NIS2 irányelv: kihívások és felkészülés a magyar vállalatok számára (x)

Az NIS 2, amit 2024. október 18-tól az EU tagállamaiban kötelező lesz alkalmazni, nemcsak újabb EU-s irányelv, hanem elengedhetetlen lépés a modern kiberbiztonsági kihívások kezelésében. Célja, hogy megfelelő válaszokat adjon a dinamikusan változó kiberfenyegetésekre, és létrehozza azokat a keretfeltételeket, amelyek segítségével a vállalatok megfelelő védelmet biztosíthatnak az adataiknak és rendszereiknek. Az irányelv megjelenését követően, a cégeknek körülbelül két évük van arra, hogy – a nemzeti szabályozások mentén - eleget tegyenek az előírásoknak. Ugyanakkor az érintett szervezetek többsége jelentős lemaradásban van, ezért érdemes minél előbb áttekinteni a feladatokat és elkezdeni a felkészülést – hangsúlyozza Bor Olivér, a szakmai felügyeletet ellátó SZTFH kiberbiztonsági és kommunikációs szakértője. 

A NIS 2 előírásai nem jelentenek azonnali és elviselhetetlen terheket az érintett feleknek. Bár a vállalatoknak bő egy évük van az első kiberbiztonsági audit elvégzésére, ez nem jelenti azt, hogy hátradőlhetnek. Fontos megérteni, hogy ezek a lépések a jogszabályi kötelezettség nélkül is a cégek saját érdekét szolgálják. A szervezetek számára létfontosságú, hogy rendszereik minél biztonságosabbak legyenek, ezáltal növelve a szolgáltatásaik és termékeik iránti bizalmat –emeli ki Bor Olivér. 

Hány céget érint Magyarországon a NIS2?

Hazánkban jelenleg mintegy 2500 vállalkozásra érvényesek az új szabályozások, ami jelentős növekedés az előző, NIS1 irányelv alapján érintett 200-300 szervezethez képest. Kiemelkednek olyan kulcsfontosságú ágazatok – a teljesség igénye nélkül -, mint az energetika, vízgazdálkodás, közlekedés, egészségügy, vegyipar és járműgyártás, valamint az élelmiszeripar. Emellett az állami és önkormányzati szektor, továbbá a kritikus infrastruktúrák is érintettek, amelyekre már az eredeti NIS irányelv is vonatkozott. Ezek a vállalatok már most is szigorú szabályozásnak vannak kitéve, ezért az új követelmények talán kevésbé jelentenek radikális változást számukra, míg a magánszektorban olyan iparágak kerülnek előtérbe, amelyek eddig kevésbé voltak érintettek.

Mit kell tudni azoknak a cégeknek, akiket érint az új irányelv?

Hazánkban már elindult az Európai Unió által meghatározott irányelv implementációja. A kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló 2023. évi XIII. törvény, (röviden Kibertan.tv.) megjelenése az első lépés ebben a folyamatban, amelynek célja, hogy a NIS 2 irányelvet átültesse a hazai jogrendszerünkbe. Ez a törvény lényeges szerepet játszik abban, hogy erősítse a gazdasági szereplők és szolgáltatók kiberbiztonsági szintjét, amelyek kulcsfontosságúak a társadalom és a gazdaság szempontjából. A Kibertan.tv. kiberbiztonsági követelményrendszert állít fel ezeknek a szereplőknek, és meghatározza a betartásukhoz szükséges felügyeleti intézkedéseket. Emellett bevezeti a hatósági felügyeleti rendszert a NIS 2 alapján, amelynek értelmében a Szabályozott Tevékenységek Felügyeleti Hatósága lesz az egyik fő felelős a kiberbiztonsági követelmények betartásának ellenőrzéséért, valamint meghatározza az ellenőrzés, nyilvántartás és szankcionálás módját is – emeli ki a szakértő.

Miután megismerkedtek a jogszabállyal, amellyel kapcsolatosan a Hatóság rendszeres tájékoztató tevékenységet végez, az első lépés az, hogy a cégek eldöntsék, érintettek-e a szabályozásban. Ezután fel kell ismerniük, hogy milyen információbiztonsági kockázatokkal kell szembenézniük a saját működésük során, és tisztában kell lenniük a birtokukban lévő adatvagyonnal. Ajánlott elgondolkodniuk arról, hogy tanácsadó segítségét vegyék igénybe, különösen, ha nincsenek erőforrásaik a kockázatok csökkentésére és a kiberbiztonsági hiányosságok feltárására. A hazai jogszabály egyik fontos eleme az érintett cégek nyilvántartásba vétele, ami egy önazonosítási folyamat és az érintetteknek 2024. június 30-ig kell megtenniük a "Érintett szervezet nyilvántartásba vételére irányuló kérelem" elnevezésű űrlap kitöltésével, illetve beküldésével. A vonatkozó, SZTFH által nyújtott segédlet elérhető a Hatóság weboldalán. Fontos kiemelni, hogy az érintett szervezet feladata és tennivalója nem ér véget ezzel, mivel – többek között - 2025 év végéig kiberbiztonsági auditon kell részt venniük, amelyet kétévente meg kell ismételniük. Jelen pillanatban azonban a nyilvántartási kérelem beküldése a legfontosabb teendője az érintett szervezeteknek, amelyről többlet információ szintén a Hatóság honlapján található. 

Bor Olivér hangsúlyozza továbbá, hogy az alkalmazottak és vezetők kiberbiztonsági tudatosságának növelése különleges figyelmet érdemel, hiszen az emberi tényező meghatározó szerepet játszik a kiberfenyegetésekben. Minden vállalat számára létfontosságú, hogy munkatársait megfelelő ismeretekkel lássa el ezen a területen. Fontos megjegyezni, hogy az emberi hibák gyakran vezetnek sikeres kibertámadásokhoz. Az oktatás és a megfelelő kiberbiztonsági kultúra kialakítása a legjobb módja ennek megelőzésének.

Az SZTFH az elsődleges információs forrás a NIS 2 irányelv és a Kibertantv-vel kapcsolatban.  Munkatársai rendelkezésre állnak, hogy bármilyen kérdésre válaszoljanak ezekben a témákban. Emellett kiemelt figyelmet fordítanak a kiberbiztonsági tudatosság növelésére is. Ennek egyik fontos eszköze a Minden Kiberül podcast, ahol a Hatóság munkatársai közérthetően beszélgetnek meghívott vendégeikkel a kiberbiztonságról és az online csalásokról.