A kibertámadások és a kiberbiztonság kérdése manapság szinte minden vállalkozás életében napi szinten felmerül. Néhány hónappal ezelőtt beszámoltunk az EU új kibervédelmi irányelveinek (NIS2) teljesítésére vonatkozó feladatokról. Most megnézzük, hol tartunk, mi változott?
Emlékeztetőül: Mi az a NIS2?
Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el a ” 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről” alapján.
Kiket érint?
Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euró éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik. Sőt egyes ágazatokra, szolgáltatókra – így pl. az elektronikus hírközlési szolgáltatókra, mint az Opennetworks – ezek az irányelvek a vállalkozás méretétől függetlenül is kötelezők az előírások.
A te céged érintett?
Ezt fontos tudnod, így ellenőrizd az ágazati listát és a kiemelt ágazatokra vonatkozó kivételeket is! Nagyon fontos tudni, hogy SENKI nem fog külön értesíteni, az azonosítás – tehát, hogy felismerd, hogy vonatkozik cégedre a rendelet – és a kapcsolódó regisztráció a céged felelőssége és az elmaradás súlyos anyagi következményekhez vezethet. Ha esetleg lemaradtál volna a június 30-i regisztrációs határidőről, még mindíg nem késő, inkább pótold a jelentkezést, mint, hogy megbírságoljanak! Az SZFTH oldalán több prezentációt is találsz, ami megkönnyíti a beazonosítást, a regisztrációt és segít követni a közeljövő határidőit.
Mi a dolgod?
Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és oktatni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli (Információ Biztonsági Felelős). Két évente, először 2025-ben, kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét és az előírt információbiztonság irányítási rendszert ellenőriztesse.
Ha beszállítókkal dolgozol, akkor ezek szerződéseiben is érvényesíttetni kell a szükséges intézkedéseket, sőt ezért a te céged a felelős. Már a regisztráció során le kellett adni az érintett beszállítók listáját.
Fontos változás a korábbi blogposzt óta, hogy megjelent a megfelelőségi kritériumokat tartalmazó rendelet , ezt érdemes átnézni és neki lehet látni az információbiztonság irányítási rendszer kialakításának (ha még nincs a cégnél ilyen).
Mik a legfontosabb határidők?
- 2024. január 1. – június 30 között jelentkezni kellett a nyilvántartásba vételre egy online felületen
- 2024. október 18-tól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, a felügyeleti díjat meg kell fizetni. Fontos tehát, hogy eddigre el kell kezdeni alkalmazni a megfelelőségi kritériumokat és legalább kockázat elemzéssel és tervvel célszerű rendelkezni arról, hogy ha valami nem teljesül, akkor mik a teendők.
- 2024. december 31-ig szerződést kell kötni a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket. Várhatóan az auditálásra jogosult szervezetek kijelölése is megtörténik október 18-ig.
- 2025. december 31-ig le kell folytatni az első kiberbiztonsági auditot.
Mitől lehet könnyebb?
Vannak szervezetek – pl. az elektronikus hírközlési szolgáltatók, közmű vállalatok – akiknek egy hasonló törvény alapján már most is auditáltatni kell tevékenységüket, legalább is számlázó rendszerüket. Számukra nem lesz ismeretlen (sőt nagyon ismerős lesz) a rendelet tervezetben foglalt intézkedés katalógus, bár érdemes már most beépíteni az új kritériumokat, mert sok van. Ha a céged rendelkezik ISO 27001-es tanúsítással, akkor jelentős részben készen vagy a szükséges intézkedésekkel, de ez nem jelent teljes készültséget és felmentést sem az audit alól.
Ha beszállító vagy egy NIS2 kötelezett cégnél, akkor viszont valószínűleg elegendő lesz, ha kérésre benyújtod az ISO 27001-es tanúsítványod a cégnek, ez kiválthatja a további vizsgálódást.
Még mindig sok minden nem tisztázott, de az érintett cégek akkor járnak jól, ha nekilátnak a felkészülésnek, ahogy mi is. Ha beszállítóként, vagy ügyfélként kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!
Judit
