Komoly kötelezettségekkel járnak, de lehetőségeket is rejtenek az új kiberbiztonsági szabályok

2023. 12. 05., 16:40

A NIS2 irányelv magasabb szintre emelte a korábbi uniós kiberbiztonsági szabályozást és számos új kötelezettséget vezetett be. Az irányelv szabályainak túlnyomó részét már átültették a magyar jogba, így a jövő év folyamán 2500–3000 hazai közép- és nagyvállalatnak kell a szigorú szabályoknak megfelelni, továbbá az ellátási láncuk biztonságát megteremteni – hívja fel a figyelmet dr. Szabó Gergely Gábor, a Bán, S. Szabó, Rausch & Partners Ügyvédi Iroda szabályozási ügyekért felelős vezető ügyvédje.

Miért fontos a kiberbiztonság?

Az IT rendszerek már a mindennapi életünk szerves részét képezik. Manapság már szinte minden vállalat digitális startégiát, illetve AI stratégiát vezet be, vagy legalábbis jelentősen támaszkodik digitális eszközökre. A különböző rendszerektől való függőség, valamint a rendszerek és termelés, valamint a szolgáltatások egymástól való függősége jelentősen nőtt az utóbbi években. A fokozott digitalizáció nemcsak lehetőségeket, hanem számos új fenyegetést is jelent a vállalatok számára. Akár egy kiberbiztonsági esemény is hatalmas károkat tud okozni, nem is szólva a reputációs veszteségekről.

Mi az a NIS2 irányelv és kikre terjed ki a szabályozás?

A NIS2 irányelv egyértelmű célja a kiberbiztonság közösségi szintű szervezése a szabályozás felülvizsgálatával, aktualizálásával és kiterjesztésével. A szabályozás jelentősen szélesíti az érintett ágazatok körét, és méretküszöböt (közép- és nagyvállalatok) vezet be annak meghatározására, hogy mely szervezetek tartoznak a hatálya alá. Magyarországon hozzávetőlegesen 2500-3000 vállalat érintett. A szabályozás emellett számos kötelezettséget vezet be, felvázolja, hogyan kell végrehajtani az ellenőrzéseket, és foglalkozik a jogsértések bejelentésének módjával, valamint szankciókat is alkalmaz.

Bár még hiányzik pár részletszabály – különösen a végrehajtási rendelet –, a szabályozás túlnyomó része már át lett ültetve a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvénybe („Kibertan törvény”).

A Kibertan törvény megkülönbözteti a kockázatos (pl. élelmiszeripar, digitális szolgáltatások, gyártás) és kiemelten kockázatos (pl. banki szolgáltatások, energetika, hírközlés) ágazatokban működő szolgáltatókat, amely utóbbiak szorosabb felügyelet alatt állnak.

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:
(a) energetika (villamos energia, távfűtés és hűtés, kőolaj, földgáz, hidrogén);
(b) közlekedés (légi, vasúti, közúti, vízi, tömegközlekedés);
(c) egészségügy;
(d) ivóvíz, szennyvíz (víziközmű);
(e) hírközlési szolgáltatás (hírközlési szolgáltatók, adatkicserélő szolgáltatást nyújtó szolgáltatók, bizalmi szolgáltatók);
(f) digitális infrastruktúra (pl. felhőszolgáltató, DNS szolgáltató);
(g) kihelyezett IKT szolgáltatások (infokommunikációs technológiai szolgáltatók);
(h) banki szolgáltatások és pénzügyi piaci infrastruktúrák;
(i) közigazgatás;
(j) világűr, űripari szolgáltatók.
Kockázatos ágazatokban működő szolgáltatók és szervezetek:
(a) postai és futárszolgáltatások;
(b) élelmiszer előállítása, feldolgozása és forgalmazása;
(c) hulladékgazdálkodás;
(d) vegyszerek előállítása és forgalmazása;
(e) gyártás (orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása; számítógép, elektronikai, optikai termék gyártása; villamos berendezések gyártása; máshova nem sorolt gépek és berendezések gyártása; gépjárművek, pótkocsik és félpótkocsik gyártása; egyéb szállítóeszközök gyártása; cement-, mész-, gipszgyártás);
(f) digitális szolgáltatások (digitális piactér szolgáltató, keresőszolgáltató, közösségi média platform szolgáltató, domain regisztrátor);
(g) kutatás (kutatóhely).

Általánosan elmondható, hogy a „bekerülési limit” cégek esetében az 50 főt meghaladó alkalmazotti létszám vagy az évi 10 millió Eurót meghaladó árbevétel. Ugyanakkor alkalmazotti létszámtól és árbevételtől függetlenül a törvény személyi hatálya alá esnek az
elektronikus hírközlési szolgáltatók,
– a bizalmi szolgáltatók,
– a DNS-szolgáltatást nyújtó szolgáltatók,
– a legfelső szintű domainnév-nyilvántartó valamint
– a domainnév-regisztrációt végző szolgáltatók is.

Határidők és tennivalók

A Szabályozott Tevékenységek Felügyeleti Hatósága („SZTFH”), mint felügyeleti hatóság az érintett szervezeteket tartalmazó nyilvántartást 2024. január 1-től vezeti.

Az érintett szervezeteknek legkésőbb 2024. június 30-ig be kell jelenteniük az SZTFH részére az azonosításhoz szükséges adataikat (ehhez önazonosítás és biztonsági osztályba sorolás, azaz házon belüli felkészülés is kell), valamint az általuk kijelölt biztonságért felelős személyt.

Az irányadó védelmi intézkedéseket 2024. október 18-tól kell alkalmazni folyamatos megfelelőség mellett, valamint 2024. december 31-ig szerződni kell egy akkreditált kiberbiztonsági auditorral.

Az első előírt kiberbiztonsági auditot 2025. december 31-ig kell elvégeztetni, majd kétévente újból auditáltatni.

Kiberbiztonsági megfeleléssel kapcsolatos határidők:
2024. június 30. – nyilvántartásba való bejelentkezés határideje (házon belüli felkészülés)
2024. október 18. – szabályozásnak való teljes megfelelés határideje
2024. december 31. – nyilvántartásba vett auditorral való szerződéskötés határideje
2025. december 31. – első kiberbiztonsági audit határideje

Bár a határidők távolinak tűnnek, de maga a felkészülés jelentős erőforrásokat igényel, így érdemes minél előbb elkezdeni azt házon belül.

Kötelezettségek

Minden érintett szereplőnek szükséges lesz egy kiberbiztonsági kockázatelemzést készítenie, az információs rendszereket (itt nem csak az irodai gépeket, hanem akár a termelésben részt vevő eszközöket is érteni kell) és a tárolt adatokat érzékenységük alapján biztonsági osztályba kell sorolniuk, ezen osztályokhoz pedig biztonsági kontrollokat kell implementálniuk.

Alapvetően a bizalmassághoz, sérthetetlenséghez és rendelkezésre álláshoz szükséges védelmet kell folyamatosan biztosítani, amihez a megfelelő IT rendszer kiépítése és karbantartása, valamint az egyes szereplők feladatainak ismerete és betartása a fontos.

Mindez számos adminisztratív lépést (pl. megfelelő szabályzatok elkészítése – IBSZ, DCP BRP, nyilvántartásba vétel, auditorral való szerződéskötés, audit), szervezési feladatot (pl. munkatársak biztonsági képzése, információ biztonságért felelős személy kijelölése, protokollok betartása, biztonsági események kezelése és bejelentése) és folyamatos technikai kihívást jelent az érintettek számára.

A rendszerek és a belső folyamatok finomhangolása mellett ráadásul a rendszerekkel kapcsolatos külsős vállalkozókkal való szerződéskötések, valamint az adott cégek ellátási láncának kiberbiztonsága terén is számos tennivalót fogalmaz meg a szabályozás – emelte ki dr. Szabó Gergely Gábor ügyvéd.

Végül pedig felügyeleti díjat is fizetni kell, amelynek összege az előző üzleti év bevételének 0,015 százaléka, de maximum 10 millió forint; csoportszinten pedig maximum 50 millió forint.

A bírság mértéke és a menedzsment felelőssége

Kiemelten kockázatos ágazatokban működő szolgáltatók esetén legfeljebb EUR 10.000.000 vagy (amennyiben az magasabb) az előző évi világszintű forgalom 2 százalékának megfelelő bírság.

Kockázatos ágazatokban működő szolgáltatók esetén legfeljebb EUR 7.000.000 vagy (amennyiben az magasabb) az előző évi világszintű forgalom 1,4 százalékának megfelelő bírság. A bírság mérlegelésen alapul és egyéb, sokszor a jelentős bírságnál is fájóbb szankciók (pl. jogsértés nyilvánosságra hozatala) is alkalmazhatók nem is szólva azokról a veszteségekről, amelyeket egy biztonsági esemény által okozott leállás (pl. a termelés 2 hétig áll) okozhat.

Az intézkedéseket és így a megfelelést az érintett szervezet vezetőjének (ügyvezető, vezérigazgató) kell jóváhagynia és felügyelnie (pl. biztonságért felelős személy hatásköre és feladatai, felhasználókra vonatkozó szabályok, oktatás, beszállítói lánc megfelelősége, szolgáltatók megfelelősége). Ezért kiemelten fontos az érintett szervezet vezetőjének felelőssége, amelyre a vezeti tisztségviselő Ptk. szerinti felelőssége az irányadó. Ráadásul a felelősséget tovább növeli a beszállítói lánc megfelelősségének biztosításával és a külsős IT szolgáltatókkal való szerződéskötéssel kapcsolatos tennivalók, amelyek túlmutatnak a szokásos partnerátvilágítási lépések megtételén.

A megfelelés egyben lehetőség is

A fenti tennivalók és a megfelelés közelgő határideje riasztó lehet, azonban számos lehetőséget is magában rejt.

Köztudott, hogy egy jól felépített IT rendszer, valamint a digitális és mesterséges-intelligencia alapú megoldások jelentős hatékonyságnövelést jelentenek a termelés, a logisztika és a szolgáltatások területén is. Amennyiben már a rendszerek kialakítása, átgondolása során előtérbe kerülnek a kiberbiztosági szempontok, úgy a rendszerek később nehezebben támadhatók és emellett a beszállítói lánc és külsős IT szolgáltatók megfelelősségének biztosításával további hatékonyságot érhetünk el. Emellett, ha nem csak üres szabályzatokat írunk és tartatunk be a munkatársakkal, hanem megpróbálunk mindent a tényleges folyamatokhoz igazítani és a valós kockázatokat mindenkivel megértetni, akkor a rendszerek mellett az emberi oldalból eredő kockázatok is minimalizálhatók.

Mindezen megfelelésből és hatékonyság-növelésből pedig olyan versenyelőnyt lehet kovácsolni, amely kiemeli az érintett szolgáltatót a versenytársak közül. Ezért érdemes már most elkezdeni a felkészülést és a vállalati stratégiát összhangba hozni a digitális stratégiával, amelynek szerves részét kell képezze a kiberbiztonsági megfelelés – hangsúlyozta dr. Szabó Gergely Gábor.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2024. 02. 14., 13:10
Ha esetleg megtorpanunk egy-egy projekt kapcsán, általában humorral próbálunk felülemelkedni a problémákon, a jó hangulat mindig átlendít a nehézségeken – mondta az Üzletemnek Rázga-Ilyés Noémi, a CheckINN innovációs programigazgatója.
2024-02-27 19:10:00
A Gazdasági Versenyhivatal kiemelt figyelmet fordít a jelentős számú fogyasztó és vállalkozás érdekeit és piaci helyzetét befolyásoló, nagy technológiai vállalkozások és online platformok piaci magatartásainak vizsgálatára.

  BIZNISZPLUSZ PODCAST

A globális kutatás eredményeinek év eleji kihirdetése után a PwC nemrég bemutatta a hazai Vezérigazgatói Felmérés adatait is. A számok alapján a magyar cégvezetők optimistábbak a gazdasági kilátásokat illetően, mint külföldi kollégáik, ám árnyalja a képet, hogy saját cégük árbevételére már nem feltétlenül jósolnak növekedést 2024-re. Az olyan kitettségek kapcsán, mint az infláció, a szakképzett munkaerő hiánya vagy akár a klímaváltozás, szintén derűlátóbbnak tűnnek a hazai cégvezetők, igaz, vannak aggodalmak, de izgalmas jóslatok is, például az új technológiai vívmányok bevezetése kapcsán, amelyek mellett nem lehet szó nélkül elmenni. Nem is tesszük: a BizniszPluszban a PwC Hungary szakértőjével, Mezei Szabolccsal elemezzük a legtanulságosabb számokat.
2024. 02. 03., 21:30
epizód: 2024 / 3   |   hossz: 19:22
A Magyar Munkaerő-kölcsönzők Országos Szövetségének elnökével azt elemezzük a BizniszPlusz aktuális epizódjában, hogy hogyan alakíthatja át a toborzási folyamatokat és általában a HR munka világát a mesterséges intelligencia. A szakemberrel megnéztük azt is, milyen szakmai készségek ívelnek fel az AI korszakban, és ennek milyen lenyomatai lesznek érzékelhetők a következő években, sőt, már 2024-ben is. A magyar gazdaságban megjelent külföldi munkavállalók által elindított munkaerőpiaci trendek, valamint a változó minimálbér és bérminimum hatásai szintén szóba kerültek a beszélgetésben. Utóbbiakról kiderült mekkora terhet rónak a magyar vállalkozásokra, és ennek milyen mögöttes okai vannak, a munkaerő termelékenységének alakulásától a tapasztalt kollégák megtartásáért indult küzdelemig.
Soha még ilyen magas összeggel – egy kártyára vetítve több, mint 130 ezer forinttal – nem tartoztak a hazai hitelkártya-tulajdonosok, mint 2023-ban. Úgyhogy erről beszélni kell – pláne az elmúlt 10 év tapasztalataival összehasonlítva. A BiztosDöntés.hu alapítója szerint a tartozások átlagos összege túl magas, ami leginkább annak tudható be, hogy nem egészséges irányba tolódtak el az adósságaink. Mire jó valójában egy hitelkártya, és milyen kisebb szemléletváltással kerülhető el, hogy túl magas tartozásokat halmozzunk fel? Tudd meg a válaszokat a tudatosabb gazdálkodáshoz Gergely Péter pénzügyi szakértőtől!

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS