2024. január 1-én lépett hatályba a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan törvény”. Ez az új 2023. évi XXIII.-as jogszabály a NIS2, az EU új kiberbiztonsági irányelveinek átültetését célozza meg és több ezer hazai vállalat információbiztonsági felkészültségét hivatott hatósági eszközökkel vizsgálni.

Cikkünkben összefoglaljuk az új jogszabállyal kapcsolatos legfontosabb tudnivalókat, és támpontot szeretnénk adni ahhoz, hogy minél előbb feltárhassa vállalatának érintettségét és szükség esetén megkezdhesse a megfelelésre való felkészülést.

Fontosabb mérföldkövek és határidők

• 2024. január 1-től június 30-ig az érintett szervezeteknek önazonosítást és biztonsági osztályba sorolást kell végezniük, biztonságáért felelős személyt kell kijelölniük. Ezen kívül eleget kell tegyenek az adatszolgáltatási kötelezettségüknek az Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) részére.
• 2024. október 18-tól az érintett szervezetek befizetik a NIS2 által meghatározott felügyeleti díjat, továbbá alkalmazzák a kötelezően előírt védelmi intézkedéseket.
• 2024. október 18. és december 31. között szerződni kell egy akkreditált auditorral.
• 2025. december 31-ig el kell végezni az első kiberbiztonsági auditálást.

Bár a fenti határidőkkel kijelölt célok még távolinak tűnhetnek, és még hiányzik pár részletszabályozás is, de maga a felkészülés jelentős erőforrásokat igényelhet házon belül, így érdemes azt minél előbb elkezdeni.

A kockázatos ágazatban működő cégek a pályán

A NIS2 hatálya alá tartozik minden olyan szervezet, amely több mint 50 főt foglalkoztat vagy több mint 10 millió euró éves árbevétellel rendelkezik, és a stratégiai szempontból kiemelt, kockázatos ágazatok valamelyikében működik. Ilyenek többek között az energetika, közlekedés, egészségügy, víz, gyógyszeripar, digitális infrastruktúrák, kihelyezett szolgáltatók, világűr, posta, futárszolgálatok, logisztika, hulladékgazdálkodás, elektronikai gyártás, járműgyártás, élelmiszer előállítás és forgalmazás, digitális szolgáltatások, vegyipar és a kutatóhelyek.

Kiberbiztonsági elvárások a jogszabályban

A NIS2 jogszabályi szinten és meglehetősen pontosan határozza azokat a területeket, ahol a kockázatokkal arányos mértékben kell gondoskodni a kiberbiztonságról, ezáltal minimális rugalmasságot biztosítanak a társaságoknak a követelmények teljesítéséhez. Az SZTFH általi nyilvántartásba vétel és az azzal járó éves felügyeleti díj megfizetése mellett az érintett szervezeteknek 2 évente kötelező IT-auditáláson is át kell esniük, az SZTFH által nyilvántartott valamely auditor által.

Komoly szankciók a láthatáron

A rendelet be nem tartása súlyos közigazgatási bírságot (akár 10 millió Euró) vonhat maga után, ezen túlmenően a társaság a tevékenységtől eltiltható lehet, és a felügyeleti hatóság a vezető tisztségviselőt is tiltás alá helyezheti.

Egy sprint nem lesz elég

Várhatóan majd csak azok a cégek fognak megfelelni a NIS2-auditokon, akik megfelelő információbiztonsági irányítási rendszert üzemeltetnek, beszállítói auditokat, adathalász-, illetve kibertámadás-szimulációkat is végeznek, rendelkeznek a kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedésekkel, valamint egyértelműen meghatározták a biztonsági vezetők és a felhasználóik felelősségét, rendszeresen fejlesztik azok információbiztonsági tudatosságát.

A fenti követelmények teljesítése jelentős kihívás elé állíthatja az érintett szervezeteket, akiknek a megfelelés megteremtésére erőforrásokat és elegendő időt is kell biztosítaniuk. Első lépésben nagy segítséget jelenhet egy GAP-analízis, mert ez alapján pontosan és felelősen kerülhetnek kijelölésre a célok eléréséhez szükséges rövid-, közép és hosszútávú intézkedések. Ez az elemzés emellett jelentős mértékű segítséget nyújthat az érintettek elkötelezettségének megszerzéséhez is.