Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) 2022-ben listázta azokat a fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadják az online térben: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek a vírusok, a trójai- és a kémprogramok. A túlterheléses támadások szintén napi szereplői a híreknek, illetve a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva.
„Az Európai Unió új kiberbiztonsági irányelve, azaz a NIS2 olyan minimumszabályokat fogalmaz meg, amelyek ezen támadások kivédésére irányulnak, és amelyeket az érintett ágazati szereplőknek be kell tartaniuk” – mondta a Világgazdaságnak Piszker György, a Kontron Hungary Kft. informatikai szaktanácsadó cég rendszer architect vezetője.
A kiemelten kockázatosnak vélt ágazatok: az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), a közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés), az egészségügy, a vízközmű (ivóvíz és szennyvíz), a hírközlési, a digitális infrastruktúra (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója), a kihelyezett IKT- és az űralapú szolgáltatásokkal foglalkozó vállalatok.
A kockázatosnak ítélt szektorok: a postai és futárszolgálatok, az élelmiszer előállításával, feldolgozásával és forgalmazásával, a hulladékgazdálkodással, a vegyszerek előállításával és forgalmazásával, a gyártással (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás), a digitális szolgáltatással (online piactér) és a kutatással foglalkozó cégek. Feltéve, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkeznek, illetve amennyiben a NIS2 hatálya alá eső szervezet beszállítói, mert akkor szintén NIS2 minősítéssel kell rendelkezniük mérettől és árbevételtől függetlenül.
„Saját maguknak kell a cégeknek a besorolásukat elvégezni, és önbevallásos alapon a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH) 2024. június 30-ig bejelentkezniük a nevükkel, adószámukkal, TEOR-számaikkal” – magyarázta a szakértő, hozzátéve, a specifikus nemzeti szabályozást 2024 januárjára várták, egyelőre nem készült el, jelenleg februárra ígérik, de addig is van teendő.
„A jogszabály gyakorlatilag tartalmazni fogja az összes intézkedést, amelynek meg kell felelnie egy kockázatosnak és egy kiemelten kockázatosnak ítélt szervezetnek is. A törvény kontrollpontokat, kontrollcsoportokat fog meghatározni, ezeket fogja vizsgálni az auditor, aki a vállalatok elektronikus információs rendszereit tekinti majd át. Ez magába foglalja például a céges levelezést, a HR nyilvántartó rendszert, a vállalatirányítási rendszert, egy gyárban a gyártósort vezérlő IT-rendszert, tehát mindent, amiben – nagyon egyszerűen fogalmazva – bitek futkosnak – jellemezte a várható IT-kihívásokat Piszker György.
„Amíg a jogszabály megérkezik, addig is érdemes elkezdeni a cégeknek a belső IT-szabályaik, folyamataik áttekintését: megnézni, melyik mit tartalmaz, hogy kapcsolódnak egymáshoz, mikor frissültek. Ezek az első és alapkérdések a helyzetfelmérés során, innen lehet elindulni és javaslatot tenni arra, melyik szabályzatot milyen mértékben kell kiegészíteni, vagy akár teljesen újra alkotni – ezt teszi majd az auditor is. Ha még nincs, egy információbiztonsági felelőst ki kell jelölni – akár a vállalaton belülről, ha van erre belső erőforrás, akár külsős IT-tanácsadót, rendszerintegrátort felkérni. Ő lesz a helyzetfelmérés szakmai vezetője” – részletezte a szakértő, de hozzátette, meglehetősen komplexek lesznek az elvárások, nem lesz könnyű az értelmezésük.
Ha a NIS2 irányelveknek az auditor által biztosított „javítási” idő leteltével sem felel meg egy cég, a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírság, míg az alapkritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.