  • Minden bejelentkezés és minden tranzakció kriptográfiailag aláírt, időbélyeggel ellátott esemény: pontosan az az auditnyom, amelyet egy NIS2-értékelés elvár, automatikusan előállítva ahelyett, hogy utólag kellene rekonstruálni.
  • Lefedi a lényeges hozzáférési utakat, azokon a protokollokon keresztül, amelyeket a rendszerei már beszélnek. Nézze meg a gyakorlati útmutatókat: kétfaktoros hitelesítés VPN-en RADIUS-szal, Windows távoli asztal és Linux SSH.
  • A saját infrastruktúrájában vagy a felhőben fut, így a hitelesítési adatok az Ön felügyelete alatt maradhatnak, a PSD2, az eIDAS és a GDPR szerinti illeszkedéssel eleve beépítve, nem utólag ráaggatva.

Szándékosan nem fogjuk azt állítani, hogy a Notakey „NIS2-megfelelővé teszi Önt”. Ezt önmagában egyetlen termék sem teszi meg. Amit tesz, az a rés hitelesítés-alakú részének lezárása, és a kezébe adja a bizonyítékot, amellyel ezt igazolhatja.

Kezdje pilottal, ne szabályzati dokumentummal

A leggyorsabb módja annak, hogy kiderítse, megfelel-e a hitelesítése a NIS2-nek, ha a saját környezetében teszteli: egy valódi VPN-en, egy valódi rendszergazdai bejelentkezésen, néhány valós felhasználóval. Ez egy hét alatt többet elárul a réséről és a bizonyítékairól, mint egy funkciótáblázat egy negyedév alatt.

Próbálja ki az élő demót, és írjon alá egy tranzakciót a saját telefonjáról körülbelül két perc alatt, vagy kérjen bemutatót, és feltérképezzük a VPN-, SSO- vagy Windows-hozzáférését egy működő pilottá.


Ez a cikk általános tájékoztatás, nem jogi tanácsadás. A NIS2-t minden EU-tagállam külön ülteti át a nemzeti jogába; erősítse meg a szervezetére vonatkozó konkrét kötelezettségeket, küszöbértékeket és határidőket szakképzett jogi tanácsadóval.

← Minden bejegyzés

Az első jelszó nélküli bejelentkezés már ezen a héten

30 perces beszélgetés egy mérnökkel – nem értékesítési prezentáció. Közösen megtervezzük, hogyan indulhat el egy működő pilotprojekt az Ön VPN-, SSO- vagy Windows-környezetében.