2023 május 23-án lépett hatályba a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, amelynek alapja az EU által 2022 december 27-én kihirdetett ún. NIS2 Irányelv. Az Irányelvet – egyelőre részlegesen – implementáló jogszabály célja a vállalatok informatikai biztonsági megfelelésének előírása, illetve az azt tanúsító, valamint ellenőrző hatósági rendszer kialakítása. Az Irányelv teljes implementációját 2024 október 17-ig kell végrehajtaniuk a tagállamoknak.

A téma különösen aktuális, hiszen a kiberbűnözők által elkövetett kibertámadások egyre gyakoribbak, kifinomultabbak és jövedelmezőbbek lettek, amelyre legszembetűnőbb példa a széleskörű és sikeres zsarolóvírus támadások a közelmúltban, amelynek több ügyfelünk is áldozatul esett. Ráadásul a koronavírus pandémia szinte minden ágazatban felgyorsította a digitalizációt, de ez új fenyegetésekkel, több biztonsági incidenssel, valamint új függőségekkel jár. Továbbá az orosz-ukrán háború a kibertérben is zajlik, ami szintén sok gyenge pontra világított rá az EU-n belül is.

Ha egy vállalkozás nem felel meg az Irányelvben foglalt előírásoknak, a kiszabható bírság maximuma 10 000 000 EUR vagy a szervezet globális éves forgalmának legfeljebb 2%-a, attól függően, hogy melyik összeg a magasabb. Fontos kiemelni, hogy az Irányelv alapján akár az ügyvezetés is felelőssége is megállapítható és az ügyvezető súlyos esetben, akár az ügyvezetéstől el is tiltható, ha az érintett szervezet nem felel meg a NIS2-ben előírt kiberbiztonsági követelményeknek.

Kikre vonatkozik a NIS2?

Elsősorban közép- és nagyvállalkozásokra, konkrétabban a legalább 50 főt foglalkoztató vagy nettó 10 millió EUR értéket elérő éves árbevétellel rendelkező szervezetekre.

Mérettől függetlenül kell alkalmazni a NIS2 előírásait különösen a következő kiemelt ágazatokban működő vállalkozásokat:

• energetika (villamosenergia, távfűtés és -hűtés, olaj, gáz, hidrogén)
• szállítmányozás
• banki és pénzügyi szolgálatatások és az azokat biztosító infrastruktúrát üzemeltetők
• egészségügy
• ivóvíz szolgáltatás
• szennyvíz
• digitális infrastruktúra szolgáltatók (pl. internet szolgáltatók, DNS-szolgáltatók, felhőszolgáltatók)

Mi a teendő?

A NIS2 megfelelést a hatóság által akkreditált szervezetek tanúsíthatják és auditálhatják, a hatóság pedig ellenőrizheti. Akár a tanúsításra, akár az ellenőrzésre azonban érdemes házon belül felkészülni elsősorban a következőkkel:

• Információbiztonsági irányítási rendszer (IBIR) bevezetése, vagy a létező rendszer felülvizsgálata kockázatelemzés alapján;
• Proaktív védelmi intézkedések bevezetése (incidensek megelőzése, kezelése);
• Eseménykezelési protokoll bevezetése az esemény bekövetkezése esetén a hatások csökkentése érdekében;
• Üzletmenet folytonosság menedzsment bevezetése (BCM), vagy a létező rendszer felülvizsgálata ( tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés);
• Információtechnológiai biztonsági felelős (IBF) kinevezése;
• Személyes adatokat is érintő incidens esetére a GDPR kapcsolódási pontok azonosítása és az adatkezelési dokumentáció (pl. eljárásrend) szükség szerinti kiegészítése;
• Intézkedések az ellátási lánc biztonsága (ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat) érdekében.