Az Európai Unió tagállamai közül Magyarország az elsők között ültette át saját jogrendszerébe az NIS2 irányelvet. A korábbi kiberbiztonsági szabályokat az NIS2 irányelv aktualizálta, amelynek segítségével hatékonyabban lehet felvenni a küzdelmet a látványosan növekvő kiberfenyegetésekkel szemben.
„Az előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el" – hívja fel a figyelmet összefoglaló tájékoztatójában az EY.
Az érintett ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett ICT (Információ és Kommunikáció Technológia) szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, feldolgozás és forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és forgalmazás, valamint a digitális szolgáltatás.
Hazánkban már az év elején elkezdték nyilvántartásba venni azokat a magyarországi vállalatokat, amelyekre kiterjed a NIS2. Az érinett cégeknek idén június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat.
A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig elvégzi az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.
„A kibervédelmi irányelv élesedésével komoly feladat és felelősség hárul az érintett társaságokra, mivel átfogó szervezeti átvilágításra kell felkészülniük. Jelenleg közel 2600 vállalatra vonatkozhatnak a NIS2 szabályai idehaza, amelyek közvetve több százezer munkavállalót is érinthetnek” – hangsúlyozza Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.
A NIS2 követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel.
Az EY tájékozatója felhívja a figyelmet, hogy az értintett cégeknek ki kell alakítaniuk az információ-biztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők és a felhasználók felelősségét. Az uniós szabályozás ugyancsak elvárja, hogy a társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.