Szakértők arra hívják fel a figyelmet, hogy az olyan szigorú szabályozások, mint a NIS2 és a DORA nemcsak jelentős beruházásokat, de fontos üzleti lehetőséget is jelenthetnek a vállalatok számára.
A NIS2 kiberbiztonsági irányelv előírásainak megfelelően Magyarországon már több mint háromezer, különféle kritikus fontosságú ágazatokban tevékenykedő szervezet regisztrált a Szabályozott Tevékenységek Felügyeleti Hatóságánál, az első auditot 2025 végéig kell majd elvégezniük. A pénzügyi szektor kibervédelmének megerősítését célzó DORA rendelet pedig 2025. január 17-től kötelezően alkalmazandó a pénzintézetek és infokommunikációs szolgáltatók számára. Mindkét szabályozás sokrétű rendelkezéseket tartalmaz, ezért számos teendőt ró az érintett szervezetekre több különféle területen. Ezek kiterjednek az érzékeny adatok védelmére is, amiben a Kingston Technology szakértői szerint hatékony segítséget nyújthatnak a hardveralapú titkosítási megoldások.
Nehézségek a megfelelésben
Az érintett szervezetek továbbra is kihívásokkal küzdenek a szabályozásoknak való megfelelésben. Problémát okoz például, hogy késedelmesen jelennek meg a részletszabályozások: a NIS2 kapcsán január 31-én jelent meg a rendelet a kiberbiztonsági auditok lefolytatásának rendjéről és az auditok maximális díjairól. További nehézséget jelent az előírások teljesítésében, hogy sok helyen nem áll rendelkezésre a szükséges erőforrás és szakértelem. Ráadásul nem csak kiberbiztonsági szakemberből van hiány, de ellenőrökből is, mivel jelenleg mindössze tíz auditor cég jogosult a NIS2-höz kapcsolódó auditok elvégzésére, ugyanakkor több ezer céget kellene ellenőrizni az idei év végéig.
A NIS2 hosszabb időt biztosított az implementációra, míg a DORA gyorsabb alkalmazkodást követelt meg. Ám mindkét szabályozás komoly szankciókat szab kil mulasztáskor, ami hatalmas pénzügyi nyomást helyez a vállalatokra. A NIS2 kapcsán például a kritikus fontosságú szolgáltatásokat nyújtó vállalatoknál a bírságok elérhetik a 10 millió eurót vagy az éves globális bevétel két százalékát, míg a fontos szolgáltatásokat nyújtó szervezeteknél ez az összeg hétmillió euró vagy az előző évi bevétel 1,4 százaléka lehet. A DORA esetében a pénzügyi intézmények akár a teljes éves világszintű forgalmuk 2 százalékáig terjedő bírságot kaphatnak, az IKT-szolgáltatók pedig az átlagos napi globális forgalmuk egy százalékáig terjedő pénzbírsággal is sújthatók minden egyes nap, amikor megszegik a szabályokat, legfeljebb hat hónapig. Ezenfelül a vállalatvezetőkre egyéni szinten akár 1 millió eurós büntetés is kiszabható.
Kihívásból lehetőség
A nehézségekből azonban lehetőséget is kovácsolhatnak a szervezetek, ezért nem csak a bírságok elkerülése miatt érdemes mindent megtenni a szükséges intézkedések bevezetéséért a lehető legrövidebb időn belül.
„Azok a vállalatok, amelyek képesek igazolni, hogy megfelelnek a legfrissebb kiberbiztonsági és adatvédelmi standardoknak, új lehetőségekhez juthatnak, például kormányzati szerződések és nagyobb vállalatokkal folytatott együttműködések terén. Ezek a partnerek gyakran kérnek a kisebb beszállítóiktól valamiféle igazolást a kiberbiztonsági intézkedéseikről, hogy csökkentsék a felelősségi kockázatokat” – mutat rá David Clarke, a Kingston kiberbiztonsági influencere.
A szakember szerint a megfeleléshez a vállalatoknak ki kell dolgozniuk olyan stratégiákat, amelyek lehetővé teszik a gyors reagálást és a károk minimalizálását a potenciális biztonsági incidensek esetén. Elengedhetetlen továbbá, hogy a szervezetek olyan technológiákat és eljárásokat alkalmazzanak, amelyek garantálják az adatok és rendszerek védelmét minden területen.
FIPS-minősítés mint „aranyszabvány”
Az érzékeny adatok megóvására vonatkozó előírások teljesítéséhez a szakértő szerint érdemes hardveresen titkosított adattárolókat alkalmazni. Ezek az adathordozók segítenek a szenzitív információk hatékony védelmében, illetve biztosítják, hogy azok ne kerülhessenek illetéktelen kezekbe. A hardveralapú titkosítás gyorsabb és biztonságosabb, mint a szoftveralapú megoldások, mivel a titkosítási folyamatok dedikált hardveren futnak, ami csökkenti a szoftveres sebezhetőségek kihasználásának kockázatát.
