Egyre inkább foglalkoztatja a vállalatokat az Európai Unióban, hogy miként fogja érinteni őket a NIS2 felülvizsgált kibervédelmi irányelv, illetve a pénzügyi szektor védelmének erősítését célzó rendelet, a DORA (Digital Operational Resilience Act). A NIS2 esetében a részletek még pontosításra várnak, a tagországok pedig csak később ültetik át a szabványokat a nemzeti jogba, miközben az EU-ban tevékenykedő cégeknek komoly munkát kell belefektetniük, hogy eleget tegyenek a jogszabályoknak.
Májusban rekordösszegű, 1,2 milliárd eurós (448,90 milliárd forint) bírságot kapott a Facebook-tulajdonos Meta az uniótól, miután nem tett eleget a szervezet arra vonatkozó kérésnek, hogy ne küldje át az európai polgárok adatait az óceánon túlra, amelyekhez ily módon az amerikai titkosszolgálatok is hozzáférhetnek.
A döntés értelmében a közösségi oldalnak öt hónapja van, hogy felhagyjon a jogsértő adattovábbítással, fél év után pedig be kell szüntetnie az EU-s polgárok adatainak tárolását az Egyesült Államokban.
Az IT Governance által közzétett jelentés szerint csak az elmúlt hónapban 98 adatsértést regisztráltak, amely több mint 98 millió személyes adat védelmét érintette. A Luxottica Group SpA – amely világelső a szemüvegkeretek gyártásában és forgalmazásában – végre eljutott oda, hogy elismerje a súlyos kibertámadás tényét. Az olasz cég neve elsősorban onnan lehet ismerős, hogy a többi között a Ray Ban, Persol, Ferragamo, Chanel, Versace, Prada, Vogue, Armani és D&G márkájú napszemüvegek forgalmazója. A zsaroló azzal fenyegetőzött, hogy ha nem fizetnek neki, eladja a társasághoz köthető 300 millió adatot tartalmazó listát. Később a hekkerek a Luxottica olaszországi és kínai gyárát vették célba olyannyira sikeresen, hogy le is kellett állítani a termelést.
Egyes szakértők úgy vélik, a jogsértések során több mint 77 millió e-mail-címet szerezhettek meg a csalók, így a nyomozásba az FBI-t is be kellett vonni.
Az IT Governance jelentése egyébként a Teslát is név szerint említi, mivel legalább 100 ezer egykori és jelenlegi dolgozója személyes adatait szerezték meg bűnözők, míg a portugálok azért kerültek képbe, mert az ottani kormány mégsem a Huaweijel képzeli el a közös jövőt. Eredetileg ugyanis a kínai konszern készülékeit használták volna az 5G-s mobil távközlési hálózatok bővítéséhez.
A technológiai fejlődés következtében világszerte felgyorsult a digitalizáció üteme a közelmúltban, ami tovább növeli a bűncselekmények lehetőségét az online térben, ennek hatására pedig ugrásszerűen megnőtt a kibertámadások száma. Ezért az Európai Unióban új jogszabályokkal cserélik le a korábbi irányelveket, hogy erősítsék a kibervédelmet. Ezek hasznos iránymutatást nyújtanak az érintett vállalatok számára a biztonság hatékony erősítésében, egyben további kötelezettségeket rónak rájuk.
Naponta egy magyar család eljátssza a vagyonát az internetes csalások miattLeginkább saját magunktól kell megvédeni minket, mert bedőlünk a kiberbűnözőknek, és mi utaljuk át a pénzünket, vagy adjuk meg a banki adatainkat. |
A NIS2 2023. január 16-án lépett hatályba, az EU tagállamainak pedig 2024. október 17-ig kell átültetniük a benne foglalt intézkedéseket a nemzeti jogba. A direktíva célja, hogy erősítse a kritikus infrastruktúrák kibervédelmét, és harmonizálja a különböző tagállamok kiberbiztonsági követelményeit, illetve az intézkedések végrehajtását. A NIS2 a kritikus szektorokban tevékenykedő közepes méretű és nagyvállalatokra vonatkozik, beleértve
- a közlekedési és energiaszektort,
- a banki és pénzügyi ágazatot,
- az egészségügyet, továbbá
- a digitális infrastruktúra területeit és a közigazgatást.
A DORA-rendelet 2023. január 16-tól van érvénybe, ám csak 2025. január 17-től kell alkalmazni, és a pénzügyi szektor ellenállóságát kívánja erősíteni a kibertámadásokkal szemben egy egységes követelményrendszeren keresztül. Húszféle pénzügyi szervezetre terjed ki, illetve
- a külső IT-kiszolgálóikra,
- beleértve a felhő-, digitális és adatszolgáltatást,
- a szoftverfejlesztést, valamint
- a támogatást (support) biztosító cégeket.
„Fontos figyelembe venni, hogy aki már most jól működő kibervédelmi rendszert épít ki, az jobban felkészül az új szabályozásokra, amelyek a következő években válnak számukra kötelező érvényűvé. A vállalatok ezzel nem csupán a szabályozásokat előzik meg, de a kiberbűnözőket is. Elemi érdekük már most foglalkozni a kérdéssel, folyamatosan napirenden tartani a témát és nyomon követni a legújabb fejlesztéseket, fejleményeket és trendeket. Nem kell megvárniuk, amíg törvénybe iktatják a jó gyakorlatokat. Az ugyanis a legjobb gyakorlat, ha szabályozás nélkül is gondoskodnak az erős védelemről” – foglalta össze Csendes Balázs, a BlueVoyant kelet-közép-európai és közel-keleti térségekért felelős értékesítési igazgatója.