NIS2 törvény: időben jött ahhoz, hogy elkerülje a kiberkatasztrófát Európa?

Nem véletlen, hogy meghozták a NIS2 törvényt, hiszen a mindennapokat hekkercsoportok által okozott hálózatösszeomlás, energia- és ellátásbiztonságot veszélyeztető üzemi fennakadások és akadozó kórházi ellátások jellemzik – igen, ez nem egy utópisztikus jövőkép, csupán néhány incidens az elmúlt évekből, amik figyelmeztetik Európát arra, hogy mire számíthat, ha nem tesz azonnali lépéseket az online fenyegetések megfékezésére.

AzEU tanult a leckéből, és igyekszik megerősíteni a digitális védővonalat az olyan kritikus ágazatok körül, mint az energetika, a közlekedés vagy az egészségügy. Az úgynevezett felülvizsgált kiberbiztonsági irányelv - NIS2 törvény - célja, hogy biztosítsák a mindennapi életben nélkülözhetetlen infrastruktúrák zavartalan működését az uniós, így a magyar állampolgárok számára is. Idehaza több ezer vállalatot érint az átállás, ami közvetetten több százezer magyar munkavállalóra kihat, hiszen sokszor a beosztottak óvatlanságával kerül be a zsarolóvírus a rendszerbe, ami végül a cég teljesen lebénulását és akár vesztét is okozhatja. A helyzet súlyosságát mutatja, ha az érintett cégek elmulasztják 2024. június 30-áig beregisztrálni magukat a Hatóságnál, akár 150 millió forintos bírsággal is szembesülhetnek.

Digitális csapások Európa-szerte – a NIS árnyékában

Kibertámadásokat elszenvedő energiaszolgáltatók Németországban és Portugáliában, zsarolóvírus miatt akadozó betegellátás egy francia kórházban, hekkerek által bedöntött internethálózat Olaszországban, vállalati üzemzavar Norvégiában, valamint magyar felhasználók ezreit is érintő adatszivárgások. Szinte minden nap találkozhatunk ezekhez hasonló hírekkel, és a legtöbb esetben sokmilliós, akár milliárdos veszteségekről számolnak be. Az internetes bűnözés 2023-ban nagyjából 8 billió dollárjába került a világnak. A kibertámadások okozta veszteségek az Európai Unióban is meghaladják a GDP 2 százalékát. A Magyar Nemzeti Bank adatai megerősítik az évek óta tapasztalható trendeket, miszerint az adathalászattal, illetve személyes vagy azonosító adatok lopásával elkövetett visszaélések a legjellemzőbb elkövetési formák. 

Magyarországon tavaly összességében jóval több mint 20 milliárd forintos kár keletkezett a felhasználók pénzügyi tranzakciójához köthetően. Az egyre kifinomultabb megoldásokat alkalmazó kiberbűnözésnek tehát ma már tényleg bárki áldozatul eshet. 

Felülvizsgált az EU – jön a NIS2 törvény

A kiberbűnözés által okozott, sokmilliárdos anyagi kár mellett a reputációs kockázatok, a személyes és üzleti adatok kitettsége mind egyéni mind pedig szervezeti szempontból egyre nagyobb veszélyt jelentenek. Ennek megakadályozása érdekében szigorodik jelentősen idén a céges adatok és a rendszerek biztonságáról szóló szabályozás. Az Európai Unió felülvizsgált uniós kibervédelmi irányelvét (NIS2 törvény) Magyarország az elsők között vezette be. Az előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező társaságokra, valamint minden olyan szervezetre érvényesek, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el. Jelenleg közel 2500 vállalatra vonatkozhatnak a NIS2 szabályai idehaza, vagyis közvetve több százezer munkavállalót érinthetnek. Komoly változások jönnek, a NIS2 törvényre érdemes időben felkészülni.

Kiket érint valójában a NIS2 törvény?

A cél a kritikus szektorok védelme, amibe beletartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett ICT szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak kritikus ágazat a postai és futárszolgálat, az élelmiszerelőállítás, -feldolgozás és -forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és -forgalmazás, valamint számos alapvető digitális szolgáltatás. Tehát a korábbinál jóval szélesebb vállalati kör érintett.

Aki lemarad, akár 150 milliós büntetéssel is számolhat

A visszaszámlálás már el is indult, hiszen Magyarországon 2024. január elsejétől elkezdték nyilvántartásba venni az érintett szervezeteket a kiberbiztonsági tanúsításról és felügyeletről szóló 2023. évi XXIII. törvény rendelkezései értelmében. Először minden vállalatnak magának kell ellenőriznie, hogy végez-e olyan tevékenységet, amelyre vonatkoznak az előírások, majd az érintetteknek nyilvántartásba kell magát vetetnie. A vállalkozásoknak június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, amely október 18-án el is kezdi az ellenőrzési folyamatot.

A regisztrációhoz a hatóság létrehozott egy elektronikus felületet, amelyen keresztül a társaságok a cégkaput használva kitölthetik és beküldhetik a szükséges űrlapot, vagyis az ügyintézés ezen része könnyen megoldható az interneten. Érdemes időben elkezdeni a folyamatot, hiszen a nyilvántartásba vétel elmulasztása a vállalkozás méretétől függően 5–150 millió forint körüli bírsággal is járhat, ahogy a későbbi lépések elmaradása esetén is szigorú szankciókkal kell számolni.

Sokan a nullárók kezdik majd a megfelelést a NIS2 törvénynek

Hatalmas lemaradást kell most behoznia a társaságoknak, hiszen az európai nagyvállalatok mindössze fele rendelkezik információbiztonsági politikával vagy foglalkozik kiberbiztonsági kockázatkezeléssel az Eurostat legutóbbi kiberbiztonsági felmérése alapján. A kis- és középvállalati szektorban ez az arány a 25 százalékot sem éri el. Ráadásul Magyarországon az adatok elmaradnak az európai átlagtól. Ennek alapján a cégek jelentős része nagyon messziről indul. Azoknak a szervezeteknek, amelyek ezzel a kérdéssel eddig nem foglalkoztak, egészen új elvárásoknak kell rövid időn belül megfelelniük, a jelenleginél sokkal magasabb kiberbiztonsági szintet célozva. Ez sokak számára komoly kihívás lehet, hiszen a NIS2 törvény előírásai mentén ténylegesen meg kell teremteni az információvédelem technikai feltételeit, illetve át kell alakítani meglévő rendszereket.

Egyrészt meg kell határozniuk a szerepköröket a szervezeten belül és fel kell készíteniük a társaságot az átvizsgálásra. Ahogy egy autót is külsős szakemberrel készítünk fel a műszaki vizsgára, itt sem érdemes saját szakállunkra felmérni a gyenge pontokat. Már azért sem, mert többek között szükség lehet a kiberbiztonsági hiányosságokat feltáró GAP analízisre, valamint az információbiztonsági irányítási rendszer kiépítése mellett beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ez pedig kifejezetten komplex megközelítést igényel. Az értintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét. A vállalkozásoknak mindemellett garantálniuk kell az üzletmenet folytonosságát, ellenőrizniük kell a beszállítóikat, továbbá képzésekkel és szimulációs gyakorlatokkal a munkatársak tudatosságát is növelniük kell. Kötelezettség még az IT biztonsági kockázatok feltárása és kezelése, az esetleges incidensek bejelentése és az informatikai rendszerek folyamatos karbantartása is.

Ideje tehát elkezdeni a felkészülést, hiszen számos társaságnak olyan feladatokat kell megoldania, amelyek mesze meghaladják a képességeiket. Lesz, aki június 29-én kap észbe, és kockáztatja a súlyos bírságot, de érdemes inkább a következő hetekben átgondoltam, akár külső szakmai vagy hatósági segítséggel megtenni a megfeleléshez szükséges lépéseket.

Amennyiben ez a cikk felkeltette érdeklődését, hallgassa meg podcast beszélgetésünket az alábbi, lejátszás gombra kattintva. Dr. Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatóságának tanúsítási igazgatója és Zala Mihály, az EY IT és Technológiai Tanácsadásért felelős vezetője azt járják körbe, hogy kiket érint az új szabályozás. Hogyan készüljenek fel a cégek, hogy biztosan meg tudjanak felelni a követelményeknek? Mit jelent és miért fontos a kiberbiztonsági audit az érintett vállalatoknak?