Felkészülés a NIS2-re: többeket érint, mint gondolnánk

Megosztás Tetszik

Filmbe illő jelenet, amikor az egyik, irodában ülő kolléga elsápad, mert figyelmetlenségből rákattintott egy linkre, amelyre nem kellett volna. Bárki kaphat kibertámadás céljából küldött, fertőzött emailt a postafiókjába. Bármelyik cég áldozattá válhat. A kritikus kérdés, hogy a munkatárs időben felméri-e a veszélyt, tehát kattint vagy sem? Olvasható az EY tájékoztatójában.

Az anyagi és reputációs károk jelentős része a mai napig emberi hibából adódik. Az Európai Unió új szabályozása szerint kötelező lesz az érintettek számára, hogy tájékoztassák a kollégáikat a veszélyekről, és ezt a hatóság is ellenőrizni fogja.

Az adathalász támadások megelőzése csak egy a sok virtuális fenyegetés közül, amelyek ráadásul egyre gyakoribbá is váltak a digitalizáció rohamszerű fejlődésével. Az EY dr. Bencsik Balázzsal, a Szabályozott Tevékenységek Felügyeleti Hatóságának tanúsítási igazgatójával közösen tartott eseményén, az EU 2023-ban bevezetett kiberbiztonsági szabályozására, a NIS2-re való felkészülés fontos lépéseit vették sorra.

Mi az a NIS2?

Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2-irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el.

Kiket érint?

Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euró éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik.

Kőkemény munka a vállalatoknak, hogy felkészüljenek a NIS2-nek való megfelelésre és nagy kihívás a hatóságnak is. Időben el kell kezdeni a felkészülést, ahhoz, hogy ne fordulhasson elő hasonló incidens, mint a GDPR bevezetésekor, amikor a cégek egy része elmaradt a kötelező teendőkkel.

Dr. Bencsik Balázs, tanúsítási igazgató, Szabályozott Tevékenységek Felügyeleti Hatósága

Nincs olyan, akit ne érintene virtuális fenyegetettség. Ezúttal azok a szervezetek is a törvény hatálya alá kerültek, amelyek szolgáltatásait nap mint nap veszik igénybe más vállalatok.

A stratégiai szempontból kiemelten kritikus ágazatok a következők:

• az energia,
• a banki és pénzügyi szolgáltatások,
• a víz,
• az egészségügy,
• a szállítás,
• a gyógyszeripar,
• a digitális infrastruktúrák,
• a kihelyezett szolgáltatók,
• a közigazgatás és
• a világűr földi támogatói infrastruktúrái

Kritikus ágazatnak számítanak:

• a hulladékgazdálkodás,
• a postai és futárszolgálatok,
• az elektronikai gyártás (pl. orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések),
• a járműgyártás,
• az élelmiszer-előállítás és forgalmazás,
• a digitális szolgáltatások (pl. online piactér, online keresőmotor, közösségimédia-szolgáltatási platform),
• a vegyipari gyártás és forgalmazás,
• a kutatóhelyek.

Feladathalmok a vezetőkön

Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és edukálni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli. Újabb feladat, hogy kétévente kiberbiztonsági auditot kell készíttetni, amely arról szól, hogy a vállalat saját rendszerét ellenőriztesse. Ennek egyik célja a védelmi osztályokba sorolás, a másik pedig, hogy a hatóság ellenőrizni tudja, betartják-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd, bár a törvény lehetőséget ad a hatóságnak az árplafon bevezetésére.

Komoly büntetési tétellel szembesül az, aki nem teljesíti a követelményeket, mert akár az árbevétel 2 százalékát is elérheti a szankció mértéke, sőt el is lehet tiltani a nemteljesítőt egy meghatározott tevékenység gyakorlásától. A hatóság az auditorokat is szigorúan ellenőrzi majd. Érdemes tudni, hogy az ő felelősségük és a szervezeté közös, tehát egyértelműen rögzíteni kell a felek kötelezettségeit a szerződésben.

Négy határidő, amelyet feltétlenül tartani kell a NIS2 bevezetése kapcsán

Könnyítésként itt vannak pontokba szedve, hogyan érdemes időzíteni a felkészülést:

1. 2024. január 1. – június 30 között jelentkezni kell a nyilvántartásba vételre az érintett szervezeteket egy online felületen.
2. 2024. október 18-étól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, felügyeleti díj megfizetése.
3. 2024. december 31-éig szerződést kell kötniük a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket.
4. 2025. december 31-éig le kell folytatni az első kiberbiztonsági auditot.