A 2023-ban hatályba lépett NIS2 névre hallgató EU-s irányelv megköveteli számos piaci szektor nagyobb szereplőitől, hogy vegyék komolyan a kiberbiztonsági kockázatokat és ültessék gyakorlatba azokat az eljárásokat, amikkel megelőzhetők és kezelhetők az efféle támadások. 2024. december 31-ig Magyarországon is teljesíteniük kell az érintett cégeknek a kibervédelmi követelményeket, így jobb, ha mielőbb megismerkedünk az irányelv részleteivel.

Kiket érint a NIS2?

A NIS2 irányelv meghatározza, melyek azok az alapvető vagy fontos szervezetek, amelyekre vonatkoznak a kibervédelmi követelmények.

Ez is érdekelhet

Az alapvető szervezetek körébe tartoznak

  • az energetikai cégek,
  • az utasok és árucikkek szállításával foglalkozó cégek,
  • a banki és egyéb pénzügyi szolgáltatók,
  • a közigazgatási ágazatok,
  • az egészségügyi és űrkutatási szervezetek,
  • az ivó- és szennyvíz szolgáltatók, valamint
  • a digitális infrastruktúra szolgáltatók, mint a doménnév-nyilvántartók, DNS-szolgáltatók, internetszolgáltatók vagy felhőszolgáltatók.

A fontos szervezetek körébe tartoznak

  • a postai és futárszolgáltatások,
  • a hulladékgazdálkodók,
  • az orvostechnikai, számítástechnikai, szállítmányozási stb. eszközök előállításával foglalkozó gyártóipari cégek,
  • a vegyszerek gyártásával, előállításával és/vagy forgalmazásával foglalkozó cégek,
  • élelmiszerek termelésével, feldolgozásával és/vagy forgalmazásával foglalkozó cégek
  • a digitális szolgáltatásokat (nevezetesen keresőmotorokat, online piactereket és közösségimédia-platformokat) üzemeltető szervezetek.

Azoknak a cégeknek kell eleget tenniük a NIS2 kibervédelmi előírásainak, akik a felsorolt kategóriákba tartoznak, valamint vagy legalább 50 főt foglalkoztatnak, vagy meghaladja a 10 millió eurót az éves nettó árbevételük vagy mérlegfőösszegük.

Az e-kereskedelem területén tehát már azok a cégek is érintettek lehetnek, akik vegyszerek (pl. kozmetikumok) és élelmiszerek értékesítésével foglalkoznak és megfelelnek a középvállalkozás európai uniós kritériumainak.

Milyen kibervédelmi követelményeknek kell eleget tenni?

Az EY nemzetközi tanácsadó cég által az MTI-hez eljuttatott közleményben arra figyelmeztet, hogy az érintett vállalkozásoknak június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, valamint 2025 végéig ki kell jelölniük egy auditort, aki elvégzi a szervezet kiberbiztonsági átvilágítását.

Az uniós előírás elvárja, hogy az érintett szervezetek

  • ellenőrizzék, hogy a beszállítóik is megfelelő kibervédelmi gyakorlatokat alkalmaznak,
  • belső képzésekkel és szimulációkkal ismertessék a munkatársakkal a kibervédelmi fogalmakat, veszélyeket és kiberhigiéniai gyakorlatokat,
  • azonosítsák és orvosolják az IT rendszereik biztonsági kockázatait, illetve
  • bejelentsék az esetleges incidenseket.

Az uniós előírás megköveteli továbbá, hogy az érintett vállalatok alkalmazzanak bizonyos alapbiztonsági intézkedéseket a kibertámadások megelőzése érdekében.

E-ker hírszemle

Többek között magukban foglalják ezen intézkedések

  • a kriptográfia és titkosítás alkalmazását,
  • a többlépcsős azonosítás használatát,
  • az incidensek kezelésére szolgáló tervek kidolgozását, valamint
  • fokozott biztonsági protokollok kidolgozását a szenzitív adatokat kezelő és azokhoz hozzáférő munkatársak számára.

Ahogyan Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője kihangsúlyozta:

„éves árbevételük akár két százalékát is kifizethetik büntetésként azok a cégek, ahol 2025-ig nem készülnek fel az online betörési kísérletek megakadályozására, továbbá a cég vezetőit is eltilthatják feladatkörük gyakorlásától.”

Az irányelv teljes magyar nyelvű szövege itt olvasható.

A teljeskörű tájékoztatás céljából idézzük az irányelv 21. cikkét, amely felsorolja, miket kell magukban foglalniuk a védelmi intézkedéseknek.

  1. kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
  2. eseménykezelés;
  3. üzletmenet-folytonosság, például tartalékrendszerek kezelése [backup management], valamint katasztrófa utáni helyreállítás és válságkezelés;
  4. az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
  5. biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
  6. szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
  7. alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
  8. a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
  9. humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
  10. adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.