adozona.hu
Felkészülés a NIS2-re: többeket érint, mint gondolnánk
//adozona.hu/altalanos/EY_kibertamadas_NIS2_gazdasagrss_EU_QVAU84
Felkészülés a NIS2-re: többeket érint, mint gondolnánk
Filmbe illő jelenet, amikor az egyik, irodában ülő kolléga elsápad, mert figyelmetlenségből rákattintott egy linkre, amelyre nem kellett volna. Bárki kaphat kibertámadás céljából küldött, fertőzött emailt a postafiókjába. Bármelyik cég áldozattá válhat. A kritikus kérdés, hogy a munkatárs időben felméri-e a veszélyt, tehát kattint vagy sem? Olvasható az EY tájékoztatójában.
Az anyagi és reputációs károk jelentős része a mai napig emberi hibából adódik. Az Európai Unió új szabályozása szerint kötelező lesz az érintettek számára, hogy tájékoztassák a kollégáikat a veszélyekről, és ezt a hatóság is ellenőrizni fogja.
Az adathalász támadások megelőzése csak egy a sok virtuális fenyegetés közül, amelyek ráadásul egyre gyakoribbá is váltak a digitalizáció rohamszerű fejlődésével. Az EY dr. Bencsik Balázzsal, a Szabályozott Tevékenységek Felügyeleti Hatóságának tanúsítási igazgatójával közösen tartott eseményén, az EU 2023-ban bevezetett kiberbiztonsági szabályozására, a NIS2-re való felkészülés fontos lépéseit vették sorra.
Mi az a NIS2?
Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2-irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el.
Kiket érint?
Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euró éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik.
Kőkemény munka a vállalatoknak, hogy felkészüljenek a NIS2-nek való megfelelésre és nagy kihívás a hatóságnak is. Időben el kell kezdeni a felkészülést, ahhoz, hogy ne fordulhasson elő hasonló incidens, mint a GDPR bevezetésekor, amikor a cégek egy része elmaradt a kötelező teendőkkel.
Dr. Bencsik Balázs, tanúsítási igazgató, Szabályozott Tevékenységek Felügyeleti Hatósága
Nincs olyan, akit ne érintene virtuális fenyegetettség. Ezúttal azok a szervezetek is a törvény hatálya alá kerültek, amelyek szolgáltatásait nap mint nap veszik igénybe más vállalatok.
A stratégiai szempontból kiemelten kritikus ágazatok a következők:
- az energia,
- a banki és pénzügyi szolgáltatások,
- a víz,
- az egészségügy,
- a szállítás,
- a gyógyszeripar,
- a digitális infrastruktúrák,
- a kihelyezett szolgáltatók,
- a közigazgatás és
- a világűr földi támogatói infrastruktúrái
Kritikus ágazatnak számítanak:
- a hulladékgazdálkodás,
- a postai és futárszolgálatok,
- az elektronikai gyártás (pl. orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések),
- a járműgyártás,
- az élelmiszer-előállítás és forgalmazás,
- a digitális szolgáltatások (pl. online piactér, online keresőmotor, közösségimédia-szolgáltatási platform),
- a vegyipari gyártás és forgalmazás,
- a kutatóhelyek.
Feladathalmok a vezetőkön
Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és edukálni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli. Újabb feladat, hogy kétévente kiberbiztonsági auditot kell készíttetni, amely arról szól, hogy a vállalat saját rendszerét ellenőriztesse. Ennek egyik célja a védelmi osztályokba sorolás, a másik pedig, hogy a hatóság ellenőrizni tudja, betartják-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd, bár a törvény lehetőséget ad a hatóságnak az árplafon bevezetésére.
Komoly büntetési tétellel szembesül az, aki nem teljesíti a követelményeket, mert akár az árbevétel 2 százalékát is elérheti a szankció mértéke, sőt el is lehet tiltani a nemteljesítőt egy meghatározott tevékenység gyakorlásától. A hatóság az auditorokat is szigorúan ellenőrzi majd. Érdemes tudni, hogy az ő felelősségük és a szervezeté közös, tehát egyértelműen rögzíteni kell a felek kötelezettségeit a szerződésben.
Négy határidő, amelyet feltétlenül tartani kell a NIS2 bevezetése kapcsán
Könnyítésként itt vannak pontokba szedve, hogyan érdemes időzíteni a felkészülést:
- 2024. január 1. – június 30 között jelentkezni kell a nyilvántartásba vételre az érintett szervezeteket egy online felületen.
- 2024. október 18-étól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, felügyeleti díj megfizetése.
- 2024. december 31-éig szerződést kell kötniük a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket.
- 2025. december 31-éig le kell folytatni az első kiberbiztonsági auditot.
Hozzászólások (0)