Az tagállamai közül Magyarország az elsők között ültette át saját jogrendszerébe az NIS2 irányelvet. A korábbi kiberbiztonsági szabályokat az NIS2 irányelv aktualizálta, amelynek segítségével hatékonyabban lehet felvenni a küzdelmet a látványosan növekvő kiberfenyegetésekkel szemben.

Cybersecurity,Concept.,World,Of,Internet,And,Connectivity,,Cybercrime,Prevention,System,
A kibervédelmi irányelv élesedésével komoly feladat és felelősség hárul az érintett társaságokra, ,mivel átfogó szervezeti átvilágításra kell felkészülniük
Fotó: Shutterstock

„Az előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre, valamint minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el" – hívja fel a figyelmet összefoglaló tájékoztatójában az EY.

Minden, ami fontos

Az érintett ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett ICT (Információ és Kommunikáció Technológia) szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, feldolgozás és forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és forgalmazás, valamint a digitális szolgáltatás.  

Hazánkban már az év elején elkezdték nyilvántartásba venni azokat a magyarországi vállalatokat, amelyekre kiterjed a NIS2. Az érinett cégeknek idén június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat. 

A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig elvégzi az első, NIS2 szabályozásnak megfelelő kiberbiztonsági átvilágítást.

„A kibervédelmi irányelv élesedésével komoly feladat és felelősség hárul az érintett társaságokra, mivel átfogó szervezeti átvilágításra kell felkészülniük. Jelenleg közel 2600 vállalatra vonatkozhatnak a NIS2 szabályai idehaza, amelyek közvetve több százezer munkavállalót is érinthetnek” – hangsúlyozza Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.

Adminisztratív, logikai és fizikai védelmi intézkedések is kellenek 

A NIS2 követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel. 

Side,View,Shot,Of,A,Man's,Hands,Using,Smart,Phone
 Az előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre vonatkoznak
Fotó: Shutterstock

Az EY tájékozatója felhívja a figyelmet, hogy az értintett cégeknek ki kell alakítaniuk az információ-biztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők és a felhasználók felelősségét. Az uniós szabályozás ugyancsak elvárja, hogy a társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.