A NIS2 irányelv célja, hogy az Európai Unió tagállamai hatékonyan vehessék fel a küzdelmet a folyamatosan növekvő kiber-fenyegetésekkel szemben. Az előírások a legalább ötven főt foglalkoztató vagy a tíz millió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából kritikus funkciót látnak el.

A szabályozás 2024. október 18-tól lép hatályba, ezzel elindul a felügyeleti és ellenőrzési tevékenység. „A kötelező bejelentkezés hivatalos határideje már június 30-án lejárt, azonban a regisztrációt elmulasztó cégek még szankcionálás nélkül pótolhatják a szükséges dokumentumokat október 17-ig. Ez az utolsó esélye az érintett hazai vállalkozásoknak, hogy szankció nélkül belépjenek a nyilvántartásba a Szabályozott Tevékenységek Felügyeleti Hatóságánál” – hangsúlyozta Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.

A jogszabály alapján legkésőbb december 31-ig, vagy a regisztrációt követő százhúsz napon belül szerződést kell kötniük egy auditorral is a NIS2 hatálya alá tartozó vállalatoknak. A független vizsgálat lefolytatására 2025. december 31-ig van lehetősége a cégeknek. Akik ezt elmulasztják vagy kicsúsznak a határidőből, akár éves árbevételük két százalékát is kifizethetik büntetésként és még a vezetőket is eltilthatják a munkavégzéstől.

„A cégeknek számos feladatot el kell végezniük ahhoz, hogy megfeleljenek a NIS2 követelményeknek, ezek közé tartozik a kiberbiztonsági hiányosságokat feltáró GAP analízis, adathalász-, illetve kibertámadás-szimulációk, az információbiztonsági irányítási rendszer kiépítésé és auditálása. Utóbbit ráadásul csak néhány cég, köztük az EY végezheti Magyarországon ezért érdemes minél előbb megkezdeni a felkészülést és még időben szerződést is kötni” – hangsúlyozta Zala Mihály.

Photo by Caspar Camille Rubin on Unsplash

Ezek közé a kritikus ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett ICT szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, feldolgozás és forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és forgalmazás, valamint a digitális szolgáltatás.

Már az év elején elkezdték nyilvántartásba venni azokat a magyarországi vállalatokat, amelyekre kiterjed a NIS2. A szóban forgó vállalkozásoknak idén június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.

„A kibervédelmi irányelv élesedésével komoly feladat és felelősség hárul az érintett társaságokra, mivel átfogó szervezeti átvilágításra kell felkészülniük. Jelenleg közel 2600 vállalatra vonatkozhatnak a NIS2 szabályai idehaza, amik közvetve több százezer munkavállalót is érinthetnek” – hangsúlyozta Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.

A NIS2 követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel. Az értintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét. Az uniós szabályozás ugyancsak elvárja, hogy társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.

Photo by Philipp Katzenberger on Unsplash