Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) 2022-ben listázta azokat a fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadják az online térben: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek a vírusok, a trójai- és a kémprogramok. A túlterheléses támadások szintén napi szereplői a híreknek, illetve a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva.

„Az Európai Unió új kiberbiztonsági irányelve, azaz a NIS2 olyan minimumszabályokat fogalmaz meg, amelyek ezen támadások kivédésére irányulnak, és amelyeket az érintett ágazati szereplőknek be kell tartaniuk” – mondta a Világgazdaságnak Piszker György, a Kontron Hungary Kft. informatikai szaktanácsadó cég rendszer architect vezetője.

Milyen cégeket érint a NIS2?

A kiemelten kockázatosnak vélt ágazatok: az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), a közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés), az egészségügy, a vízközmű (ivóvíz és szennyvíz), a hírközlési, a digitális infrastruktúra (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója), a kihelyezett IKT- és az űralapú szolgáltatásokkal foglalkozó vállalatok.

A kockázatosnak ítélt szektorok: a postai és futárszolgálatok, az élelmiszer előállításával, feldolgozásával és forgalmazásával, a hulladékgazdálkodással, a vegyszerek előállításával és forgalmazásával, a gyártással (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás), a digitális szolgáltatással (online piactér) és a kutatással foglalkozó cégek. Feltéve, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkeznek, illetve amennyiben a NIS2 hatálya alá eső szervezet beszállítói, mert akkor szintén NIS2 minősítéssel kell rendelkezniük mérettől és árbevételtől függetlenül.

„Saját maguknak kell a cégeknek a besorolásukat elvégezni, és önbevallásos alapon a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH) 2024. június 30-ig bejelentkezniük a nevükkel, adószámukkal, TEOR-számaikkal” – magyarázta a szakértő, hozzátéve, a specifikus nemzeti szabályozást 2024 januárjára várták, egyelőre nem készült el, jelenleg februárra ígérik, de addig is van teendő.

Mivel kezdjék a felkészülést?

„A jogszabály gyakorlatilag tartalmazni fogja az összes intézkedést, amelynek meg kell felelnie egy kockázatosnak és egy kiemelten kockázatosnak ítélt szervezetnek is. A törvény kontrollpontokat, kontrollcsoportokat fog meghatározni, ezeket fogja vizsgálni az auditor, aki a vállalatok elektronikus információs rendszereit tekinti majd át. Ez magába foglalja például a céges levelezést, a HR nyilvántartó rendszert, a vállalatirányítási rendszert, egy gyárban a gyártósort vezérlő IT-rendszert, tehát mindent, amiben – nagyon egyszerűen fogalmazva – bitek futkosnak – jellemezte a várható IT-kihívásokat Piszker György.

„Amíg a jogszabály megérkezik, addig is érdemes elkezdeni a cégeknek a belső IT-szabályaik, folyamataik áttekintését: megnézni, melyik mit tartalmaz, hogy kapcsolódnak egymáshoz, mikor frissültek. Ezek az első és alapkérdések a helyzetfelmérés során, innen lehet elindulni és javaslatot tenni arra, melyik szabályzatot milyen mértékben kell kiegészíteni, vagy akár teljesen újra alkotni – ezt teszi majd az auditor is. Ha még nincs, egy információbiztonsági felelőst ki kell jelölni – akár a vállalaton belülről, ha van erre belső erőforrás, akár külsős IT-tanácsadót, rendszerintegrátort felkérni. Ő lesz a helyzetfelmérés szakmai vezetője” – részletezte a szakértő, de hozzátette, meglehetősen komplexek lesznek az elvárások, nem lesz könnyű az értelmezésük.

Eltiltható akár a cégvezető is

Ha a NIS2 irányelveknek az auditor által biztosított „javítási” idő leteltével sem felel meg egy cég, a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírság, míg az alapkritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.