Elérkezett az első határidő az Európai Unió tavaly elfogadott NIS2 kibervédelmi rendszerének bevezetésében. Az irányelvet olyan vállalatoknak, köztük elektronikus kereskedelemmel (is) foglalkozó cégeknek kell alkalmazniuk, amelyek uniós szinten középvállalatnak minősülnek.

A 2023. évi XXIII. törvény alapján minden, olyan kis és középvállalatnak, amely méreténél és tevékenységénél fogva a törvény hatálya alá tartozik, 2024. június 30-áig be kell jelentkeznie az illetékes hatósághoz. Ez a száraz mondat jelzi, hogy elindult az EU NIS2 kibervédelmi rendszerének élesítése.

Ez is érdekelhet

A 2023-ban hatályba lépett irányelv számos piaci szektor nagyobb szereplőitől megköveteli, hogy vegyék komolyan az informatikai biztonsági kockázatokat és vezessék be azokat eljárásokat, amelyekkel megelőzhetők vagy legalább kezelhetők az internetes támadások – írtuk korábban a Kosárértéken.

Az érintett vállalatoknak 2024. december 31-éig teljesíteniük kell a NIS2-ben foglalt követelményeket. Az online kereskedelem területén az áruszállítással is foglalkozó, a digitális infrastruktúrát is üzemeltető cégekre, valamint a postai és futárszolgáltatókra, a vegyszerek, az élelmiszerek kereskedésével és az online piacterek üzemeltetésével foglalkozó vállalatokra vonatkozhat a rendelet.

A fontos, hogy mekkora a cég

A feltételes módot az magyarázza, hogy van egy másik feltétel is. Nevezetesen azokra a vállalatokra vonatkozik az uniós elvárás, amelyek legalább ötven főt foglalkoztatnak vagy árbevételük meghaladja a tízmillió eurót (négymilliárd forint). Más szóval EU-s mércével a középvállalatok közé tartoznak.

Magyarországon az ezzel kapcsolatban napvilágot látott 2022-es ranglista, amit a Heol.hu ismertetett, arról tanúskodik, hogy főként nagy áruházláncok online részlegei, illetve a legnagyobb piacterek tartozhatnak ebbe a vállalati körbe. A 15-ös toplista a következőképpen alakult:

E-ker hírszemle
  1. eMAG
  2. Alza
  3. MediaMarkt
  4. Ikea
  5. Kifli.hu
  6. Telekom
  7. Euronics
  8. Tesco
  9. AQUA
  10. iPon
  11. Libri-Bookline
  12. Pepita
  13. Mall.hu
  14. Decathlon
  15. Auchan

A Cybersenseit informatikai tanácsadó cég leírja, milyen lépéseket kell megtenniük az érintett vállalatoknak az év végéig. Az említett első határidőidőig nem csupán be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH), hanem ki kell jelölniük információbiztonsági felelősüket is.

A következő körben, október 18-áig el kell indítaniuk védelmi intézkedéseiket és be kell fizetniük a felügyeleti díjat. Eközben megtörténik biztonsági osztályba sorolásuk. Végül december 31-ig meg kell kötniük az első kibervédelmi auditjukra vonatkozó szerződést az egyik erre jogosult auditorral.

Részletesen leírják az elvárásokat

Korábbi cikkünkből kiderül, hogy a NIS2 pontokba szedve meghatározza, mi várható el a kibervédelem terén. Az uniós előírás elvárja, hogy az érintett szervezetek

  • ellenőrizzék, hogy beszállítóik is rendelkezzenek megfelelő kibervédelemmel,
  • belső képzésekkel és szimulációkkal ismertessék munkatársakkal a kibervédelmi veszélyeket,
  • derítsék fel és orvosolják IT-rendszereik biztonsági kockázatait,
  • jelentsék be a rendszereiket érő kibertámadásokat,
  • többlépcsős azonosítást használjanak,
  • rendelkezzenek tervekkel a támadások elhárítására, a kárenyhítésre,
  • dolgozzanak ki biztonsági protokollokat az érzékeny adatok kezelésére.

Zala Mihály az EY informatikai tanácsadó cég egyik vezetője elmondta, hogy éves árbevételük akár két százalékát is kifizethetik büntetésként azok a cégek, amelyek 2025-ig nem készülnek fel az online betörési kísérletek megakadályozására. Emellett a hanyagnak minősülő vállalatok vezetőit eltilthatják feladatkörük gyakorlásától.

Tisztult a kép a NIS2 auditorokkal kapcsolatban

A Magyar Közlöny 68. számában két olyan rendelet jelent meg, amely a NIS2 szabályozáshoz kapcsolódik – számolt be a legfrissebb fejleményről az ITBusiness hírportál. Az egyik az auditorokkal szemben támasztott követelményekről, a másik az információs rendszerek biztonsági osztályba sorolásáról szól. Az első rendeletet az SZTFH elnöke jegyzi. E szerint minden auditor cégnek rendelkeznie kell legalább két meghatározott felsőfokú képesítéssel rendelkező szakértővel, információbiztonsági szabályzattal, tanúsított információbiztonsági irányítási rendszerrel, a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával és törlési eljárásrenddel.

Az „alap” biztonsági osztály esetén legalább két szakértőre, minimum 15 millió forint értékű felelősségbiztosításra és öt auditálási referenciára van szükség. A „jelentős” biztonsági osztály esetén tíz szakértő, 50 millió forint értékű felelősségbiztosítás és 15 referencia a minimum.

A másik jogszabály a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szóló rendelet. Ezt a Miniszterelnöki Kabinetirodát vezető miniszter adta ki. Az informatikai szakmában mindenki tűkön ülve várta ezt a rendeletet, ugyanis nélküle nem lehet feltárni a hiányosságokat, illetve kidolgozni és megvalósítani az intézkedési terveket.