A kibertámadások és a kiberbiztonság kérdése manapság szinte minden vállalkozás életében napi szinten felmerül. A téma aktualitását most az adja, hogy nemrég hivatalosan is eldördült a startpisztoly az EU új kibervédelmi irányelveinek teljesítésére és ez – velünk együtt – több ezer hazai vállalkozást érint.
Mi az a NIS2?
Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el a ” 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről” alapján.
Kiket érint?
Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euró éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik. Sőt egyes ágazatokra, szolgáltatókra – így pl. az elektronikus hírközlési szolgáltatókra, mint az Opennetworks – ezek az irányelvek a vállalkozás méretétől függetlenül is kötelezők lesznek.
A te céged érintett?
Ezt fontos tudnod, így ellenőrizd az ágazati listát és a kiemelt ágazatokra vonatkozó kivételeket is! Nagyon fontos tudni, hogy SENKI nem fog külön értesíteni, az azonosítás – tehát, hogy felismerd, hogy vonatkozik cégedre a rendelet – és a kapcsolódó regisztráció a céged felelőssége és az elmaradás súlyos anyagi következményekhez vezethet.
Mi lesz a dolgod?
Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és oktatni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli (Információ Biztonsági Felelős). Két évente, először 2025-ben, kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét és az előírt információbiztonság irányítási rendszert ellenőriztesse.
Ha beszállítókkal dolgozol, akkor ezek szerződéseiben is érvényesíttetni kell a szükséges intézkedéseket, sőt ezért a te céged a felelős.
Egy most megjelent 120 oldalas – még nem végleges – jogszabály-tervezet alapján el kell végezned rendszereid, folyamataid védelmi osztályokba sorolását, az ehhez kapcsolódó kockázatelemzést és intézkedési tervet és biztosítani, hogy a hatóság ellenőrizni tudja, betartjátok-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd.
Mik a legfontosabb határidők?
- 2024. január 1. – június 30 között jelentkezni kell a nyilvántartásba vételre egy online felületen
- 2024. október 18-tól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, a felügyeleti díjat meg kell fizetni
- 2024. december 31-ig szerződést kell kötni a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket
- 2025. december 31-ig le kell folytatni az első kiberbiztonsági auditot.
Mitől lehet könnyebb?
Vannak szervezetek – pl. az elektronikus hírközlési szolgáltatók, közmű vállalatok – akiknek egy hasonló törvény alapján már most is auditáltatni kell tevékenységüket, legalább is számlázó rendszerüket. Számukra nem lesz ismeretlen (sőt nagyon ismerős lesz) a rendelet tervezetben foglalt intézkedés katalógus. Ha a céged rendelkezik ISO 27001-es tanúsítással, akkor jelentős részben készen vagy a szükséges intézkedésekkel, de ez nem jelent teljes készültséget és felmentést sem az audit alól.
Sok minden nem tisztázott még, de az érintett cégek akkor járnak jól, ha már most felmérik a feladatokat és nekilátnak a felkészülésnek, ahogy mi is. Ha beszállítóként kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!
Judit
