Deviza
EUR/HUF401,77 0% USD/HUF365,76 0% GBP/HUF480,08 0% CHF/HUF426,62 0% PLN/HUF93,04 0% RON/HUF80,62 0% CZK/HUF15,83 0% EUR/HUF401,77 0% USD/HUF365,76 0% GBP/HUF480,08 0% CHF/HUF426,62 0% PLN/HUF93,04 0% RON/HUF80,62 0% CZK/HUF15,83 0%
BÉT logó Árfolyamok: 15 perccel
késleltetett adatok
MTELEKOMN.A.MOLN.A.OTPN.A.RICHTERN.A.OPUSN.A.ANYN.A.AUTOWALLISN.A.WABERERSN.A.BUXN.A.BUMIXN.A.CETOPN.A.CETOP NTRN.A.MTELEKOMN.A.MOLN.A.OTPN.A.RICHTERN.A.OPUSN.A.ANYN.A.AUTOWALLISN.A.WABERERSN.A.BUXN.A.BUMIXN.A.CETOPN.A.CETOP NTRN.A.
BÉT logóÁrfolyamok: 15 perccel késleltetett adatok
hacker támadás
NIS2
jogszabály
kiberbűnöző
kiberbiztonság

Komoly bírsággal és az ügyvezető leváltásával is fenyegeti a cégeket ez az új jogszabály

A NIS2 – távoli hasonlattal élve – az új GDPR, azaz egy szabályozás, amellyel a saját érdekükben foglalkozniuk kell az érintett vállalatoknak. Egy kötelező informatikai audit során azt kell bizonyítaniuk, hogy felkészültek a kiberbiztonsági incidensek kezelésére. Ha ez nem sikerül, akár az éves árbevételük 2 százalékát is kifizethetik büntetésre, sőt, a cégvezetőt eltilthatják a pozíciójától. Piszker György, a Kontron Hungary Kft. rendszer architect vezetője a Világgazdaságnak elmagyarázta, jelenleg mivel tudnak haladni a vállalatok.
Szigeti Hajni
2024.02.09, 19:01
Frissítve: 2024.02.09, 20:21

Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) 2022-ben listázta azokat a fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadják az online térben: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek a vírusok, a trójai- és a kémprogramok. A túlterheléses támadások szintén napi szereplői a híreknek, illetve a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva. „Az Európai Unió új kiberbiztonsági irányelve, azaz a NIS2 olyan minimumszabályokat fogalmaz meg, amelyek ezen támadások kivédésére irányulnak, és amelyeket az érintett ágazati szereplőknek be kell tartaniuk” – mondta a Világgazdaságnak Piszker György, a Kontron Hungary Kft. informatikai szaktanácsadó cég rendszer architect vezetője.

Male,Ceo,Discusses,Problem,Solving,With,Female,Partner,In,Office,
Az első lépés, hogy jelöljék ki a céges információbiztonsági felelőst. Fotó: Shutterstock

Milyen cégeket érint a NIS2? 

A kiemelten kockázatosnak vélt ágazatok 

  • az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), 
  • a közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés), 
  • az egészségügy
  • a vízközmű (ivóvíz és szennyvíz), 
  • a hírközlési, 
  • a digitális infrastruktúra (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója), 
  • a kihelyezett IKT, 
  • és az űralapú szolgáltatásokkal foglalkozó vállalatok. 

A kockázatosnak ítélt szektorok pedig

  • a postai és futárszolgálatok, 
  • az élelmiszer előállításával, feldolgozásával és forgalmazásával, 
  • a hulladékgazdálkodással, 
  • a vegyszerek előállításával és forgalmazásával, 
  • a gyártással (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás), 
  • a digitális szolgáltatással (online piactér),
  • és a kutatással foglalkozó cégek.

Feltéve, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkeznek, illetve amennyiben a NIS2 hatálya alá eső szervezet beszállítói, mert akkor szintén NIS2 minősítéssel kell rendelkezniük mérettől és árbevételtől függetlenül.

Senki nem fogja a cégeket külön értesíteni arról, hogy érintettek 

„Saját maguknak kell a besorolásukat elvégezni, és önbevallásos alapon a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH) 2024. június 30-ig bejelentkezniük a nevükkel, adószámukkal, TEOR-számaikkal” – magyarázta a szakértő, hozzátéve, a specifikus nemzeti szabályozást 2024 januárjára várták, egyelőre nem készült el, jelenleg februárra ígérik, de addig is van teendő. 

Mivel kezdjék a felkészülést?

„A jogszabály gyakorlatilag tartalmazni fogja az összes intézkedést, amelynek meg kell felelnie egy kockázatosnak és egy kiemeltem kockázatosnak ítélt szervezetnek is. A törvény kontrollpontokat, kontrollcsoportokat fog meghatározni, ezeket fogja vizsgálni az auditor, aki a vállalatok elektronikus információs rendszereit tekinti majd át. Ez magába foglalja például a céges levelezést, a HR nyilvántartó rendszert, a vállalatirányítási rendszert, egy gyárban a gyártósort vezérlő IT-rendszert, 

tehát mindent, amiben – nagyon egyszerűen fogalmazva – bitek futkosnak

– jellemezte a várható IT-kihívásokat Piszker György.

„Amíg a jogszabály megérkezik, addig is érdemes elkezdeni a cégeknek a belső IT-szabályaik, folyamataik áttekintését: megnézni, melyik mit tartalmaz, hogy kapcsolódnak egymáshoz, mikor frissültek. Ezek az első és alapkérdések a helyzetfelmérés során, innen lehet elindulni és javaslatot tenni arra, melyik szabályzatot milyen mértékben kell kiegészíteni, vagy akár teljesen újra alkotni – ezt teszi majd az auditor is. Ha még nincs, egy információbiztonsági felelőst ki kell jelölni – akár a vállalaton belülről, ha van erre belső erőforrás, akár külsős IT-tanácsadót, rendszerintegrátort felkérni. Ő lesz a helyzetfelmérés szakmai vezetője” – részletezte a Kontron szakértője, de hozzátette, meglehetősen komplexek lesznek az elvárások, nem lesz könnyű az értelmezésük. 

Digital,Crime,By,An,Anonymous,Hacker
A kiberbiztonsági felkészülés igen költséges is lehet. Fotó: Shutterstock

Mennyibe kerül ez a cégeknek?

Piszker György szerint a hazai vállalatok kiberbiztonsági felkészültsége nem erős, jelentős hiányok tapasztalhatók a technológiai kontroll és a szabályozás területén egyaránt. Cégmérettől, cégkomplexitástól, a jelenlegi állapottól függ, hogy a felzárkózás mekkora költséget jelent majd egyes szervezetek esetében. 

„Az IZO 27001-es kiberbiztonsági minősítés egy jó alap, ami jelentős felkészültséget jelez, de vannak különbségek a két rendszer elvárásai között, tehát azoknak a vállalatoknak is lesz teendőjük, amelyek ezzel már rendelkeznek” – fűzte hozzá a szakember. 

Mit kell teljesíteni? 

A fókuszban a kiberbiztonsági kockázatelemzés és az információbiztonság áll, az üzletmenet folytonossága, a katasztrófa-helyreállítás, az ellátási láncok biztonsága, a titkosítási megoldások alkalmazása, a hitelesítési megoldások használata, a kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása. 

„De nem elég, ha például kész egy szabályzat, és betesszük a fiókba, mert az auditor azt fogja kérni, hogy mutassák meg a hozzá tartozó hibajegyeket is, amelyek eddig születtek. Hiszen, ha egy folyamat, egy szabályozás működik, vannak hozzá kapcsolódó hibajegyek – minimum egy” – figyelmeztetett Piszker György.

Ezen túl a szervezeteknek bejelentési kötelezettségük van a nemzeti hatóságok felé a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről. 

Miután a cégek a támadásokat eddig inkább elhallgatták, mint bejelentették volna, Európában a jelenlegi kiberbiztonsági helyzet nem transzparens 

– az USA-ban már igen, ott a vállalatokat kötelezték arra, hogy jelezzék ezeket. Miután a társaságokat nálunk is rá fogják kényszeríteni arra, hogy kivizsgálják az támadási ügyeket házon belül, és megoldást is találjanak arra, miként fogják elkerülni a jövőben, így a támadások számának lassan csökkenni kell. 

Eltiltható akár a cégvezető is

Ha a NIS2 irányelveknek az auditor által biztosított „javítási” idő leteltével sem felel meg egy cég, a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése. 

Ugyanúgy, mint egy gazdasági bűncselekmény esetén,

hiszen az ügyvezető a végső felelős azért, hogy a szervezete a NIS2 direktívának megfeleljen. Ha erről nem vagy nem megfelelő minőségben gondoskodott, akkor a hatóság kijelölhet helyette egy felügyeleti biztost, őt pedig eltilthatja, felfüggesztheti. De az is bőven elegendő lesz, ha nem kapja meg a minősítést, és kiesik abból a szállítói körből, ahol ez elvárttá válik” – fogalmazott Piszker György. 

 

Címoldalról ajánljuk

Tovább a címoldalra

Címoldalról ajánljuk

Tovább a címoldalra

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.

Regionális hírportálok
Bács-Kiskun - baon.hu Baranya - bama.hu Békés - beol.hu Borsod-Abaúj-Zemplén - boon.hu Csongrád - delmagyar.hu Dunaújváros - duol.hu Fejér - feol.hu Győr-Moson-Sopron - kisalfold.hu Hajdú-Bihar - haon.hu Heves - heol.hu Jász-Nagykun-Szolnok - szoljon.hu Komárom-Esztergom - kemma.hu Nógrád - nool.hu Somogy - sonline.hu Szabolcs-Szatmár-Bereg - szon.hu Tolna - teol.hu Vas - vaol.hu Veszprém - veol.hu Zala - zaol.hu
Közélet Gazdaság Magazin Bulvár Szolgáltatás Rádió
Bács-Kiskun - baon.hu Baranya - bama.hu Békés - beol.hu Borsod-Abaúj-Zemplén - boon.hu Csongrád - delmagyar.hu Dunaújváros - duol.hu Fejér - feol.hu Győr-Moson-Sopron - kisalfold.hu Hajdú-Bihar - haon.hu Heves - heol.hu Jász-Nagykun-Szolnok - szoljon.hu Komárom-Esztergom - kemma.hu Nógrád - nool.hu Somogy - sonline.hu Szabolcs-Szatmár-Bereg - szon.hu Tolna - teol.hu Vas - vaol.hu Veszprém - veol.hu Zala - zaol.hu