A kibertámadások és a kiberbiztonság kérdése manapság szinte minden vállalkozás életében napi szinten felmerül. A téma aktualitását most az adja, hogy hivatalosan is eldördült a startpisztoly az EU új kibervédelmi irányelveinek teljesítésére és ez – velünk együtt – több ezer hazai vállalkozást érint.

Mi az a NIS2?

Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el a ” 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről” alapján.

Kiket érint?

Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euró éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik. Sőt egyes ágazatokra, szolgáltatókra – így pl. az elektronikus hírközlési szolgáltatókra, mint az Opennetworks – ezek az irányelvek a vállalkozás méretétől függetlenül is kötelezők lesznek.

A te céged érintett?

Ezt fontos tudnod, így ellenőrizd az ágazati listát és a kiemelt ágazatokra vonatkozó kivételeket is! Nagyon fontos tudni, hogy SENKI nem fog külön értesíteni, az azonosítás – tehát, hogy felismerd, hogy vonatkozik cégedre a rendelet – és a kapcsolódó regisztráció a céged felelőssége és az elmaradás súlyos anyagi következményekhez vezethet.

Mi lesz a dolgod?

Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és oktatni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli (Információ Biztonsági Felelős). Két évente, először 2025-ben, kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét és az előírt információbiztonság irányítási rendszert ellenőriztesse.

Ha beszállítókkal dolgozol, akkor ezek szerződéseiben is érvényesíttetni kell a szükséges intézkedéseket, sőt ezért a te céged a felelős.

Egy most megjelent 120 oldalas – még nem végleges – jogszabály-tervezet alapján el kell végezned rendszereid, folyamataid védelmi osztályokba sorolását, az ehhez kapcsolódó kockázatelemzést és intézkedési tervet és biztosítani, hogy a hatóság ellenőrizni tudja, betartjátok-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd.

Mik a legfontosabb határidők?

1. 2024. január 1. – június 30 között jelentkezni kell a nyilvántartásba vételre egy online felületen
2. 2024. október 18-tól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, a felügyeleti díjat meg kell fizetni
3. 2024. december 31-ig szerződést kell kötni a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket
4. 2025. december 31-ig le kell folytatni az első kiberbiztonsági auditot.

Mitől lehet könnyebb?

Vannak szervezetek – pl. az elektronikus hírközlési szolgáltatók, közmű vállalatok – akiknek egy hasonló törvény alapján már most is auditáltatni kell tevékenységüket, legalább is számlázó rendszerüket. Számukra nem lesz ismeretlen (sőt nagyon ismerős lesz) a rendelet tervezetben foglalt intézkedés katalógus. Ha a céged rendelkezik ISO 27001-es tanúsítással, akkor jelentős részben készen vagy a szükséges intézkedésekkel, de ez nem jelent teljes készültséget és felmentést sem az audit alól.

Sok minden nem tisztázott még, de az érintett cégek akkor járnak jól, ha már most felmérik a feladatokat és nekilátnak a felkészülésnek, ahogy mi is. Ha beszállítóként kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!

 

Judit