Akár az árbevétel két százalékára is büntethetők azok a gazdasági társaságok, amelyek nem készülnek fel időben az it-biztonsági incidensek kezelésére, és nem a felülvizsgált uniós kibervédelmi irányelvnek megfelelően működnek.
Az EY nemzetközi tanácsadó társaság emlékeztet arra, hogy Magyarországon jövő év január elsejétől kezdik nyilvántartásba venni azokat a cégeket, amelyekre kiterjed az idén januártól hatályos NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv. Az előírások a legalább ötven főt foglalkoztató vagy a tízmillió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amely az Európai Unió gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el.
Ilyen kritikus ágazatnak számít az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz- és a hírközlési szolgáltatás, a kihelyezett infokommunikációs szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak a kiemelt tevékenységek közé került a postai és futárszolgálat, az élelmiszer-előállítás, -feldolgozás és -forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszer-előállítás és -forgalmazás, valamint a digitális szolgáltatások.
A szóban forgó vállalkozásoknak június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.
Elvárás, hogy a társaságok garantálják az üzletmenet folytonosságát
Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője felhívta a figyelmet arra, hogy éves árbevételük akár két százalékát is kifizethetik büntetésként azok a cégek, ahol 2025-ig nem készülnek fel az online betörési kísérletek megakadályozására, továbbá a cég vezetőit is eltilthatják feladatkörük gyakorlásától. Zala szerint a társaságok számára komoly előkészülettel jár, hogy megfeleljenek a NIS2 követelményeknek, hiszen szükség van egyebek között a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel.
A NIS2 irányelv elvárásainak megfelelően az érintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét. Az uniós szabályozás ugyancsak elvárja, hogy a társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az it-biztonsági kockázatokat, bejelentsék az esetleges incidenseket, és karbantartsák az informatikai rendszereket — áll az EY közleményében.