NIS2 kiberbiztonsági szabályozás - jobb későn, mint soha
De vajon honnan lehet tudni, mely cégek érintettek?
A Szabályozott Tevékenységek Felügyeleti Hatóságával (SZTFH) szakmai együttműködésben a Gábor Dénes Egyetem által létrehozott ingyenes érintettségi kérdőív kitöltésével minden vállalkozás megtudhatja, hogy a NIS2 irányelv hatálya alá esik-e, sőt, beazonosítás után a nis2.gde.hu weboldalon hasznos ingyenes információs anyagok is elérhetők.
Kétfajta vállalat létezik: az egyiket már meghekkelték, a másikat meg fogják hekkelni. A kiberbűnözés mértéke folyamatosan nő, az SZTFH adatai alapján csak 2023-ban Magyarországon tizenháromezer ember vált kiberbűnözők áldozatává, mellyel 30 milliárd forint anyagi kár keletkezett.
A 2016-ban megalkotott Network and Information Systems (NIS) uniós irányelv célja, hogy a tagállamok védettebbek legyenek a kiberbiztonsági incidensekkel szemben és hatékonyabban reagálhassanak azokra. A NIS2 irányelv kijelöli a kritikus fontosságú szektorokat, mint például az energia-, víz-, közlekedési- és egészségügyi szektort, és előírja a cégek kötelezettségeit, tennivalóit.
Magyarország uniós szinten élen jár a kiberbűnözők elleni védekezésben, az Országgyűlés már 2023 májusában elfogadta a kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló törvényt, amely 2024-re három fontos időpontot határoz meg a 2.500-3.000-ra becsült érintett magyar vállalkozás és intézmény számára:
Első időpont: 2024. június 30-ig minden érintett szervezetnek fel kellett mérnie, hogy érintett-e, melyik kockázati csoportba tartozik, ki kellett jelölnie az elektronikus információs rendszerek biztonságáért felelő személyt, valamint be kellett jelentkeznie (nyilvántartásba vétel) a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) rendszerébe.
„Tisztában kell lenni azzal is, hogy a cégek nem kapnak hivatalos értesítést, hogy a NIS2 szabályozás hatálya alá esnek-e, minden vállalkozásnak magának kell lefuttatnia egy önellenőrzési folyamatot. A határidők betartásáért, a nyilvántartásba vételi kérelem benyújtásáért az érintett vállalkozások első számú vezetői személy szerint felelősek, és ezt a felelősséget másra átruházni nem lehet!” – mondta el Détári István, a Gábor Dénes Egyetem rektorhelyettese.
Jobb később, mint soha, ugyanis míg a késve beadott jelentkezés esetén a bírság mértéke 50-150 ezer forint, a regisztrációs kérelem elmulasztása esetén a bírság már minimum 1 millió de akár a 150 millió forint is lehet!
Második időpont: Október 18-ig – attól függően, hogy adott cég melyik kategóriába tartozik – a célzott intézkedési terveket is elvár a szabályozás. A védelmi intézkedések a szervezet egészét és az elektronikus információs rendszerek (pl. levelező rendszer, webszerver, adattároló szakrendszer) összességét érintik, és a munkavállalókat is fel kell készíteni az információbiztonsági rendszerek használatára.
Lépjen időben! Mivel a büntetéseket meghatározó rendelet csak október 18-án lép hatályba, addig feltehetően nem kell számolni a bírságokkal, ennek ellenére nem érdemes halogatni a bejelentkezést.
A vállalkozásoknak mind regisztrációban, mind információkérésben biztos segítség a nis2.gde.hu weboldal, ahol kitölthetik az érintettségi kérdőívet, így megtudhatják, van-e bejelentkezési kötelezettségük. Amennyiben az adott cég érintett, a SZTFH bejelentkezés is elindítható innen, sőt , online tájékoztató és felkészítő anyagok is találhatók, melyet az informatikai oktatásban több mint 30 éve élen járó, az információbiztonságot kiemelt fontosságú témaként kezelő Gábor Dénes Egyetem oktatói és szakmai partnereinek kiberbiztonsági szakértői a kiberbiztonság felügyeletét hazánkban ellátó Szabályozott Tevékenységek Felügyeleti Hatóságával együttműködésben dolgoztak ki.
Mert a kiberbiztonság mindannyiunk közös érdeke.
