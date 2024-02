Az Kiberbiztonsági Ügynöksége (Enisa) 2022-ben listázta azokat a fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadják az online térben: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek a vírusok, a trójai- és a kémprogramok. A túlterheléses támadások szintén napi szereplői a híreknek, illetve a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva. „Az Európai Unió új kiberbiztonsági irányelve, azaz a NIS2 olyan minimumszabályokat fogalmaz meg, amelyek ezen támadások kivédésére irányulnak, és amelyeket az érintett ágazati szereplőknek be kell tartaniuk” – mondta a Világgazdaságnak Piszker György, a Kontron Hungary Kft. informatikai szaktanácsadó cég rendszer architect vezetője.

Milyen cégeket érint a NIS2?

A kiemelten kockázatosnak vélt ágazatok

az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén),

a közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés),

az egészségügy,

a vízközmű (ivóvíz és szennyvíz),

a hírközlési,

a digitális infrastruktúra (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója),

a kihelyezett IKT,

és az űralapú szolgáltatásokkal foglalkozó vállalatok.

A kockázatosnak ítélt szektorok pedig

a postai és futárszolgálatok,

az élelmiszer előállításával, feldolgozásával és forgalmazásával,

a hulladékgazdálkodással,

a vegyszerek előállításával és forgalmazásával,

a gyártással (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás),

a digitális szolgáltatással (online piactér),

és a kutatással foglalkozó cégek.

Feltéve, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkeznek, illetve amennyiben a NIS2 hatálya alá eső szervezet beszállítói, mert akkor szintén NIS2 minősítéssel kell rendelkezniük mérettől és árbevételtől függetlenül.

Senki nem fogja a cégeket külön értesíteni arról, hogy érintettek

„Saját maguknak kell a besorolásukat elvégezni, és önbevallásos alapon a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH) 2024. június 30-ig bejelentkezniük a nevükkel, adószámukkal, TEOR-számaikkal” – magyarázta a szakértő, hozzátéve, a specifikus nemzeti szabályozást 2024 januárjára várták, egyelőre nem készült el, jelenleg februárra ígérik, de addig is van teendő.

Mivel kezdjék a felkészülést?

„A jogszabály gyakorlatilag tartalmazni fogja az összes intézkedést, amelynek meg kell felelnie egy kockázatosnak és egy kiemeltem kockázatosnak ítélt szervezetnek is. A törvény kontrollpontokat, kontrollcsoportokat fog meghatározni, ezeket fogja vizsgálni az auditor, aki a vállalatok elektronikus információs rendszereit tekinti majd át. Ez magába foglalja például a céges levelezést, a HR nyilvántartó rendszert, a vállalatirányítási rendszert, egy gyárban a gyártósort vezérlő IT-rendszert,

tehát mindent, amiben – nagyon egyszerűen fogalmazva – bitek futkosnak

– jellemezte a várható IT-kihívásokat Piszker György.

„Amíg a jogszabály megérkezik, addig is érdemes elkezdeni a cégeknek a belső IT szabályaik, folyamataik áttekintését: megnézni, melyik mit tartalmaz, hogy kapcsolódnak egymáshoz, mikor frissültek. Ezek az első és alapkérdések a helyzetfelmérés során, innen lehet elindulni, és javaslatot tenni arra, melyik szabályzatot milyen mértékben kell kiegészíteni, vagy akár teljesen újra alkotni – ezt teszi majd az auditor is. Ha még nincs, egy információbiztonsági felelőst ki kell jelölni – akár a vállalaton belülről, ha van erre belső erőforrás, akár külsős IT tanácsadót, rendszerintegrátort felkérni. Ő lesz a helyzetfelmérés szakmai vezetője” – részletezte a Kontron szakértője, de hozzátette, meglehetősen komplexek lesznek az elvárások, nem lesz könnyű az értelmezésük.

Mennyibe kerül ez a cégeknek?

Piszker György szerint a hazai vállalatok kiberbiztonsági felkészültsége nem erős, jelentős hiányok tapasztalhatók a technológiai kontroll és a szabályozás területén egyaránt. Cégmérettől, cégkomplexitástól, a jelenlegi állapottól függ, hogy a felzárkózás mekkora költséget jelent majd egyes szervezetek esetében.

„Az IZO 27001-es kiberbiztonsági minősítés egy jó alap, ami jelentős felkészültséget jelez, de vannak különbségek a két rendszer elvárásai között, tehát azoknak a vállalatoknak is lesz teendőjük, amelyek ezzel már rendelkeznek” – fűzte hozzá a szakember.

Mit kell teljesíteni?

A fókuszban a kiberbiztonsági kockázatelemzés és az információbiztonság áll, az üzletmenet folytonossága, a katasztrófahelyreállítás, az ellátási láncok biztonsága, a titkosítási megoldások alkalmazása, a hitelesítési megoldások használata, a kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása.

„De nem elég, ha például kész egy szabályzat, és betesszük a fiókba, mert az auditor azt fogja kérni, hogy mutassák meg a hozzá tartozó hibajegyeket is, amelyek eddig születtek. Hiszen, ha egy folyamat, egy szabályozás működik, vannak hozzá kapcsolódó hibajegyek – minimum egy” – figyelmeztetett Piszker György.

Ezen túl a szervezeteknek bejelentési kötelezettségük van a nemzeti hatóságok felé a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.

Miután a cégek a támadásokat eddig inkább elhallgatták, mint bejelentették volna, Európában a jelenlegi kiberbiztonsági helyzet nem transzparens

– az USA-ban már igen, ott a vállalatokat kötelezték arra, hogy jelezzék ezeket. Miután a társaságokat nálunk is rá fogják kényszeríteni arra, hogy kivizsgálják az támadási ügyeket házon belül, és megoldást is találjanak arra, miként fogják elkerülni a jövőben, így a támadások számának lassan csökkenni kell.

Eltiltható akár a cégvezető is

Ha a NIS2 irányelveknek az auditor által biztosított „javítási” idő leteltével sem felel meg egy cég, a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.

Ugyanúgy, mint egy gazdasági bűncselekmény esetén,

hiszen az ügyvezető a végső felelős azért, hogy a szervezete a NIS2 direktívának megfeleljen. Ha erről nem vagy nem megfelelő minőségben gondoskodott, akkor a hatóság kijelölhet helyette egy felügyeleti biztost, őt pedig eltilthatja, felfüggesztheti. De az is bőven elegendő lesz, ha nem kapja meg a minősítést, és kiesik abból a szállítói körből, ahol ez elvárttá válik” – fogalmazott Piszker György.