Ez az oldal az ipari gyártókat célozza meg, akiknek korszerűsített termelési soraik, PLC-controllereik és IoT-eszközeik vannak csatlakoztatva. Megtudhatja, hogyan feleljenek meg a NIS2/Kiberbiztonsági tv. követelményeinek az operációs technológia (OT) és az informatikai (IT) rendszerek biztonságosítása révén.
A NIS2 szabályozás alá tartoznak azok az ipari gyártók Magyarországon, amelyeknek összefüggő termelési rendszerei, PLC-vezérlő rendszerei vagy Industry 4.0 infrastruktúrájuk van, és amelyek az energetika, víz-, gáz-, vagy élelmiszer-feldolgozás szektorban működnek, vagy amelyek kritikus infrastruktúra-szolgáltatásokra támaszkodnak. Az adatvédelmi hatóság és az SZTFH (Szervezeti Tanúsítási Fejlesztési Hivatal) által kijelölt fontos entitások kötelesek megfelelni. A méret szempontjából nincs fix küszöbérték, hanem az üzletági kritikusság és a társadalom-gazdasági hatás az irányadó.
Minden termelési soron működő PLC, SCADA és ipari IoT-eszközt azonosítani, nyilvántartani és aktívan védelemmel ellátni kell. Az OT-hálózatot szigorúan el kell különíteni az IT-hálózattól hitelesítésalapú hozzáférés-vezérléssel. Monitoring, behatolásérzékelés és valós idejű anomáliadetektálás szükséges az összes OT-csatornán.
Az ipari komponensek és vezérlőszoftver szállítóival írásos szerződéseket kell kötni, amelyek biztonsági követelményeket rögzítenek. Firmware-frissítéseket kizárólag hiteles csatornákon keresztül szabad telepíteni, előzetes tesztelés után izolált környezetben. Az ellátási lánc kockázatainak rendszeres felülvizsgálata és szállítói audit szükséges.
A termelésszakadásokat okozó kiberbiztonsági incidenseket az SZTFH-nak 24 órán belül be kell jelenteni, ha gazdasági hatásuk jelentős (termelési veszteség, megrendelés-teljesítési zavar). A bejelentésnek tartalmaznia kell az incidens leírását, az érintett rendszerek listáját és a megtett intézkedéseket. Külső szervizpartnerek közreműködése esetén ők is kötelesek az incidenst közvetlenül bejelenteni.
Az összes termelési kontrollert és ipari IoT-eszközt logikailag el kell különíteni a vállalati IT-hálózattól (DMZ-n vagy szegmentált VLAN-on keresztül). Az OT-hálózatra egész nap monitorozást és naplózást kell bevezetni, amely regisztrál minden egyedi bejelentkezést, parancsfuttatást és protokoll-váltást. A hálózati forgalom analízisét megerősített szabályokra kell alapozni.
Az összes PLC, SCADA, ipari szenzor és szoftverlicenc verziójáról naprakész leltárt kell vezetni. Kritikus biztonsági javításokat maximum 60 nap alatt kell telepíteni a termelésszakadás mellékhatásainak ismerete mellett. A javításokat tesztkörnyezetben előzetesen be kell praktizálni, az eredeti rendszerkonfigurációt dokumentálni kell.
OT-ként kell kezelni az összes termelésszabályozó egységet (PLC, SCADA, DCS), szenzort, aktuátort, ipari robot-vezérlőt és valós idejű kommunikációs busz-interfészt (CAN, Profibus, OPC-UA). IT-ként kell kezelni az iroda-hálózatot, az ERP-szoftvert és az adminisztrációs számítógépeket. Amennyiben egy eszköz a termelési folyamatra közvetlenül hatással van, akkor OT-ként kell védeni, függetlenül a szállító vagy a technológia típusától.
Az első bejelentést az incidens felismerésétől számított 24 órán belül meg kell tenni az SZTFH-nak, még akkor is, ha az oknyomozás nem fejeződött be. A bejelentésben közölni kell az ismert tényeket, az érintett rendszerek azonosítóit és az eddigi intézkedéseket. A nyomozás végeztével vagy a termelés helyreállítása után napi frissítéseket kell küldeni, végül egy záró jelentést az incidens teljes feltérképezésével.
A NIS2/Kiberbiztonsági tv. szerinti szankciók legfeljebb 10 millió euróig vagy az éves globális bevétel 2,5%-áig terjedhetnek az OT-biztonság súlyos mulasztása esetén. Emellett az SZTFH felügyeleti intézkedéseket (üzemeltetési tilalmak, obstrukcióért pénzbírság) és nyilvánosságra hozatalt (a média értesítése) rendelkezhet. A határidő 2026. október 19.