A NIS2 az EU meglévő (és első) kiberbiztonsági jogszabálya, a NIS-irányelv helyébe lépett idén januárban. A NIS2 a különböző ágazatokban működő szervezeteknek előírja, hogy biztosítaniuk kell, hogy a szolgáltatásnyújtáshoz és tevékenységük végzéséhez használt hálózatok és rendszerek magasabb szintű kiberbiztonságot érjenek el. A tagállamoknak, így Magyarországnak is 2024. október 17-ig kell elfogadniuk és kihirdetniük azokat a rendelkezéseket, amelyek szükségesek ahhoz, hogy a NIS2 irányelvnek megfeleljenek.
Akár éves árbevételük 2 százalékát is kifizethetik büntetésre azok a cégek, amelyek 2025-re nem készülnek fel a kiberbiztonsági incidensek kezelésére. A szabálysértő cégek vezetőjét el is tilthatják, a büntetés a beszállítókra is vonatkozik majd.
A cégek elsődleges feladata most a jogszabályi változások nyomon követése. Ezt követően jövőre a kötelező audithoz IT-rendszer integrátor segítségével tudnak felkészülni, amelybe beletartozik a jelenlegi helyzet felmérése, szabályzatok frissítése, elkészítése, illetve az esetlegesen nem teljes körű biztonsági megoldások kiegészítése vagy pótlása - jellemezte a jövő évre várható IT-kihívásokat Piszker György, a Kontron Hungary rendszer architect vezetője.
Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) tavaly listázta azokat fenyegetéseket, amelyekkel a cégeket leginkább támadták az utóbbi időkben. Mint írták, a legaggasztóbb eredmények a zsarolóprogramokkal kapcsolatban születtek, ezeket követik a rosszindulatú programok, majd a túlterheléses támadások.
Az új szabályozás ezen programok működését lehetetlenítené el.
Érintett ágazatok
A kiberbiztonsági előírások az 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkező cégekre vonatkoznak majd. Továbbá amennyiben egy szervezet NIS2 hatálya alá eső szervezet beszállítója, annak szintén NIS2 minősítéssel kell rendelkeznie.
Kiemelt kritikusságú ágazatok:
- az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés),
- egészségügy,
- vízközmű (ivóvíz és szennyvíz),
- hírközlési szolgáltatások,
- digitális infrastruktúra-szolgáltatások (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója),
- kihelyezett IKT-szolgáltatások
- és az űralapú szolgáltatások.
Alapkritikusságú ágazatok:
- postai és futárszolgálatok,
- élelmiszer előállítása, feldolgozása és forgalmazása,
- hulladékgazdálkodás,
- vegyszerek előállítása és forgalmazása, gyártása (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mészés gipszgyártás),
- digitális szolgáltatók (pl. online piactér)
- és a kutatás.
A közlemény szerint a szervezeteknek a NIS2 irányelvnek való megfelelés érdekében kockázatkezelési és a kockázatokkal arányos kiberbiztonsági intézkedéseket kell alkalmazni.
Ezek alapján a cégeknek hamarosan ügyelniük kell többek között a kiberbiztonsági kockázat elemzésére és az információbiztonságra, az üzletmenet folytonosságra, katasztrófa-helyreállításra, az ellátási láncok biztonságára, kiberhigéniai gyakorlatokra, titkosítási megoldások alkalmazására, hitelesítési megoldások használatára, kommunikációs csatornák (szöveg, hang, videó) biztosítására, illetve a szervezeten belüli kiberbiztonsági oktatások megtartására.
Ezenkívül a szervezeteknek bejelentési kötelezettségük lesz a nemzeti hatóságok felé a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.
Még a cégvezető is eltiltható
Egy cég szabályszegése esetén akár eltiltható akár annak vezetője is, illetve a kiemelt kritikusságú ágazatok 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírságot is kaphatnak.
Az alap kritikusságú szervezetekre szintén vonatkozik a cégvezetői eltiltás, továbbá rájuk 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság vonatkozik.
A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek 2024. június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható határideje 2024. december 31., és a szervezeteknek 2025. december 31-ig a NIS2 szabályozásnak valómegfelelést igazoló auditot kell lefolytatniuk.
