Elérkezett az első határidő az Európai Unió tavaly elfogadott NIS2 kibervédelmi rendszerének bevezetésében. Az irányelvet olyan vállalatoknak, köztük elektronikus kereskedelemmel (is) foglalkozó cégeknek kell alkalmazniuk, amelyek uniós szinten középvállalatnak minősülnek.
A 2023. évi XXIII. törvény alapján minden, olyan kis és középvállalatnak, amely méreténél és tevékenységénél fogva a törvény hatálya alá tartozik, 2024. június 30-áig be kell jelentkeznie az illetékes hatósághoz. Ez a száraz mondat jelzi, hogy elindult az EU NIS2 kibervédelmi rendszerének élesítése.
A 2023-ban hatályba lépett irányelv számos piaci szektor nagyobb szereplőitől megköveteli, hogy vegyék komolyan az informatikai biztonsági kockázatokat és vezessék be azokat eljárásokat, amelyekkel megelőzhetők vagy legalább kezelhetők az internetes támadások – írtuk korábban a Kosárértéken.
Az érintett vállalatoknak 2024. december 31-éig teljesíteniük kell a NIS2-ben foglalt követelményeket. Az online kereskedelem területén az áruszállítással is foglalkozó, a digitális infrastruktúrát is üzemeltető cégekre, valamint a postai és futárszolgáltatókra, a vegyszerek, az élelmiszerek kereskedésével és az online piacterek üzemeltetésével foglalkozó vállalatokra vonatkozhat a rendelet.
A fontos, hogy mekkora a cég
A feltételes módot az magyarázza, hogy van egy másik feltétel is. Nevezetesen azokra a vállalatokra vonatkozik az uniós elvárás, amelyek legalább ötven főt foglalkoztatnak vagy árbevételük meghaladja a tízmillió eurót (négymilliárd forint). Más szóval EU-s mércével a középvállalatok közé tartoznak.
Magyarországon az ezzel kapcsolatban napvilágot látott 2022-es ranglista, amit a Heol.hu ismertetett, arról tanúskodik, hogy főként nagy áruházláncok online részlegei, illetve a legnagyobb piacterek tartozhatnak ebbe a vállalati körbe. A 15-ös toplista a következőképpen alakult:
- eMAG
- Alza
- MediaMarkt
- Ikea
- Kifli.hu
- Telekom
- Euronics
- Tesco
- AQUA
- iPon
- Libri-Bookline
- Pepita
- Mall.hu
- Decathlon
- Auchan
A Cybersenseit informatikai tanácsadó cég leírja, milyen lépéseket kell megtenniük az érintett vállalatoknak az év végéig. Az említett első határidőidőig nem csupán be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH), hanem ki kell jelölniük információbiztonsági felelősüket is.
A következő körben, október 18-áig el kell indítaniuk védelmi intézkedéseiket és be kell fizetniük a felügyeleti díjat. Eközben megtörténik biztonsági osztályba sorolásuk. Végül december 31-ig meg kell kötniük az első kibervédelmi auditjukra vonatkozó szerződést az egyik erre jogosult auditorral.
Részletesen leírják az elvárásokat
Korábbi cikkünkből kiderül, hogy a NIS2 pontokba szedve meghatározza, mi várható el a kibervédelem terén. Az uniós előírás elvárja, hogy az érintett szervezetek
- ellenőrizzék, hogy beszállítóik is rendelkezzenek megfelelő kibervédelemmel,
- belső képzésekkel és szimulációkkal ismertessék munkatársakkal a kibervédelmi veszélyeket,
- derítsék fel és orvosolják IT-rendszereik biztonsági kockázatait,
- jelentsék be a rendszereiket érő kibertámadásokat,
- többlépcsős azonosítást használjanak,
- rendelkezzenek tervekkel a támadások elhárítására, a kárenyhítésre,
- dolgozzanak ki biztonsági protokollokat az érzékeny adatok kezelésére.
Zala Mihály az EY informatikai tanácsadó cég egyik vezetője elmondta, hogy éves árbevételük akár két százalékát is kifizethetik büntetésként azok a cégek, amelyek 2025-ig nem készülnek fel az online betörési kísérletek megakadályozására. Emellett a hanyagnak minősülő vállalatok vezetőit eltilthatják feladatkörük gyakorlásától.
Tisztult a kép a NIS2 auditorokkal kapcsolatban
A Magyar Közlöny 68. számában két olyan rendelet jelent meg, amely a NIS2 szabályozáshoz kapcsolódik – számolt be a legfrissebb fejleményről az ITBusiness hírportál. Az egyik az auditorokkal szemben támasztott követelményekről, a másik az információs rendszerek biztonsági osztályba sorolásáról szól. Az első rendeletet az SZTFH elnöke jegyzi. E szerint minden auditor cégnek rendelkeznie kell legalább két meghatározott felsőfokú képesítéssel rendelkező szakértővel, információbiztonsági szabályzattal, tanúsított információbiztonsági irányítási rendszerrel, a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával és törlési eljárásrenddel.
Az „alap” biztonsági osztály esetén legalább két szakértőre, minimum 15 millió forint értékű felelősségbiztosításra és öt auditálási referenciára van szükség. A „jelentős” biztonsági osztály esetén tíz szakértő, 50 millió forint értékű felelősségbiztosítás és 15 referencia a minimum.
A másik jogszabály a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szóló rendelet. Ezt a Miniszterelnöki Kabinetirodát vezető miniszter adta ki. Az informatikai szakmában mindenki tűkön ülve várta ezt a rendeletet, ugyanis nélküle nem lehet feltárni a hiányosságokat, illetve kidolgozni és megvalósítani az intézkedési terveket.