Az Európai Unió új kiberbiztonsági irányelve, a NIS2 minimumszabályokat fogalmaz meg az energetikában, közlekedésben, egészségügyben, hírközlésben, élelmiszeriparban és hulladékgazdálkodásban működő nagyobb cégeknek. Az érintetteknek be kell bizonyítaniuk, hogy felkészültek a kiberbiztonsági incidensek kezelésére, különben jelentős szankciókkal néznek szembe.
Akár éves árbevételük 2 százalékát is kifizethetik büntetésre azok a cégek, amelyek 2025-re nem készülnek fel a kiberbiztonsági incidensek kezelésére. A szabálysértő cégek vezetőjét el is tilthatják, a büntetés a beszállítókra is vonatkozik majd.
A cégek elsődleges feladata most a jogszabályi változások nyomon követése. Ezt követően jövőre a kötelező audithoz IT-rendszer integrátor segítségével tudnak felkészülni, amelybe beletartozik a jelenlegi helyzet felmérése, szabályzatok frissítése, elkészítése, illetve az esetlegesen nem teljes körű biztonsági megoldások kiegészítése vagy pótlása
– jellemezte a jövő évre várható IT-kihívásokat Piszker György, a Kontron Hungary rendszer architect vezetője.
Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) tavaly listázta azokat fenyegetéseket, amelyekkel a cégeket leginkább támadták az utóbbi időkben. Mint írták, a legaggasztóbb eredmények a zsarolóprogramokkal kapcsolatban születtek, ezeket követik a rosszindulatú programok, majd a túlterheléses támadások.
Az új szabályozás ezen programok működését lehetetlenítené el.
A cég szerint a kiberbiztonsági előírások az 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkező cégekre vonatkoznak majd. Továbbá amennyiben egy szervezet NIS2 hatálya alá eső szervezet beszállítója, annak szintén NIS2 minősítéssel kell rendelkeznie.
A kiemelt kritikusságú ágazatok
Az alapkritikusságú ágazatok pedig a
A közlemény szerint a szervezeteknek a NIS2 irányelvnek való megfelelés érdekében kockázatkezelési és a kockázatokkal arányos kiberbiztonsági intézkedéseket kell alkalmazni.
Ezek alapján a cégeknek hamarosan ügyelniük kell többek között a kiberbiztonsági kockázat elemzésére és az információbiztonságra, az üzletmenet folytonosságra, katasztrófa-helyreállításra, az ellátási láncok biztonságára, kiberhigéniai gyakorlatokra, titkosítási megoldások alkalmazására, hitelesítési megoldások használatára, kommunikációs csatornák (szöveg, hang, videó) biztosítására, illetve a szervezeten belüli kiberbiztonsági oktatások megtartására.
Ezenkívül a szervezeteknek bejelentési kötelezettségük lesz a nemzeti hatóságok felé a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.
A vállalat hangsúlyozza, egy cég szabályszegése esetén akár eltiltható akár annak vezetője is, illetve a kiemelt kritikusságú ágazatok 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírságot is kaphatnak.
Az alap kritikusságú szervezetekre szintén vonatkozik a cégvezetői eltiltás, továbbá rájuk 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság vonatkozik.
A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek 2024. június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható határideje 2024. december 31., és a szervezeteknek 2025. december 31-ig a NIS2 szabályozásnak valómegfelelést igazoló auditot kell lefolytatniuk.