Ivóvízszolgáltatók, szennyvíztisztító üzemeltetők és vízvezeték-hálózat-üzemeltetők számára készült útmutató az SZTFH/NIS2 szabályozás teljesítéséhez. Megtudhatja, mely rendszerek védelme kötelező, hogyan kell integrálni a fizikai és kiberbiztonsági védelmeket, és hogyan kerülheti el a leggyakoribb hiányosságokat.
A NIS2 előírások alatt azok az ivóvízszolgáltatók, szennyvíztisztító üzemeltetők és vízvezeték-hálózati üzemeltetők tartoznak, amelyek legalább 100 ezer lélekszámú lakosságnak nyújtanak szolgáltatást, vagy amelyeknél a víztömeges technológia jelentős infrastruktúrát képvisel. Ide tartoznak a településvezetékeket és helyi hálózatokat üzemeltető önkormányzati és magánszférabeli szervezetek, valamint a regionális és országos vízkezelő üzemeltetők.
Az ivóvíz-kezelési és szennyvíztisztítási folyamatokat irányító SCADA/ICS rendszereket szigetelt hálózaton kell üzemeltetni, tűzfallal és behatolásvédelmi rendszerrel (IDS/IPS) kell ellátni. A vízkezelő üzemeltetőknek biztosítaniuk kell, hogy ezek a rendszerek sohasem csatlakoznak közvetlenül az internethez vagy az üzleti hálózathoz szegmentáció nélkül. A szűrés, szivattyúzás és klórozás vezérlőrendszerei különösen kritikusak.
Az ivóvízkezelésben és szennyvíztisztításban alkalmazott vegyszeradagolási rendszerek (klór, kálium-permanganát, vas(III)-klorid) vezérlőegységeit nem szabad alapértelmezett jelszavakkal vagy ismert hitelesítési adatokkal üzemeltetni. Kétfaktoros autentikáció és fizikai hozzáférés-szabályozás szükséges; a rendszereket támadásvédelmire kell tesztelni. Az üzemeltetőknek biztosítaniuk kell, hogy az autorizálatlan vegyszeradagolás észlelésére figyelmeztetési rendszerek működnek.
A vízszivattyúzó és -elosztó állomások biztonsági rendszerei (videonaplózás, mozgásérzékelés) és vezérlőegységei (PLC, SCADA) egységes biztonsági politika alatt kell, hogy működjenek. Kell kerekíteni a fizikai behatolásvédelmet (lezárt szekrények, zárható vezérlőpultok) a kiberbiztonsági hozzáférésvédelemmel (VPN, szimmetrikus titkosítás). Az üzemeltetőknek regisztrálniuk kell az összes fizikai és digitális hozzáféréset az audit céljára.
Vízellátás-zavarások, amelyek egy adott település 100 ezer fő feletti populációját érinti, kötelezően jelentendő az SZTFH-nak 24 órán belül a kezdeti gyanúsítás után. Az ivóvízszolgáltatónak nyilvánosságot kell készítenie az incident típusáról, lehetséges okairól és helyreállítási ütemtervről az érintett lakosság tájékoztatása céljából. A kibertámadások által okozott zavarások különleges értesítési eljárásban részesülnek.
Az üzleti rendszerek (számlázás, HR, e-mail) nem szabad ugyanazon a hálózaton működniük, mint a működési technológiai (OT) rendszerek. A vízkezelő és -elosztó szervezeteknek létre kell hozniuk demilitarizált zónákat (DMZ) és microsegmentation-t. Az operátorok és mérnökök csak szükséges hozzáféréssel rendelkezzenek az ICS felületekhez; a hozzáférések rögzítése és auditálása kötelező.
Kritikus rendszereknek minősülnek a vízszivattyúzást, szűrést, vegyszeradagolást, nyomásszabályozást és klórozást kezelő SCADA/ICS-rendszerek, valamint az ezeket támogató kommunikációs rendszerek. Az ivóvízkezelő szervezeteknek azonosítaniuk kell az ezeket felügyelő operációs technológiákat és biztonsági felügyeleti rendszereket (SOAR, SOC).
Az NIS2 jogszabály 2026. október 18-ig teljesítendő Magyarországon. Az SZTFH-nak 2025 során biztosítania kell az aktuális szoros technikai és szervezeti útmutatást; az üzemeltetőknek addig el kell végezniük a kockázatértékelést, és meg kell kezdeniük a szegmentáció és a hozzáférés-szabályozás megvalósítását.
Az SZTFH akár 10 millió forint adminisztratív bírságot szabhat ki az alapvető biztonsági kötelezettségek megsértéséért (pl. incident-nem-jelentés, szegmentáció hiánya). Az ismételt jogsértések vagy tájékoztatás-megtartás akár 50 millió forintig terjedő büntetést vonhat maga után. A vízszolgáltatónak javasolt 2025 során teljesen auditálnia magát.