Tömegek életét változtathatja meg egy hatályba lépett uniós irányelv

Több ezer hazai cég működését alakítja át az idén hatályba lépett NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv.

A NIS2 irányelvet Magyarország az Európai Unió (EU) tagállamai közül az elsők között ültette át saját jogrendszerébe, hogy hatékonyan vehesse fel a küzdelmet a látványosan növekvő kiberfenyegetésekkel szemben. Az előírások a legalább ötven főt foglalkoztató vagy a tízmillió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el. Ezek közé a kritikus ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett infokommunikációs szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, feldolgozás és forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és forgalmazás, valamint a digitális szolgáltatás.

Az EY kommünikéje szerint az EU működése szempontjából nélkülözhetetlen iparágakat is lefedő új szabályozás közvetetten munkavállalók százezreit is érintheti Magyarországon. Már az év elején elkezdték nyilvántartásba venni azokat a magyarországi vállalatokat, amelyekre kiterjed a NIS2. A szóban forgó vállalkozásoknak idén június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.

Elvárják, hogy a társaságok garantálják az üzletmenet folytonosságát

„A kibervédelmi irányelv élesedésével komoly feladat és felelősség hárul az érintett társaságokra, mivel átfogó szervezeti átvilágításra kell felkészülniük. Jelenleg közel 2600 vállalatra vonatkozhatnak a NIS2 szabályai idehaza, amik közvetve több százezer munkavállalót is érinthetnek” — hangsúlyozta Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.

A NIS2 követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel. Az érintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét. Az uniós szabályozás ugyancsak elvárja, hogy társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az it-biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.