A NIS2 az új GDPR?
A NIS2 az új GDPR?
2024. február 14.
A NIS2 egy olyan szabályozás, amellyel a saját érdekükben foglalkozniuk kell az érintett vállalatoknak. Egy kötelező informatikai audit során azt kell bizonyítaniuk, hogy felkészültek a kiberbiztonsági incidensek kezelésére. Ha ez nem sikerül, akár az éves árbevételük 2 százalékát is kifizethetik büntetésre, sőt a cégvezetőt eltilthatják a pozíciójától.
Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) 2022-ben listázta azokat a fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadják az online térben: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek a vírusok, a trójai- és a kémprogramok. A túlterheléses támadások szintén napi szereplői a híreknek, illetve a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva.
„Az Európai Unió új kiberbiztonsági irányelve, azaz a NIS2 olyan minimumszabályokat fogalmaz meg, amelyek ezen támadások kivédésére irányulnak, és amelyeket az érintett ágazati szereplőknek be kell tartaniuk” – mondta a Világgazdaságnak Piszker György, a Kontron Hungary Kft. informatikai szaktanácsadó cég rendszer architect vezetője.
Milyen cégeket érint a NIS2?
A kiemelten kockázatosnak vélt ágazatok: az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), a közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés), az egészségügy, a vízközmű (ivóvíz és szennyvíz), a hírközlési, a digitális infrastruktúra (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója), a kihelyezett IKT- és az űralapú szolgáltatásokkal foglalkozó vállalatok.
A kockázatosnak ítélt szektorok: a postai és futárszolgálatok, az élelmiszer előállításával, feldolgozásával és forgalmazásával, a hulladékgazdálkodással, a vegyszerek előállításával és forgalmazásával, a gyártással (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás), a digitális szolgáltatással (online piactér) és a kutatással foglalkozó cégek. Feltéve, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkeznek, illetve amennyiben a NIS2 hatálya alá eső szervezet beszállítói, mert akkor szintén NIS2 minősítéssel kell rendelkezniük mérettől és árbevételtől függetlenül.
„Saját maguknak kell a cégeknek a besorolásukat elvégezni, és önbevallásos alapon a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH) 2024. június 30-ig bejelentkezniük a nevükkel, adószámukkal, TEOR-számaikkal” – magyarázta a szakértő, hozzátéve, a specifikus nemzeti szabályozást 2024 januárjára várták, egyelőre nem készült el, jelenleg februárra ígérik, de addig is van teendő.
Mivel kezdjék a felkészülést?
„A jogszabály gyakorlatilag tartalmazni fogja az összes intézkedést, amelynek meg kell felelnie egy kockázatosnak és egy kiemelten kockázatosnak ítélt szervezetnek is. A törvény kontrollpontokat, kontrollcsoportokat fog meghatározni, ezeket fogja vizsgálni az auditor, aki a vállalatok elektronikus információs rendszereit tekinti majd át. Ez magába foglalja például a céges levelezést, a HR nyilvántartó rendszert, a vállalatirányítási rendszert, egy gyárban a gyártósort vezérlő IT-rendszert, tehát mindent, amiben – nagyon egyszerűen fogalmazva – bitek futkosnak – jellemezte a várható IT-kihívásokat Piszker György.
„Amíg a jogszabály megérkezik, addig is érdemes elkezdeni a cégeknek a belső IT-szabályaik, folyamataik áttekintését: megnézni, melyik mit tartalmaz, hogy kapcsolódnak egymáshoz, mikor frissültek. Ezek az első és alapkérdések a helyzetfelmérés során, innen lehet elindulni és javaslatot tenni arra, melyik szabályzatot milyen mértékben kell kiegészíteni, vagy akár teljesen újra alkotni – ezt teszi majd az auditor is. Ha még nincs, egy információbiztonsági felelőst ki kell jelölni – akár a vállalaton belülről, ha van erre belső erőforrás, akár külsős IT-tanácsadót, rendszerintegrátort felkérni. Ő lesz a helyzetfelmérés szakmai vezetője” – részletezte a szakértő, de hozzátette, meglehetősen komplexek lesznek az elvárások, nem lesz könnyű az értelmezésük.
Eltiltható akár a cégvezető is
Ha a NIS2 irányelveknek az auditor által biztosított „javítási” idő leteltével sem felel meg egy cég, a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírság, míg az alapkritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.