Hamarosan szigorú céges kiberbiztonsági előírások jönnek
További Külföld cikkek
- Az első zuhanást még túlélte a szlovéniai Alpokban meghalt magyar túrázó
- Izrael rakétatámadást hajtott végre Jemenben, kis híján a WHO vezetőjét is eltalálták
- Sikeres csúcstámadás után eltűnt két olasz hegymászó, napok óta keresik őket
- Felfoghatatlan összeget lehet nyerni egy amerikai lottón
- Legalább hárman meghaltak egy buszbalesetben Norvégiában
Akár éves árbevételük 2 százalékát is kifizethetik büntetésre azok a cégek, amelyek 2025-re nem készülnek fel a kiberbiztonsági incidensek kezelésére. A szabálysértő cégek vezetőjét el is tilthatják, a büntetés a beszállítókra is vonatkozik majd.
A cégek elsődleges feladata most a jogszabályi változások nyomon követése. Ezt követően jövőre a kötelező audithoz IT-rendszer integrátor segítségével tudnak felkészülni, amelybe beletartozik a jelenlegi helyzet felmérése, szabályzatok frissítése, elkészítése, illetve az esetlegesen nem teljes körű biztonsági megoldások kiegészítése vagy pótlása
– jellemezte a jövő évre várható IT-kihívásokat Piszker György, a Kontron Hungary rendszer architect vezetője.
Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) tavaly listázta azokat fenyegetéseket, amelyekkel a cégeket leginkább támadták az utóbbi időkben. Mint írták, a legaggasztóbb eredmények a zsarolóprogramokkal kapcsolatban születtek, ezeket követik a rosszindulatú programok, majd a túlterheléses támadások.
Az új szabályozás ezen programok működését lehetetlenítené el.
Ezek az érintett ágazatok
A cég szerint a kiberbiztonsági előírások az 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkező cégekre vonatkoznak majd. Továbbá amennyiben egy szervezet NIS2 hatálya alá eső szervezet beszállítója, annak szintén NIS2 minősítéssel kell rendelkeznie.
A kiemelt kritikusságú ágazatok
- az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés),
- egészségügy,
- vízközmű (ivóvíz és szennyvíz),
- hírközlési szolgáltatások,
- digitális infrastruktúra-szolgáltatások (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója),
- kihelyezett IKT-szolgáltatások
- és az űralapú szolgáltatások.
Az alapkritikusságú ágazatok pedig a
- postai és futárszolgálatok,
- élelmiszer előállítása, feldolgozása és forgalmazása,
- hulladékgazdálkodás,
- vegyszerek előállítása és forgalmazása, gyártása (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mészés gipszgyártás),
- digitális szolgáltatók (pl. online piactér)
- és a kutatás.
Több követelménynek is meg kell felelni
A közlemény szerint a szervezeteknek a NIS2 irányelvnek való megfelelés érdekében kockázatkezelési és a kockázatokkal arányos kiberbiztonsági intézkedéseket kell alkalmazni.
Ezek alapján a cégeknek hamarosan ügyelniük kell többek között a kiberbiztonsági kockázat elemzésére és az információbiztonságra, az üzletmenet folytonosságra, katasztrófa-helyreállításra, az ellátási láncok biztonságára, kiberhigéniai gyakorlatokra, titkosítási megoldások alkalmazására, hitelesítési megoldások használatára, kommunikációs csatornák (szöveg, hang, videó) biztosítására, illetve a szervezeten belüli kiberbiztonsági oktatások megtartására.
Ezenkívül a szervezeteknek bejelentési kötelezettségük lesz a nemzeti hatóságok felé a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.
Akár a cégvezető is eltiltható
A vállalat hangsúlyozza, egy cég szabályszegése esetén akár eltiltható akár annak vezetője is, illetve a kiemelt kritikusságú ágazatok 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírságot is kaphatnak.
Az alap kritikusságú szervezetekre szintén vonatkozik a cégvezetői eltiltás, továbbá rájuk 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság vonatkozik.
A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek 2024. június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható határideje 2024. december 31., és a szervezeteknek 2025. december 31-ig a NIS2 szabályozásnak valómegfelelést igazoló auditot kell lefolytatniuk.