NIS2 Irányelv a kiberbiztonságról
A téma különösen aktuális, hiszen a kiberbűnözők által elkövetett kibertámadások egyre gyakoribbak, kifinomultabbak és jövedelmezőbbek lettek, amelyre legszembetűnőbb példa a széleskörű és sikeres zsarolóvírus támadások a közelmúltban, amelynek több ügyfelünk is áldozatul esett. Ráadásul a koronavírus pandémia szinte minden ágazatban felgyorsította a digitalizációt, de ez új fenyegetésekkel, több biztonsági incidenssel, valamint új függőségekkel jár. Továbbá az orosz-ukrán háború a kibertérben is zajlik, ami szintén sok gyenge pontra világított rá az EU-n belül is.
Ha egy vállalkozás nem felel meg az Irányelvben foglalt előírásoknak, a kiszabható bírság maximuma 10 000 000 EUR vagy a szervezet globális éves forgalmának legfeljebb 2%-a, attól függően, hogy melyik összeg a magasabb. Fontos kiemelni, hogy az Irányelv alapján akár az ügyvezetés is felelőssége is megállapítható és az ügyvezető súlyos esetben, akár az ügyvezetéstől el is tiltható, ha az érintett szervezet nem felel meg a NIS2-ben előírt kiberbiztonsági követelményeknek.
Elsősorban közép- és nagyvállalkozásokra, konkrétabban a legalább 50 főt foglalkoztató vagy nettó 10 millió EUR értéket elérő éves árbevétellel rendelkező szervezetekre.
Mérettől függetlenül kell alkalmazni a NIS2 előírásait különösen a következő kiemelt ágazatokban működő vállalkozásokat:
- energetika (villamosenergia, távfűtés és -hűtés, olaj, gáz, hidrogén)
- szállítmányozás
- banki és pénzügyi szolgálatatások és az azokat biztosító infrastruktúrát üzemeltetők
- egészségügy
- ivóvíz szolgáltatás
- szennyvíz
- digitális infrastruktúra szolgáltatók (pl. internet szolgáltatók, DNS-szolgáltatók, felhőszolgáltatók)
Mi a teendő?
A NIS2 megfelelést a hatóság által akkreditált szervezetek tanúsíthatják és auditálhatják, a hatóság pedig ellenőrizheti. Akár a tanúsításra, akár az ellenőrzésre azonban érdemes házon belül felkészülni elsősorban a következőkkel:
- Információbiztonsági irányítási rendszer (IBIR) bevezetése, vagy a létező rendszer felülvizsgálata kockázatelemzés alapján;
- Proaktív védelmi intézkedések bevezetése (incidensek megelőzése, kezelése);
- Eseménykezelési protokoll bevezetése az esemény bekövetkezése esetén a hatások csökkentése érdekében;
- Üzletmenet folytonosság menedzsment bevezetése (BCM), vagy a létező rendszer felülvizsgálata ( tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés);
- Információtechnológiai biztonsági felelős (IBF) kinevezése;
- Személyes adatokat is érintő incidens esetére a GDPR kapcsolódási pontok azonosítása és az adatkezelési dokumentáció (pl. eljárásrend) szükség szerinti kiegészítése;
- Intézkedések az ellátási lánc biztonsága (ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat) érdekében.
