Jelentős büntetéseket kockáztatnak az uniós kibervédelmi irányelvtől eltérő vállalkozások

Akár az árbevétel két százalékára is büntethetők azok a gazdasági társaságok, amelyek nem készülnek fel időben az IT-biztonsági incidensek kezelésére, és nem a felülvizsgált uniós kibervédelmi irányelvnek megfelelően működnek – hívta fel a figyelmet az EY.

A nemzetközi tanácsadó cég emlékeztet arra, hogy Magyarországon jövő év január elsejétől kezdik nyilvántartásba venni azokat a cégeket, amelyekre kiterjed az idén januártól hatályos NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv.

Az előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el.

Ilyen kritikus ágazatnak számít az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz- és a hírközlési szolgáltatás, a kihelyezett ICT szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak a kiemelt tevékenységek közé került a postai és futárszolgálat, az élelmiszerelőállítás, -feldolgozás és -forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és -forgalmazás, valamint a digitális szolgáltatás – sorolták a közleményben.

A szóban forgó vállalkozásoknak június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.

Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője felhívta a figyelmet arra, hogy éves árbevételük akár két százalékát is kifizethetik büntetésként azok a cégek, ahol 2025-ig nem készülnek fel az online betörési kísérletek megakadályozására, továbbá a cég vezetőit is eltilthatják feladatkörük gyakorlásától.

A szakember rámutatott: a társaságok számára komoly előkészülettel jár, hogy megfeleljenek a NIS2 követelményeknek, hiszen szükség van egyebek között a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel.

A NIS2 irányelv elvárásainak megfelelően az érintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét.

Az uniós szabályozás ugyancsak elvárja, hogy a társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket, és karbantartsák az informatikai rendszereket – olvasható az EY közleményében.