Komoly bírsággal és az ügyvezető leváltásával is fenyegeti a cégeket ez az új jogszabály
A NIS2 – távoli hasonlattal élve – az új GDPR, azaz egy szabályozás, amellyel a saját érdekükben foglalkozniuk kell az érintett vállalatoknak. Egy kötelező informatikai audit során azt kell bizonyítaniuk, hogy felkészültek a kiberbiztonsági incidensek kezelésére.
Ha ez nem sikerül, akár az éves árbevételük 2 százalékát is kifizethetik büntetésre, sőt, a cégvezetőt eltilthatják a pozíciójától. Piszker György, a Kontron Hungary rendszer architect vezetője elmagyarázta, jelenleg mivel tudnak haladni a vállalatok.
Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) 2022-ben listázta azokat a fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadják: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek a vírusok, a trójai- és a kémprogramok, amelyek szintén az emberi hibákra játszanak, és arra akarják rávenni a gyanútlan felhasználót, hogy megnyissa a rosszindulatú dokumentumokat, fájlokat, e-maileket, olyan webhelyekre kattintson, ahol jogosulatlan hozzáférést ad a céges adataihoz, bankszámlájához. A túlterheléses támadások – amikor megakadályozzák, hogy a felhasználók hozzáférjenek bizonyos weboldalakhoz, szolgáltatásokhoz – szintén napi szereplői a híreknek. De a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva.
„Az Európai Unió új Kiberbiztonsági irányelve, azaz a NIS2 olyan minimumszabályokat fogalmaz meg, amelyek ezen támadások kivédésére irányulnak, és amelyeket az érintett ágazati szereplőknek be kell tartaniuk” – mondta Piszker György, a Kontron Hungary rendszer architect vezetője.
Milyen cégeket érint a NIS2?
A kiemelten kockázatosnak vélt ágazatok:
– az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén),
– a közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés),
– az egészségügy,
– a vízközmű (ivóvíz és szennyvíz),
– a hírközlési,
– a digitális infrastruktúra (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója),
– a kihelyezett IKT,
– és az űralapú szolgáltatásokkal foglalkozó vállalatok.
A kockázatosnak ítélt szektorok továbbá:
– a postai és futárszolgálatok,
– az élelmiszer előállításával, feldolgozásával és forgalmazásával,
– a hulladékgazdálkodással,
– a vegyszerek előállításával és forgalmazásával,
– a gyártással (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás),
– a digitális szolgáltatással (online piactér),
– és a kutatással foglalkozó cégek.
Feltéve, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkeznek, illetve amennyiben a NIS2 hatálya alá eső szervezet beszállítói, mert akkor szintén NIS2 minősítéssel kell rendelkezniük mérettől és árbevételtől függetlenül.
„Senki nem fogja a cégeket külön értesíteni arról, hogy érintettek. Saját maguknak kell a besorolásukat elvégezni, és önbevallásos alapon a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH) 2024. június 30-ig bejelentkezniük a nevükkel, adószámukkal, TEOR-számaikkal” – magyarázta a szakértő.
A specifikus nemzeti szabályozást 2024 januárjára várták, addigra nem készült el, ezt követően februárra ígérték, de mire végre életbe lép, addig is van teendő.
Mivel kezdjék a felkészülést?
„A jogszabály gyakorlatilag tartalmazni fogja az összes intézkedést, amelynek meg kell felelnie egy kockázatosnak és egy kiemeltem kockázatosnak ítélt szervezetnek is. A törvény kontrollpontokat, kontrollcsoportokat fog meghatározni, ezeket fogja vizsgálni az auditor, aki a vállalatok elektronikus információs rendszereit tekinti majd át. Ez magába foglalja például a céges levelezést, a HR nyilvántartó rendszert, a vállalatirányítási rendszert, egy gyárban a gyártósort vezérlő IT-rendszert – tehát mindent, amiben – nagyon egyszerűen fogalmazva – bitek futkosnak – jellemezte a várható IT-kihívásokat Piszker György.
„Amíg a jogszabály megérkezik, addig is érdemes elkezdeni a cégeknek a belső IT szabályaik, folyamataik áttekintését: megnézni, melyik mit tartalmaz, hogy kapcsolódnak egymáshoz, mikor frissültek. Ezek az első és alapkérdések a helyzetfelmérés során, innen lehet elindulni, és javaslatot tenni arra, melyik szabályzatot milyen mértékben kell kiegészíteni, vagy akár teljesen újra alkotni – ezt teszi majd az auditor is. Ha még nincs, egy információbiztonsági felelőst ki kell jelölni – akár a vállalaton belülről, ha van erre belső erőforrás, akár külsős IT tanácsadót, rendszerintegrátort felkérni. Ő lesz a helyzetfelmérés szakmai vezetője” – részletezte a Kontron szakértője, de hozzátette, meglehetősen komplexek lesznek az elvárások, nem lesz könnyű értelmezni.
Mennyibe kerül ez a cégeknek?
Piszker György szerint a hazai vállalatok kiberbiztonsági felkészültsége nem erős, jelentős hiányok tapasztalhatók a technológiai kontroll és a szabályozás területén egyaránt. Cégmérettől, cégkomplexitástól, a jelenlegi állapottól függ, hogy a felzárkózás mekkora költséget jelent majd egyes szervezetek esetében.
„Az ISO 27001-es kiberbiztonsági minősítés egy jó alap, ami jelentős felkészültséget jelez, de vannak különbségek a két rendszer elvárásai között, tehát azoknak a vállalatoknak is lesz teendőjük, amelyek ezzel már rendelkeznek” – fűzte hozzá.
Mit kell teljesíteni?
A fókuszban a kiberbiztonsági kockázatelemzés és az információbiztonság áll, az üzletmenet folytonossága, a katasztrófahelyreállítás, az ellátási láncok biztonsága, a titkosítási megoldások alkalmazása, a hitelesítési megoldások használata, a kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása. „De nem elég, ha például kész egy szabályzat, és betesszük a fiókba, mert az auditor azt fogja kérni, hogy mutassák meg a hozzá tartozó hibajegyeket is, amelyek eddig születtek. Hiszen, ha egy folyamat, egy szabályozás működik, vannak hozzá kapcsolódó hibajegyek – minimum egy” – figyelmeztet a Kontron.
Ezen túl a szervezeteknek bejelentési kötelezettségük van a nemzeti hatóságok felé a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről. Miután a cégek a támadásokat eddig inkább elhallgatták, mint bejelentették volna, Európában a jelenlegi kiberbiztonsági helyzet nem transzparens – az USA-ban már igen, ott a vállalatokat kötelezték arra, hogy jelezzék ezeket. Miután a cégeket nálunk is rá fogják kényszeríteni arra, hogy kivizsgálják az támadási ügyeket házon belül, és megoldást is találjanak arra, miként fogják elkerülni a jövőben ezeket, így a támadások számának lassan csökkennie kell.
Eltiltható akár a cégvezető is
Ha a NIS2 irányelveknek az auditor által biztosított „javítási” idő leteltével sem felel meg egy cég, a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése. „Ugyanúgy, mint egy gazdasági bűncselekmény esetén, hiszen az ügyvezető a végső felelős azért, hogy a szervezete a NIS2 direktívának megfeleljen. Ha erről nem vagy nem megfelelő minőségben gondoskodott, akkor a hatóság kijelölhet helyette egy felügyeleti biztost, őt pedig eltilthatja, felfüggesztheti. De az is bőven elegendő lesz, ha nem kapja meg a minősítést, és kiesik abból a szállítói körből, ahol ez elvárttá válik” – fogalmazott Piszker György, a Kontron szakértője.
ComputerWorld.hu
