Hirben.hu Hírben jók vagyunk! 2024. október 18-a újabb mérföldkő a kiberbiztonsági szegmensben. Ekkortól él ugyanis az úgynevezett NIS2 európai uniós irányelv, aminek bevezetésével még hangsúlyosabbá válik az IT-biztonság kérdése a vállalatok számára. Az új szabályozás célja, hogy a kritikus infrastruktúrák és digitális szolgáltatók, továbbá valamennyi, a törvényben kötelezett cég és egyéb szervezet megfelelően felkészüljön a kibertámadásokkal szemben. A direktíva nem csak a legnagyobb vállalatokat érinti. Magyarországon több ezer olyan cég van, amely még felkészületlen az európai uniós kibervédelmi jogszabályokra.
Márton Miklós, az elsősorban IT-biztonsági megoldásokat kínáló ViVeTech Nyrt. vezérigazgatója, valamint Balogh Turul kiberbiztonsági szakember segítségével jártuk körbe, mi fán terem a NIS2, és miért volt szükség a bevezetésére.
Kritikus ágazatok védelme
A NATO néhány évvel ezelőtt a fizikai terek – a föld, levegő, víz, űr – mellett a kiberteret is műveleti területként deklarálta – mutatott rá Balogh Turul kiberbiztonsági szakember, az ITBN (Informatikai Biztonság Napja) szervezője. „Láthatjuk, hogy ma már minden a kibertérben, az interneten dől el, még az amerikai elnökválasztás is. Ajtót nyit a megtévesztő kampányok, a deep fake-ek előtt, ezért is kiemelten fontos a kibertámadások elleni védekezés, adataink és a hiteles információk védelme” – tette hozzá. Az információbiztonság érdekében eddig is számos uniós törvény született, ám ezek felett eljárt az idő, ezért volt szükség a megújításra. Ez a NIS2 irányelvben öltött testet, amit az eddigieknél több iparágra kiterjesztettek.
A NIS2 célja, hogy az összes iparág ugyanolyan intenzitású védelmet kapjon, ne csak a kritikus ágazatok
– húzta alá Balogh Turul.
Az Európai Bizottság honlapján fellelhető információk szerint „a NIS2 irányelv közös kiberbiztonsági szabályozási keretet határoz meg, amelynek célja a kiberbiztonság szintjének növelése az Európai Unióban; ehhez előírja az uniós tagállamok számára a kiberbiztonsági képességek megerősítését, valamint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstétel bevezetését a kritikus ágazatokban, továbbá az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó szabályokat”.
Minden tagországnak lehetősége volt arra, hogy a NIS2 irányelveit saját képére alakítsa, a követelményeket 2024. október 18-tól alkalmazni kell, azoknak meg kell felelni. Magyarországon a törvényalkotó egy amerikai szabvány, az NIST 800-53 keretrendszerét vette alapul, de tagországonként eltérőek a szakmai követelmények.
Fontos megjegyezni, hogy az irányelv nem az ajánlott, hanem a kötelező kategóriát erősíti, vagyis minden érintett vállalatnak be kell építenie működésébe.
A kibertámadások ugyanis már rég nem magányos hekkerek viccből elkövetett magánakcióit jelentik. Az állami szereplőkön kívül a szervezett bűnözés egyik legprofitálóbb részévé vált, amelyeknek célpontjai akár középvállalkozások is lehetnek. A kibercsalók okozta károk ma már dollármilliárdokban mérhetők.
Milliárdos üzletág
„Amerikából jöttem – utalt egyesült államokbeli szakmai útjára és nem a közismert játékra Márton Miklós –, ahol irigykednek az előrehaladott európai kibervédelmi szabályozási környezetre” – mondta a ViVeTech vezérigazgatója, példaként említve a kritikus infrastruktúrák védelme érdekében kidolgozott korábbi intézkedéseket vagy épp a személyes adatok védelmére irányuló GDPR-t (General Data Protection Regulation = általános adatvédelmi rendelet).
Míg utóbbi mechanizmusok főként a magánszemélyek védelmét hivatottak szolgálni, addig a NIS2 kifejezetten a vállalatok részére kötelező érvénnyel meghozott információbiztonsági szabályozás.
„Néhány kritikus iparágban – mint a telekommunikáció, a bank-, illetve biztosítási szektor – hosszú évek óta jelentős kiberbiztonságot erősítő lépések mentek végbe, köszönhetően annak, hogy a kormányok belátták ennek fontosságát, amit cselekvés követett.”
A NIS2 gyakorlatilag azt jelenti, hogy a kibervédelmi szabályozásokat a teljes gyártási, illetve ellátási láncban részt vevő, bizonyos méret, illetve árbevétel felett diszponáló vállalatokra is kiterjesztették
– vázolta a NIS2 bevezetése mögött húzódó okokat Márton Miklós.
A vonatkozó cégméretet 50 főben, míg az árbevétel alsó határát 10 millió euróban, vagyis több mint 4 milliárd forintban határozták meg. Mindezt két évre visszamenőleg nézik, ezáltal kimozogva az irányelv hatálya alóli kibújás szándékát.
Inkább a büntetés
Márton Miklós rámutatott, hogy számos olyan magyarországi vállalat van, amelyek az ISO 27001 információbiztonsági szabványnak megfelelve eddig is jelentős kibervédelmi lépéseket tettek – többek között azért, mert egy kibertámadás okán komoly, akár a további működésüket is veszélyeztető üzleti kár érheti őket. Számukra ezért a NIS2 nem jelent az eddigiekhez képest jelentős változást. (Az ISO 27001 vagy ISO/IEC 27001 egy információbiztonsági szabvány, amelyet a Nemzetközi Szabványügyi Szervezet [ISO] és a Nemzetközi Elektrotechnikai Bizottság [IEC] együttesen tesz közzé a globális kiberbiztonsági kihívások kezelése és a digitális bizalom javítása érdekében.)
Azonban idehaza is több ezer olyan vállalat van, amelyek életébe jelentős változást hoz az uniós irányelv. „Ez többek között azért is van így, mert az esetek döntő többségében az a tapasztalatom, hogy a vállalatok a különböző biztonsági előírásoknak megfelelés helyett eleve inkább a büntetést vállalták be” – mondta Márton Miklós.
Ezzel egybehangzóan nyilatkozott Balogh Turul is. „Sok vállalat csak akkor kezd el foglalkozni a kibervédelemmel, amikor megtörténik a baj. Ezt követően egyből egy csillagrombolót akarnak építeni. Addig azonban a költségek miatt sok esetben csak a szükséges minimumra szorították le a biztonsági intézkedéseket, a NIS2 többek között ezt hivatott megelőzni” – mondta.
A NIS2 irányelv nem teljesítése azonban már olyan szintű anyagi retorziót vonhat maga után, aminek elrettentő hatása lehet.
A büntetési tétel – a bírság okától függően – akár az árbevétel 2 százaléka is lehet, ami az alsó bevételi határnak számító 4 milliárd forintnál is 80 millió forintot jelenthet.
Interjúnk készítésének idejében 3700 körül volt azon cégek száma, amelyek regisztráltak a Szabályozott Tevékenységek Felügyeleti Hatóság (SZTFH) portálján.
A NIS2 implementálásának egy fontos eleme, hogy a vállalatoknak év végéig le kell szerződniük egy auditorcéggel, amely a hatóság irányába igazolja az irányelvnek való megfelelést. A független vizsgálat lefolytatására 2025. december 31-ig van lehetőség. Akik ezt elmulasztják, jön az említett büntetés.
A cégeknek egy úgynevezett IBIR-rendszernek (Információbiztonsági irányítási rendszer) kell megfelelniük, ami sok adminisztrációs terhet von maga után. Azoknak, akik eddig is kellő figyelmet fordítottak az információbiztonságra, könnyebb lehet az új irányelv implementálása, a legtöbben azonban szakértői segítségre szorulnak – hívta fel a […]
A teljes cikk megtekintéséhez és tovább olvasásához KATTINTSON IDE!
*Tisztelt Olvasó! Amennyiben a cikk tartalma módosult vagy sértő elemeket tartalmaz, kérjük jelezze számunkra info@net-front.hu e-mail címen!