Talán nem túlzás azt állítani, hogy a cégvezetők TOP 5 rémálma között szerepel egy, a szervezetük ellen irányuló kibertámadás. Így azok a vállalatok, amik megtehetik, a rendeletektől függetlenül próbálnak védekezni ellene. Azonban az Európai Uniós jogalkotókat se hagyja nyugodni a tény, hogy egyre szervezettebb és kifinomultabb eszközökkel próbálkoznak a hackerek, senkit nem kímélve. Így a jogalkotás keretein belül igyekeznek felvértezni a tagállamokban lévő, e fenyegetésnek leginkább kitett intézményeket, ezért született a NIS és a NIS2.
Mi az a NIS (Network and Information Systems) és a NIS2?
Az EU belső piaci működésének védelme érdekében megalkotott kiberbiztonsági irányelv, ami a hálózati- és információs rendszerek biztonságát hivatott magasabb szintre emelni. A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend. Azonban a digitalizációs roham léptei, az egyre gyakoribb és kifinomultabb kibertámadások miatt szükségessé vált a NIS aktualizálása, ez lett a NIS2.
Kiket érint pontosan?
Az EU 2023-ban vezette be a NIS2-t. Ennek adoptációjaként Magyarországon 2024. január 1-jén lépett hatályba az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet. E kiberbiztonsági szabályozás már kiterjed az alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, a jogalkotók szemében kritikus ágazatokhoz tartozó szervezetekre. Mindemellett eddig nem érintett új szektorok is a szabályozás alá kerültek. Az új irányelv két fő kategóriát és azon belül szektorokat különböztet meg. Nagy vonalakban a következőképpen:
Stratégiai szempontból kiemelten kritikus ágazatoknak, azaz alapvető szervezetnek számítanak;
- banki és pénzügyi szolgáltatók,
- digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók, hírközlés, kihelyezett IKT szolgáltatások stb.),
- egészségügy és gyógyszeripar,
- energetikai ellátók (távfűtés és -hűtésgáz, hidrogén, olaj, villamos energia),
- ivóvíz, szennyvíz gazdálkodás,
- közlekedés vagy szállítmányozás (közúti-, légi-, vízi-, tömeg- és vasútiközlekedés),
- közigazgatás,
- űralapú szolgáltatók.
Kritikus ágazatnak, fontos szervezeteknek számítanak;
- digitális szolgáltatók,
- élelmiszer előállítás és forgalmazás,
- gyártás (orvostechnikai, elektronikai, jármű, máshová nem sorolható gépek és berendezések gyártása),
- hulladékgazdálkodás,
- kutatás,
- postai és futárszolgáltatás,
- vegyipar.
A középvállalati szintig szabályoz a jogszabály, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euro éves árbevétellel rendelkező cégekre vonatkozik.
Milyen kötelezettségekkel jár a szabályozás a hatálya alá eső szervezetekre nézve?
Az érintetteknek a kiberbiztonsági-kockázatukhoz arányos biztonsági intézkedéseket és szabályzásokat kell bevezetniük. Sok más kötelezettség mellett például a szervezet tevékenységéhez illeszkedő kockázatelemzési és információbiztonsági szabályzatot, katasztrófa utáni helyreállítási tervet kell készíteni. Hitelesítési és biztonságos kommunikációs csatornákat kell kialakítani. E feladatok komoly informatikai-és üzletfejlesztési stratégiát igényelnek, sőt kritikus esetben teljes szervezeti átalakítást, szervezet- és folyamatfejlesztést is igényelhet, amikhez legjobb IT tanácsadók és szakértők segítségét kérni.
A fentieken túl az előírás szerint a vezetőnek kell gondoskodnia a kollégák oktatásáról a kiberfenyegetés és egyéb információbiztonságot érintő témában, külön munkatársat kell kijelölni az információbiztonság felügyeletére. két évente kiberbiztonsági auditot kell tartani. Mind e mellett felelőssé tehető, a fentiek be nem tartásáért, vagy ha az intézmény nem felel meg.
A fejvesztésen túl, jelentős bírságok is jöhetnek
A NIS2 Irányelv alapján, az előírások megsértése esetén az alapvető és a fontoskategóriába tartozó szervezetekre eltérő szabályok vonatkoznak, így a büntetés mértéke is változik.
- Az alapvető szervezetekre 10 millió euró vagy a teljes éves világszintű forgalom 2%-ának megfelelő bírság róható ki.
- A fontos szervezetek 7 millió euró vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.
Készüljön fel időben!
Ha a NIS2 alá esik a szervezete a következő négy határidőre kell nagyon odafigyelnie:
- 2024.06.30: nyilvántartásba vételre való jelentkezési határidő
Regisztrálni SZTFH-hoz (Szabályozott Tevékenységek Felügyeleti Hatósága): >> közvetlen link <<
A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza. Az űrlap kitöltésére jogosult: az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy. - 2024.10.18: ettől a naptól hatályos a NIS2, innentől indul a felügyeleti és ellenőrzési tevékenység, felügyeleti díj megfizetése és lehet bírságolni.
- 2024.12.31: szerződést kell kötniük a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket.
- 2025.12.31: eddig a napig minden érintett szervezetnek le kell folytatnia az első kiberbiztonsági auditját.
Kép forrása: canva.com