4 perces olvasási idő 3 nov. 2023
ey-digitalis-varos

NIS2 irányelv, avagy minden, amit az új kibervédelmi direktíváról érdemes tudni

Szerző Zala Mihály

EY Magyarország, az EY technológiai partnere

Technológiai tanácsadás, ismert kiberbiztonsági szakértő.

4 perces olvasási idő 3 nov. 2023
Kapcsolódó témák Üzleti tanácsadás Kiberbiztonság

Filmbe illő jelenet, amikor az egyik, irodában ülő kolléga elsápad, mert figyelmetlenségből rákattintott egy linkre, amire nem kellett volna. Bárki kaphat kibertámadás céljából küldött, fertőzött emailt a postafiókjába. Bármelyik cég áldozattá válhat. A kritikus kérdés, hogy a munkatárs időben felméri-e a veszélyt, tehát kattint vagy sem? A cikkben összefoglaltunk mindent, amit a NIS2 irányelvről tudni érdemes.

Azanyagi és reputációs károk jelentős része a mai napig emberi hibából adódik. Az Európai Unió új szabályozása szerint kötelező lesz az érintettek számára, hogy tájékoztassák a kollégáikat a veszélyekről, és ezt a hatóság is ellenőrizni fogja. 

Az adathalász támadások megelőzése csak egy a sok virtuális fenyegetés közül, amik ráadásul egyre gyakoribbá is váltak a digitalizáció rohamszerű fejlődésével. Az EY ügyféleseményén dr. Bencsik Balázzsal, a Szabályozott Tevékenységek Felügyeleti Hatóságának tanúsítási igazgatójával közösen tartott eseményén, az EU 2023-ban bevezetett kiberbiztonsági szabályozására, a NIS2-re való felkészülés fontos lépéseit vettük sorra.

Mi az a NIS2 irányelv?

Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el.  

Kiket érint?

Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euro éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik.

Kőkemény munka a vállalatoknak, hogy felkészüljenek a NIS2-nek való megfelelésre és nagy kihívás a hatóságnak is. Időben el kell kezdeni a felkészülést, ahhoz, hogy ne fordulhasson elő hasonló incidens, mint a GDPR bevezetésekor, amikor a cégek egy része elmaradt a kötelező teendőkkel.
Dr. Bencsik Balázs, tanúsítási igazgató, Szabályozott Tevékenységek Felügyeleti Hatósága

Nincs olyan, akit ne érintene virtuális fenyegetettség. Ezúttal azok a szervezetek is a törvény hatálya alá kerültek, amelyek szolgáltatásait nap mint nap veszik igénybe más vállalatok.

A stratégiai szempontból kiemelten kritikus ágazatok a következők:

  • az energia 
  • a banki és pénzügyi szolgáltatások, 
  • a víz, 
  • az egészségügy, 
  • a szállítás, 
  • a gyógyszeripar, 
  • a digitális infrastruktúrák, 
  • a kihelyezett szolgáltatók, 
  • a közigazgatás, és 
  • a világűr földi támogatói infrastruktúrái

Kritikus ágazatnak számítanak:

  • a hulladékgazdálkodás,
  • a postai és futárszolgálatok,
  • az elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések)
  • a járműgyártás
  • az élelmiszer előállítás és forgalmazás
  • a digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform)
  • a vegyipari gyártás és forgalmazás
  • a kutatóhelyek

Feladathalmok a vezetőkön:

Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és edukálni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli. Újabb feladat, hogy két évente kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét ellenőriztesse. Ennek egyik célja a védelmi osztályokba sorolás, a másik pedig, hogy a hatóság ellenőrizni tudja, betartják-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd, bár a törvény lehetőséget ad a hatóságnak az árplafon bevezetésére.

Napirenden a valódi kérdések

A helyes üzleti döntésekhez hiteles és megbízható információkra van szükség. Értesüljön az aktuális témáról hírlevelünkből.

Feliratkozás

Komoly büntetési tétellel szembesül az, aki nem teljesíti a követelményeket, mert akár az árbevétel 2 %-át is elérheti a szankció mértéke, sőt el is lehet tiltani egy meghatározott tevékenység gyakorlásától. A hatóság az auditorokat is szigorúan ellenőrzi majd. Érdemes tudni, hogy az ő felelősségük és a szervezeté közös, tehát egyértelműen rögzíteni kell a felek kötelezettségeit a szerződésben.

Négy határidő, amit feltétlenül tartani kell a NIS2 irányelv bevezetése kapcsán

Könnyítésként pontokba szedtük, hogyan érdemes időzíteni a felkészülést:

  1. 2024. január 1. - június 30 között jelentkezni kell a nyilvántartásba vételre az érintett szervezeteket egy online felületen
  2. 2024. október 18-tól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, felügyeleti díj megfizetése
  3. 2024. december 31-ig szerződést kell kötniük a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket
  4. 2025. december 31-ig le kell folytatni az első kiberbiztonsági auditot

Létezik bombabiztos recept a kiberbiztonság növeléséhez?

A veszély mindenkit érint. A cégek harmada számít arra, hogy olyan eredményes kibertámadás éri, amelyet hatékonyabb költségallokációval el lehetett volna kerülni
Zala Mihály
EY Magyarország, az EY technológiai partnere

Itt az ideje, hogy a cégek tegyenek az ellen, hogy áldozatokká váljanak. Az EY-nál minden tudás és tapasztalat az ügyfeleink rendelkezésére áll, hogy a lehető leghatékonyabb támogatást kapják a sérülékenységvizsgálatok elvégzésétől kezdve, a biztonsági szint fejlesztésén keresztül, a vállalat munkatársainak megfelelő edukációjáig.

A kibertámadások 90 százaléka adathalász támadással kezdődik, ezért nem lehet elégszer hangsúlyozni, hogy mindenképpen kifizetődő, ha a szervezet szimulációs rendszert dolgoz ki, és emellett nagy hangsúlyt fektet a kollégái edukálására megfelelő oktatás keretében.  A megelőzésre ma már olyan korszerű lehetőségek állnak rendelkezésre, mint például a Gap analízis, és a NIS2 hiányosságok felmérését támogató digitális audit (DRC) eszköz, amely hatékony adatgyűjtést, gyors értékelést és egyértelmű akciótervet biztosít a szervezetek számára. 

Összefoglalás

Nemcsak a NIS2 irányelv alkalmazására való felkészülés, hanem a vállalatok valódi és hatékony kibervédelme is kritikusan fontos. Egy átfogó védekezési stratégia segít abban, hogy a cég biztonságban maradjon, sőt elkerülhető a fájdalmasan magas hatósági bírság kiszabása is, amely akár a bevétel 2 százalékát is elérheti, ezért mindenképpen érdemes tapasztalt tanácsadó támogatását kérni.

A cikkről

Szerző Zala Mihály

EY Magyarország, az EY technológiai partnere

Technológiai tanácsadás, ismert kiberbiztonsági szakértő.

Kapcsolódó témák Üzleti tanácsadás Kiberbiztonság