Egyre jobban közelednek a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvényben előírt határidők, melyek számos ágazatra vonatkoznak. Mire figyeljenek a cégvezetők?
A kibervédelmi incidensek megelőzésére, kivédésére fókuszáló NIS2 irányelv nem minden vállalatra érvényes, főként a nagyobbakra és a kritikus ágazatokban tevékenykedő szervezetekre lesz hatással. Elképzelhető, hogy a gazdasági ökoszisztéma kisebb tagjaitól is megkövetelik majd a nagyvállalatok a szabályozás betartását.
A kibervédelmi irányelv élesedésével komoly feladat és felelősség hárul az érintett társaságokra, mivel átfogó szervezeti átvilágításra kell felkészülniük. Jelenleg közel 2600 vállalatra vonatkozhatnak a NIS2 szabályai Magyarországon, mely közvetve több százezer munkavállalót is érinthet.
Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és oktatni kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli. Újabb feladat, hogy kétévente kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét ellenőriztesse. Ennek egyik célja a védelmi osztályokba sorolás, a másik pedig, hogy a hatóság ellenőrizni tudja, betartják-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez a kötelezettség óriási adminisztrációs terhet ró a cégekre. Az audit költséggel is jár majd, de a törvény lehetőséget ad a hatóságnak az árplafon bevezetésére.
A NIS2 követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel. Az értintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét. Az uniós szabályozás elvárja, hogy a társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.
Komoly szankciókkal szembesül az, aki nem teljesíti a követelményeket, mert akár az árbevétel 2 %-áig is terjedhet a büntetés mértéke, sőt el is lehet tiltani egy meghatározott tevékenység gyakorlásától. A hatóság az auditorokat is szigorúan ellenőrzi majd. Érdemes tudni, hogy az ő felelősségük és a szervezeté közös, tehát egyértelműen rögzíteni kell a felek kötelezettségeit a szerződésben.
Ellenőrző Hatóság: Szabályozott Tevékenységek Felügyeleti Hatósága, sztfh.hu. A weboldalon az ügyintézés menüpontban található meg az az adatlap, amelynek kitöltésével és cégkapun történő megküldésével teljesíthető a nyilvántartásba vételi kötelezetség.
Jogszabályi háttér:
A kiberbiztonsági tanúsítási és felügyeleti törvény, a 2023. évi XXIII. törvény, a Magyar Közlöny 2023. május 15-i számában jelent meg és május 23-án lépett hatályba. A magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS2 irányelv) megköveteli a nagyobb szereplőktől, hogy vegyék komolyan a kiberbiztonsági kockázatokat és ültessék gyakorlatba azokat az eljárásokat, amelyekkel megelőzhetők és kezelhetők az efféle támadások.
2024. december 31-ig Magyarországon is teljesíteni kell a kibervédelmi követelményeket
Kiket érint?
Közép- és nagyvállalatok, akik megfelelnek a közép- és nagyvállalat kritériumainak, azaz középvállalati küszöbértéken felüliek): 50 fő, vagy több alkalmazottjuk van vagy legalább nettó 10M EUR éves bevétellel rendelkeznek.
Mi a teendő 2024. június 30-ig?
- nyilvántartásba vételi kötelezettségaz SZTFH-nál (az a szervezet, mely 2024. január 1. előtt megkezdte tevékenységét ezen kötelezettségét 2024. június 30-ig kell teljesítse, minden más szervezet esetén a Kibertan.tv. 26. § (2) bekezdés szerinti 30 napos határidő áll rendelkezésére)
- meg kell kezdeni az elektronikus információs rendszerek biztonsági osztályba sorolását.
Feladatok: 2024. október 18-tól:
- elektronikus információs rendszereit biztonsági osztályának megfelelő védelmi intézkedések alkalmazása
- felügyeleti díj fizetési kötelezettség (részletszabályozás folyamatban)
Teendők 2024. december 31-ig:
- szerződéskötés az érintett szervezet által választott auditorral
Mely ágazatokra vonatkozik a törvény?
Az alábbi területeken működő szervezetek és szolgáltatók elektronikus információs rendszereire kell alkalmazni a törvényben foglaltakat.
Kiemelten kockázatos ágazatok:
- Energetika (Villamos energia, Távfűtés és hűtés, Kőolaj, Földgáz, Hidrogén)
- Közlekedés (Légi közlekedés, Vasúti közlekedés, Közúti közlekedés, Vízi közlekedés, Tömegközlekedés)
- Egészségügy
- Ivóvíz, szennyvíz (Vízközmű szolgáltatás)
- Hírközlési szolgáltatás
- Digitális infrastruktúra
- Kihelyezett IKT (információs és kommunikációs technológia) szolgáltatások
- Űralapú szolgáltatás
Kockázatos ágazatok:
- Postai és futárszolgálatok
- Élelmiszer előállítása, feldolgozása és forgalmazása
- Hulladékgazdálkodás
- Vegyszerek előállítása és forgalmazása
- Gyártás (Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, Számítógép, elektronikai, optikai termék gyártása, Villamos berendezések gyártása, Máshova nem sorolt gépek és berendezések gyártása, Gépjárművek, pótkocsik és félpótkocsik gyártása, Egyéb szállítóeszközök gyártása, Cement-, gipsz-, mészgyártás)
- Digitális szolgáltatók
