NIS2 kiberbiztonsági szabályozás: ideje lenne elkezdeni a védekezést

Megosztás Tetszik

Ugyan június 30-án lejárt a kiberbiztonsági tanúsításról és felügyeletről szóló törvényben meghatározott első fontos határidő, a cégvezetőknek még van idejük pótolni a mulasztást, és megkezdeni a felkészülést a támadások elhárítására, amivel nem mellesleg elkerülhetik az akár milliós nagyságrendű bírságot is, a hackertámadásokon kívül.

Kétfajta vállalat létezik: az egyiket már meghekkelték, a másikat meg fogják hekkelni. A kiberbűnözés mértéke folyamatosan nő, az SZTFH adatai alapján csak 2023-ban Magyarországon tizenháromezer ember vált kiberbűnözők áldozatává, mellyel 30 milliárd forint anyagi kár keletkezett – figyelmeztetnek a Gábor Dénes Egyetem szakemberei. A 2016-ban megalkotott Network and Information Systems (NIS) uniós irányelv célja, hogy a tagállamok védettebbek legyenek a kiberbiztonsági incidensekkel szemben és hatékonyabban reagálhassanak azokra. A NIS2 irányelv kijelöli a kritikus fontosságú szektorokat, mint például az energia-, víz-, közlekedési és egészségügyi szektort, és előírja a cégek kötelezettségeit, tennivalóit.

Magyarország uniós szinten élen jár a kiberbűnözők elleni védekezésben, az Országgyűlés már 2023 májusában elfogadta a kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló törvényt, amely becslések szerint 2500-3000 magyar vállalkozás és intézmény számára ír elő rendszervédelmi kötelezettséget.

2024. június 30-áig minden érintett szervezetnek fel kellett mérnie, hogy érintett-e, melyik kockázati csoportba tartozik, ki kellett jelölnie az elektronikus információs rendszerek biztonságáért felelős személyt, valamint be kellett jelentkeznie (nyilvántartásba vétel) a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) rendszerébe.

A Szabályozott Tevékenységek Felügyeleti Hatóságával (SZTFH) szakmai együttműködésben a Gábor Dénes Egyetem által létrehozott ingyenes érintettségi kérdőív kitöltésével minden vállalkozás megtudhatja, hogy a NIS2 irányelv hatálya alá esik-e, sőt, beazonosítás után a nis2.gde.hu weboldalon hasznos ingyenes információs anyagokat ismerhetnek meg a cégvezetők, és SZTFH bejelentkezés is elindítható a felületről. Az informatikai oktatásban több mint 30 éve élen járó, az információbiztonságot kiemelt fontosságú témaként kezelő Gábor Dénes Egyetem oktatói és szakmai partnereinek kiberbiztonsági szakértői a kiberbiztonság felügyeletét hazánkban ellátó Szabályozott Tevékenységek Felügyeleti Hatóságával együttműködésben dolgoztak ki.

Fontos tudni, hogy a cégek nem kapnak hivatalos értesítést, hogy a NIS2 szabályozás hatálya alá esnek-e, minden vállalkozásnak magának kell lefuttatnia egy önellenőrzési folyamatot. A határidők betartásáért, a nyilvántartásba vételi kérelem benyújtásáért az érintett vállalkozások első számú vezetői személy szerint felelősek, és ezt a felelősséget másra átruházni nem lehet! – figyelmeztet Détári István, a Gábor Dénes Egyetem rektorhelyettese.

Jobb később, mint soha, ugyanis míg a késve beadott jelentkezés esetén a bírság mértéke 50-150 ezer forint, a regisztrációs kérelem elmulasztása esetén a bírság már minimum 1 millió de akár a 150 millió forint is lehet.

Október 18-áig – attól függően, hogy az adott cég melyik kategóriába tartozik – célzott intézkedési terveket is elvár a szabályozás. A védelmi intézkedések a szervezet egészét és az elektronikus információs rendszerek (például levelező rendszer, webszerver, adattároló szakrendszer) összességét érintik, és a munkavállalókat is fel kell készíteni az információbiztonsági rendszerek használatára.