Idén januárban lépett hatályba a NIS2 irányelv, vagyis a felülvizsgált uniós kibervédelmi direktíva, amit Magyarország az elsők között ültet át az Európai Unió tagállamai közül a saját jogrendszerébe, hogy a magyar cégek hatékonyan vehessék fel a küzdelmet a látványosan növekvő kiberfenyegetésekkel szemben – mondta el az Economx megkeresésére az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.
Zala Mihály szerint az előírások a legalább 50 főt foglalkoztató, vagy a 10 millió eurót (jelenlegi árfolyamon nagyjából 3,8 milliárd forintról beszélhetünk) meghaladó éves árbevétellel rendelkező cégekre, köztük minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el.
Magyarországon 2024. január elsejétől kezdik nyilvántartásba venni az érintett szervezeteket. A szóban forgó vállalkozásoknak 2024. június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat.
Ezek a kritikus ágazatok
A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.
Ilyen kritikus ágazatnak számít
- az energetika
- a közlekedés
- az egészségügy
- az ivóvíz, a szennyvíz és a hírközlési szolgáltatás
- a kihelyezett ICT szolgáltatások
- az űrkutatás
- a digitális infrastruktúra
- a postai és futárszolgálat
- az élelmiszer-előállítás, feldolgozás és forgalmazás
- a kutatás
- hulladékgazdálkodás
- a vegyszer-előállítás és forgalmazás
- a digitális szolgáltatás.
Zala Mihály az Economx kérdésére elmondta: a magyar hatóságok jelenleg közel 2600 vállalat érintettségével számolnak, ám ezek a TEÁOR tevékenységi köröket alapul vett számítások.
Így nem lenne meglepő, ha az infláció, a növekedés, a tevékenység pontosításai okán is megduplázódna a cégek száma.
Ez a gyakorlatban annyit jelent, hogy az irányelv közvetetten munkavállalók százezreit is érintheti.
A helyzetet csak bonyolítja, hogy egyes gazdasági társaságok akár több iparágban is jelen vannak, így például az útépítéssel foglalkozó üzletáguk nem, ám a fuvarozási üzletáguk már beleesik a kötelezettségek körébe.
Nagy cég, kisebb cég
Az EY szakértője szerint maga a kötelező auditálás is számos kérdést vet fel. Minden tagállam azzal a problémával küszködik és fog majd küszködni, hogy ehhez nincs elegendő szakember, így nagyon gyorsan foglalkozni kell ezzel a problémával. Annál is inkább, mert az uniós rendelkezés a jövőre nézve a kétévenkénti auditálás részeként úgynevezett sérülékenységi vizsgálatot is előír.
Tehát, a cégeknek elvileg a jövő év végéig van 13 hónapjuk, és ha időben lép például egy relatíve kisebb kkv., akkor elégnek is látszik az idő, de mondjuk egy MOL, egy MVM esetében nyilván ennél jóval hosszabb időre lesz szükség.
A tevékenységi kör sem mindegy, a pénzintézetekre a Magyar Nemzeti Bank szigorú felügyeleti rendszert alkalmaz, ők könnyebb helyzetben vannak, ám lesznek olyan iparágak, akiknek az auditálás teljesen új terület.
Nagy a tét
Pár hét, és elkezdik nyilvántartásba venni azokat a hazai cégeket, amelyekre kiterjed a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv. Nagy a tét, mert akár az árbevétel 2 százalékára is büntethetik azokat a társaságokat, ahol nem készülnek fel időben az IT-biztonsági incidensek kezelésére, sőt el is tilthatják az irányítástól a szabálysértő szervezetek vezetőit.
A társaságok számára mindenképpen komoly előkészülettel jár, hogy megfeleljenek a NIS2 követelményeknek, hiszen többek között szükség van a kiberbiztonsági hiányosságokat feltáró analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel.
Az érintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét.
Az uniós szabályozás ugyancsak elvárja, hogy társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak biztonság tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.
Zala Mihály végezetül kiemelte: a cégeken múlik, hogy a NIS2-re nehézségként vagy inkább olyan lehetőségként tekintenek, amivel a régóta görgetett kiberbiztonsági problémákat egyszer és mindenkorra megoldhatják, és tudatos koncepció mellett, fenntartható és költséghatékony rendszert építenek fel és működtetnek.