Nyakunkon a kibervédelmi irányelv

Filmbe illő jelenet, amikor a számítógépen óvatlan kolléga elsápad, hiszen rájön, nem kellett volna arra a bizonyos linkre kattintani. Sajnos bármelyik vállalat lehet áldozat, vagy jobb esetben csak célpont. A kritikus kérdés, hogy a kollégák még időben felismerik a veszélyt, kattintanak vagy nem?
Sajnos a kiberbiztonsági incidensek döntő esetében kiderül, az ember volt a leggyengébb láncszem. Ezen próbál az Európai Unió NIS2 nevű kiberbiztonsági irányelve enyhíteni. Előírásai szerint kötelező lesz az érintett vállalatok számára, hogy tájékoztassák a kollégákat a veszélyekről, ezt pedig a hatóságok is ellenőrzik.
A NIS2-ről már korábban is írtunk e lap hasábjain, s a magyar törvénykezésbe elsők között átültetett irányelvről további részletek derültek ki azóta. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el. A NIS2 irányelvet a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény ültette át a magyar jogrendbe.
Nem minden vállalatra érvényes az irányelv, főként a nagyobbakra és a kritikus ágazatokban tevékenykedő szervezetekre lesz hatással. Elképzelhető, hogy a beszállítói ökoszisztéma kisebb tagjaitól a nagyvállalatok követelik meg a szabályozás betartását.

Ezekre a vállalatokra érvényes

A NIS2 előírásai a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el. A törvény hatálya alá tartozó, stratégiai szempontból kiemelten kritikus ágazatok a következők: az energia, a banki és pénzügyi szolgáltatások, a víz, az egészségügy, a szállítás, a gyógyszeripar, a digitális infrastruktúrák, a kihelyezett szolgáltatók, a közigazgatás és a világűr földi támogatói infrastruktúrái. A kritikus ágazatok pedig a következők (ugyancsak vonatkozik rájuk a NIS2): a hulladékgazdálkodás, a postai és futárszolgálatok, az elektronikai gyártás (például: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések), a járműgyártás, az élelmiszer-előállítás és -forgalmazás, a digitális szolgáltatások (például: online piactér, online keresőmotor, közösségimédia-szolgáltatási platform), a vegyipari gyártás és forgalmazás, a kutatóhelyek.

Itt vannak a fontosabb határidők

Már az év elején elkezdték nyilvántartásba venni azokat a magyarországi vállalatokat, amelyekre kiterjed a NIS2. A szóban forgó vállalkozásoknak idén június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.

Feladathalmok a vezetőkön

A kibervédelmi irányelv élesedésével komoly feladat és felelősség hárul az érintett társaságokra, mivel átfogó szervezeti átvilágításra kell felkészülniük. Jelenleg közel 2600 vállalatra vonatkozhatnak a NIS2 szabályai idehaza, ez pedig közvetve több százezer munkavállalót is érinthet.
Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és edukálni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli. Újabb feladat, hogy kétévente kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét ellenőriztesse. Ennek egyik célja a védelmi osztályokba sorolás, a másik pedig, hogy a hatóság ellenőrizni tudja, betartják-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez a kötelezettség óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd, bár a törvény lehetőséget ad a hatóságnak az árplafon bevezetésére.

A NIS2 követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel. Az értintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét. Az uniós szabályozás ugyancsak elvárja, hogy a társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.
Komoly büntetési tétellel szembesül az, aki nem teljesíti a követelményeket, mert akár az árbevétel 2 százalékát is elérheti a szankció mértéke, sőt el is lehet tiltani egy meghatározott tevékenység gyakorlásától. A hatóság az auditorokat is szigorúan ellenőrzi majd. Érdemes tudni, hogy az ő felelősségük és a szervezeté közös, tehát egyértelműen rögzíteni kell a felek kötelezettségeit a szerződésben.

Négy határidő, amit feltétlenül tartani kell a NIS2 bevezetése kapcsán

• 2024. január 1. – június 30 között jelentkezni kell a nyilvántartásba vételre az érintett szervezeteknek a Szabályozott Tevékenységek Felügyelete online felületén.
• 2024. október 18-tól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, felügyeleti díj megfizetése.
• 2024. december 31-ig szerződést kell kötniük a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket.
• 2025. december 31-ig le kell folytatni az első kiberbiztonsági auditot.