NIS2 irányelv, avagy minden, amit az új kibervédelmi direktíváról érdemes tudni

Filmbe illő jelenet, amikor az egyik, irodában ülő kolléga elsápad, mert figyelmetlenségből rákattintott egy linkre, amire nem kellett volna. Bárki kaphat kibertámadás céljából küldött, fertőzött emailt a postafiókjába. Bármelyik cég áldozattá válhat. A kritikus kérdés, hogy a munkatárs időben felméri-e a veszélyt, tehát kattint vagy sem? A cikkben összefoglaltunk mindent, amit a NIS2 irányelvről tudni érdemes.

Azanyagi és reputációs károk jelentős része a mai napig emberi hibából adódik. Az Európai Unió új szabályozása szerint kötelező lesz az érintettek számára, hogy tájékoztassák a kollégáikat a veszélyekről, és ezt a hatóság is ellenőrizni fogja. 

Az adathalász támadások megelőzése csak egy a sok virtuális fenyegetés közül, amik ráadásul egyre gyakoribbá is váltak a digitalizáció rohamszerű fejlődésével. Az EY ügyféleseményén dr. Bencsik Balázzsal, a Szabályozott Tevékenységek Felügyeleti Hatóságának tanúsítási igazgatójával közösen tartott eseményén, az EU 2023-ban bevezetett kiberbiztonsági szabályozására, a NIS2-re való felkészülés fontos lépéseit vettük sorra.

Mi az a NIS2 irányelv?

Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálja. Magyarországon a törvény által meghatározott vállalatok kiberbiztonsági ellenőrzését a Szabályozott Tevékenységek Felügyelete látja el.  

Kiket érint?

Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euro éves árbevétellel rendelkező cégekre. Az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik.

Nincs olyan, akit ne érintene virtuális fenyegetettség. Ezúttal azok a szervezetek is a törvény hatálya alá kerültek, amelyek szolgáltatásait nap mint nap veszik igénybe más vállalatok.

A stratégiai szempontból kiemelten kritikus ágazatok a következők:

• az energia 
• a banki és pénzügyi szolgáltatások, 
• a víz, 
• az egészségügy, 
• a szállítás, 
• a gyógyszeripar, 
• a digitális infrastruktúrák, 
• a kihelyezett szolgáltatók, 
• a közigazgatás, és 
• a világűr földi támogatói infrastruktúrái

Kritikus ágazatnak számítanak:

• a hulladékgazdálkodás,
• a postai és futárszolgálatok,
• az elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések)
• a járműgyártás
• az élelmiszer előállítás és forgalmazás
• a digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform)
• a vegyipari gyártás és forgalmazás
• a kutatóhelyek

Feladathalmok a vezetőkön:

Azon túl, hogy minden érintett cégnek kötelező lesz tájékoztatni és edukálni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kapnak a vezetők. Például olyan, a területért felelős munkatársat kell kijelölniük, aki az információbiztonságot felügyeli. Újabb feladat, hogy két évente kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét ellenőriztesse. Ennek egyik célja a védelmi osztályokba sorolás, a másik pedig, hogy a hatóság ellenőrizni tudja, betartják-e a szükséges intézkedéseket. Az érintetteknek minden érdemi információt össze kell gyűjteniük és át kell adniuk a vizsgálatot végzőnek. Már most látszik, hogy ez óriási adminisztrációs terhet ró a cégekre. Ráadásul az audit költséggel is jár majd, bár a törvény lehetőséget ad a hatóságnak az árplafon bevezetésére.

Komoly büntetési tétellel szembesül az, aki nem teljesíti a követelményeket, mert akár az árbevétel 2 %-át is elérheti a szankció mértéke, sőt el is lehet tiltani egy meghatározott tevékenység gyakorlásától. A hatóság az auditorokat is szigorúan ellenőrzi majd. Érdemes tudni, hogy az ő felelősségük és a szervezeté közös, tehát egyértelműen rögzíteni kell a felek kötelezettségeit a szerződésben.

Négy határidő, amit feltétlenül tartani kell a NIS2 irányelv bevezetése kapcsán

Könnyítésként pontokba szedtük, hogyan érdemes időzíteni a felkészülést:

1. 2024. január 1. - június 30 között jelentkezni kell a nyilvántartásba vételre az érintett szervezeteket egy online felületen
2. 2024. október 18-tól éles a NIS2, tehát indul a felügyeleti és ellenőrzési tevékenység, felügyeleti díj megfizetése
3. 2024. december 31-ig szerződést kell kötniük a cégeknek az auditorral, aki átvilágítja a kibertevékenységüket
4. 2025. december 31-ig le kell folytatni az első kiberbiztonsági auditot

Létezik bombabiztos recept a kiberbiztonság növeléséhez?

Itt az ideje, hogy a cégek tegyenek az ellen, hogy áldozatokká váljanak. Az EY-nál minden tudás és tapasztalat az ügyfeleink rendelkezésére áll, hogy a lehető leghatékonyabb támogatást kapják a sérülékenységvizsgálatok elvégzésétől kezdve, a biztonsági szint fejlesztésén keresztül, a vállalat munkatársainak megfelelő edukációjáig.

A kibertámadások 90 százaléka adathalász támadással kezdődik, ezért nem lehet elégszer hangsúlyozni, hogy mindenképpen kifizetődő, ha a szervezet szimulációs rendszert dolgoz ki, és emellett nagy hangsúlyt fektet a kollégái edukálására megfelelő oktatás keretében.  A megelőzésre ma már olyan korszerű lehetőségek állnak rendelkezésre, mint például a Gap analízis, és a NIS2 hiányosságok felmérését támogató digitális audit (DRC) eszköz, amely hatékony adatgyűjtést, gyors értékelést és egyértelmű akciótervet biztosít a szervezetek számára.