A NIS2 irányelv célja, hogy az Európai Unió tagállamai hatékonyan vehessék fel a küzdelmet a folyamatosan növekvő kiber-fenyegetésekkel szemben. Az előírások a legalább ötven főt foglalkoztató vagy a tíz millió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából kritikus funkciót látnak el.

A szabályozás 2024. október 18-tól lép hatályba, ezzel elindul a felügyeleti és ellenőrzési tevékenység. „A kötelező bejelentkezés hivatalos határideje már június 30-án lejárt, azonban a regisztrációt elmulasztó cégek még szankcionálás nélkül pótolhatják a szükséges dokumentumokat október 17-ig. Ez az utolsó esélye az érintett hazai vállalkozásoknak, hogy szankció nélkül belépjenek a nyilvántartásba a Szabályozott Tevékenységek Felügyeleti Hatóságánál” – hangsúlyozta Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.

A jogszabály alapján legkésőbb december 31-ig, vagy a regisztrációt követő százhúsz napon belül szerződést kell kötniük egy auditorral is a NIS2 hatálya alá tartozó vállalatoknak. A független vizsgálat lefolytatására 2025. december 31-ig van lehetősége a cégeknek. Akik ezt elmulasztják vagy kicsúsznak a határidőből, akár éves árbevételük két százalékát is kifizethetik büntetésként és még a vezetőket is eltilthatják a munkavégzéstől.

„A cégeknek számos feladatot el kell végezniük ahhoz, hogy megfeleljenek a NIS2 követelményeknek, ezek közé tartozik a kiberbiztonsági hiányosságokat feltáró GAP analízis, adathalász-, illetve kibertámadás-szimulációk, az információbiztonsági irányítási rendszer kiépítésé és auditálása. Utóbbit ráadásul csak néhány cég, köztük az EY végezheti Magyarországon ezért érdemes minél előbb megkezdeni a felkészülést és még időben szerződést is kötni” – hangsúlyozta Zala Mihály.

Photo by Caspar Camille Rubin on Unsplash

Idén januárban lépett hatályba a NIS2 irányelv, amit az Európai Unió tagállamainak 2024-ig át kell ültetniük saját jogrendszerükbe, hogy hatékonyan vehessék fel a küzdelmet a látványosan növekvő kiberfenyegetésekkel szemben. Az előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el. Ilyen kritikus ágazatnak számít az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett ICT szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak a kiemelt tevékenységek közé került a postai és futárszolgálat, az élelmiszerelőállítás, feldolgozás és forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és forgalmazás, valamint a digitális szolgáltatás.

Magyarországon 2024. január elsejétől kezdik nyilvántartásba venni az érintett szervezeteket. A szóban forgó vállalkozásoknak június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.

„Éves árbevételük akár két százalékát is kifizethetik büntetésként azok a cégek, ahol 2025-ig nem készülnek fel az online betörési kísérletek megakadályozására. Ez nem csupán több millió eurós költséget jelenthet a szabálysértő vállalatnak, de még a vezetőket is eltilthatják a működéstől” – hangsúlyozta Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője. A szakember hozzátette, hogy társaságok számára komoly előkészülettel jár, hogy megfeleljenek a NIS2 követelményeknek, hiszen többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel.

A NIS2 irányelv elvárásainak megfelelően az érintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét. Az uniós szabályozás ugyancsak elvárja, hogy társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket – írják.

Photo by Sigmund on Unsplash