
A NIS2 irányelv (Network and Information Systems Directive 2) célja egy egységes, magas szintű kiberbiztonsági keret létrehozása az Európai Unióban, amely segíti a tagállamokat és az érintett szervezeteket a kiberfenyegetések elleni védekezésben. A kiberbiztonsági audit az utolsó lépés a felkészülésben, amely során értékelik a biztonsági intézkedéseket és védelmi mechanizmusokat, hogy megfelelnek-e a NIS2 követelményeinek.
Mint arról az RSM Hungary a tájékoztató anyagában is ír, Magyarországon a NIS2 irányelv több ezer szervezetet érint. A hazai jogrendben való alkalmazáshoz szükséges a NIS2 átültetése a magyar jogszabályi környezetbe. A központi szerepet a 2023. évi XXIII. törvény tölti be, amely a kiberbiztonsági tanúsításról és felügyeletről szól. A törvény I. és II. melléklete határozza meg, mely kritikus és kiemelten kritikus ágazatokba tartozó vállalatok esnek a NIS2 hatálya alá. Az irányelv a közép- és nagyvállalatokra vonatkozik, azaz legalább 50 főt foglalkoztató vagy évi 10 millió euró árbevételű cégekre. Az elektronikus hírközlési, bizalmi, DNS-szolgáltatókra és domainnév-regisztrációval foglalkozó szolgáltatókra nem vonatkozik ez a szabályozás.
A regisztráció határideje szorosan közeledik: 2024. január 1-től minden érintett szervezetnek nyilvántartásba kell vetetnie magát. Azok a társaságok, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, június 30-ig kötelesek regisztrálni. Más esetekben a regisztrációs határidő 30 nap. A regisztrációt a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) kell benyújtani.
A NIS2 irányelv nem teljesítése esetén jelentős bírságokra, akár 50-350 millió forintig terjedő pénzbüntetésekre is számíthatnak a cégek.
A regisztráció során a vállalatoknak meg kell adniuk a cégadatokat, kapcsolattartási információkat, bizonyos technikai adatokat és az információbiztonsági felelős elérhetőségeit. Az SZTFH dönt arról, hogy egy vállalat érintett-e az irányelv által, és minden regisztrációs kérelmet alaposan felülvizsgál. Ha egy társaság nem biztos abban, hogy rá vonatkozik-e a NIS2 irányelv, kapcsolatba léphet az SZTFH-val vagy benyújthatja az űrlapot, és a hatóság dönt.
A megfelelés nem ér véget a regisztrációval. Az érintett vállalatoknak 2024. október 18-tól alkalmazniuk kell a megfelelő védelmi intézkedéseket, és be kell fizetniük a felügyeleti díjat. 2024. december 31-ig szerződést kell kötniük egy kiberbiztonsági auditorral, aki 2025. december 31-ig lefolytatja az első auditot.
A dolgozók a leggyengébb láncszemek
A kibertámadások világszerte egyre komolyabb fenyegetést jelentenek, és egyre nagyobb károkat okoznak a vállalatoknak és az egyéneknek egyaránt – mondta el Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági és kommunikációs szakértője az RSM Hungary webinárján. Előadásában hangsúlyozta, hogy ma már nincs olyan szervezet, amely biztonságban érezhetné magát a kiberbűnözőkkel szemben. Idézte a Cisco egyik vezérigazgatójának azóta híressé vált mondását miszerint „kétféle vállalat létezik: az egyik, amelyiket már meghekkelték, és a másik, amelyiket még nem tudja, hogy már meghekkelték”.
Bor Olivér rámutatott, hogy a kiberbűnözők okozta károk mértéke exponenciálisan nőtt az elmúlt évtizedben. Míg 2022-2023-ban a világgazdasági kár elérte a 8000 milliárd dollárt, a valóságban ez az összeg a látencia miatt háromszor ekkora is lehet.
A kiberbűnözés mára jövedelmezőbb üzletággá vált, mint a drogcsempészet, ami új kihívásokat jelent a biztonsági szakemberek számára.
Ismertette, hogy a legnagyobb veszélyt jellemzően maguk a felhasználók jelentik, akik sokszor nem veszik komolyan a kiberbiztonsági előírásokat, mondván „senki nem kíváncsi az ő adataikra”. Bor Olivér szerint a hamis biztonságérzet különösen veszélyes, hiszen bárki válhat áldozattá, függetlenül attól, hogy mennyire érzi magát érdektelennek vagy szegénynek. Az adathalászat és a zsarolóvírus-támadások továbbra is a leggyakoribb módszerek közé tartoznak, amelyekkel a kiberbűnözők behatolnak a rendszerekbe.
A zsarolóvírus-támadások különösen károsak, hiszen egész rendszereket képesek zárolni, és a helyreállítás költségei gyakran milliárdokban mérhetők. A gyártás, az élelmiszeripar és a kritikus infrastruktúrák a leginkább érintett ágazatok közé tartoznak. Bor Olivér több hazai példát is hozott, illetve bemutatott egy olyan statisztikát, mely szerint 2021-ben átlagosan több mint 200 millió forintot fizettek a hazai cégek váltságdíjként, amennyiben zsarolóvírus támadás érte őket. Volt olyan eset, amikor a támadást elszenvedő cég kárértéke 3-5 milliárd forint közötti összegre volt tehető ilyen támadás miatt.
Az adathalászat szintén komoly fenyegetést jelent, különösen a pénzügyi, az IKT szektor és a digitális szolgáltatásokkal foglalkozó cégek számára.
Magyarországon 2023-ban a pénzügyi csalásokhoz köthető online károk mértéke meghaladta a 30 milliárd forintot, ami azt jelenti, hogy naponta átlagosan egy család elveszíti a megtakarítását.
Fontos azonban kiemelni, hogy a támadók ilyen esetekben nem a pénzintézeteket támadják, hiszen a magyar bankbiztonság európai viszonylatban is jónak tekinthető, így a kiberbűnözők sokkal inkább az ügyfeleket célozzák meg egy-egy adathalász kísérlettel.
Az unió Digitalistaion in Europe jelentése szerint Magyarország az EU-s átlagtól kicsit lemaradva helyezkedik el az IT-tudatosság területén, így van hova fejlődnie. A kiberbiztonsági szabályzatok és intézkedések terén sok vállalat még mindig csak alapvető védelmi megoldásokkal rendelkezik, mint például tűzfalak és vírusvédelmi szoftverek. Az informatikai biztonsági szabályzatok és policyk hiánya komoly kockázatot jelent a szakértő szerint.
Bor Olivér kiemelte, hogy az SZTFH négyes modellje segíthet Magyarország kiberbiztonsági érettségének növelésében.
Ez a modell a hatékony szabályozás, a tudatosítás, a felkészült vállalatok és a párbeszéd fontosságára épül.
Kitért arra is, hogy az EU 2016-ban vezette be a NIS1 irányelvet, amelyet most a NIS2 irányelv követ, amelyre komoly szükség is volt, mert az előző szabályozás számos ponton volt hiányos. Magyarország már 2023 februárjában kezdeményezte a kiberbiztonsági tanúsításról és felügyeletről szóló jogszabálytervezet benyújtását, amit májusban el is fogadtak. Ezzel Magyarország az EU-ban elsőként indította el az implementációs folyamatot.
A NIS2 irányelv célja, hogy egységesen magas kiberbiztonsági szintet érjen el Európában, de a tagállamok eltérő szigorításokat alkalmazhatnak. Magyarországon a jogszabály már több mint egy éve érvényben van, ami lehetőséget adott a vállalatoknak a felkészülésre, azonban még mindig sok cég nem adta be a szükséges nyilatkozatokat,
amelyre már csak június 30-ig van lehetőségük.
A gondolkodásmód megváltoztatása is szükséges
A kiberbiztonsági fenyegetések világa egyre komplexebbé válik, és ennek megfelelően a szabályozási környezet is folyamatosan fejlődik. Balogh Zoltán, az RSM Hungary Könyvvizsgáló Zrt. IT audit menedzsere és NIS2 szakértője legutóbbi előadásában kiemelte a kockázatmenedzsment és a nemzetközi szabványok szerepét a vállalatok kiberbiztonsági felkészültségében.
Balogh szerint elengedhetetlen, hogy a szervezetek átgondolják és megváltoztassák hozzáállásukat a kiberbiztonsági fenyegetésekkel kapcsolatban. Gyakori tévhit, hogy a cégek úgy érzik, hozzájuk nem férkőzhetnek be a kiberbűnözők, amúgy sem érdekes a tevékenységük a hackereknek.
Ez a hozzáállás veszélyes, mivel a kiberbiztonsági incidensek bárkit érinthetnek. A felkészülés hosszú folyamat, és csak alapos kockázatmenedzsmenttel lehet hatékonyan kezelni a fenyegetéseket – mondta el az RSM Hungary szakértője.
A kockázatmenedzsmentről szólva Balogh hangsúlyozta, hogy nem elegendő csupán a szabályozások követése. A kockázatok elemzése és kezelése alapkövetelmény minden szervezet számára. Az ISO 31000 szabvány szerint a kockázat egy bizonytalan tényező hatása a célokra, míg a Management of Risk szerint olyan esemény – vagy események – sorozata, ami ha bekövetkezik, akkor hatással lesz a céljaink elérésére. Az egyszerű matematikai megközelítés alapján a kockázat valamilyen fenyegetés és a bekövetkezési valószínűségfüggvénye.
Az új NIS2 irányelv kapcsán Balogh is felhívta a figyelmet a közelgő határidőkre és kötelezettségekre: június 30-ig minden érintett szervezetnek regisztrálnia kell a 420-as elektronikus űrlapon keresztül. Az elmulasztott regisztráció szankciókkal járhat, így ennek elkerülése érdekében minden érintett szervezetnek cselekednie kell.
A NIS2 irányelv kockázatalapú megközelítést alkalmaz, és a kockázatkezelés alapkövetelményként jelenik meg a rendelettervezetben is. A rendelettervezet biztonsági osztályokra osztja az elektronikus információs rendszereket, és az ehhez kapcsolódó védelmi intézkedéseket minden szervezetnek be kell vezetnie. A legmagasabb biztonsági osztályba tartozó rendszerek esetében több mint 300 intézkedésnek kell megfelelni.
A nemzetközi szabványok szerepéről Balogh kiemelte az ISO 27001 és az NIST 800-53 szabványok jelentőségét. Előbbi az információbiztonsági irányítási rendszerek egyik nemzetközi szabványa, és kockázatalapú megközelítést alkalmaz. Ez a szabvány nem kötelező, de sok szervezet számára alapvető iránymutatást nyújthat. A NIST 800-53 szabvány pedig az amerikai kormányzat által alkalmazott keretrendszer, amely nagyon részletes és szigorú követelményeket tartalmaz.
Magyarországon a rendelettervezet az NIST 800-53 ötödik változatára épül, és annak intézkedéseit veszi alapul, és jelezte, hogy
az RSM Hungary segíteni tud a szervezeteknek a felkészülésben, beleértve a kockázatelemzést és a kockázatmenedzsment keretrendszerek bevezetését is.
Balogh záró gondolataiban kiemelte a mesterséges intelligencia szerepét a kiberbiztonságban. Az MI lehetőséget ad nagyon profi támadások és adathalász levelek létrehozására, valamint a deep fake technológia használata is egyre gyakoribb. A szervezeteknek folyamatosan figyelniük kell az új technológiák nyújtotta veszélyeket és lehetőségeket, hogy hatékonyan védekezhessenek a kiberbűnözés ellen.
Címlapkép forrása: Getty Images
Hivatalos: itt a kormány lépése a járvány miatt
Az érintett gazdálkodók fizetési moratóriumot kapnak hitelszerződéseik után.
Politico: a legsikeresebb amerikai fegyverprojekteket lőheti lábon Donald Trump vámpolitikája
Ez nagyon fog fájni a washingtoni kormányzatnak.
Közeledik az Egyesült Államok "második Vietnámja"? - Hiába a szupermodern fegyverek garmadája, csődnek tűnik a közel-keleti misszió
Hatalmas készleteket lőttek el, a helyzet alig változott.
Már Európa is tárgyalna az oroszokkal, kifulladt a fronton Moszkva - Háborús híreink pénteken
Cikkünk folyamatosan frissül az orosz-ukrán háború legfontosabb híreivel.
Kimondták az elemzők: elérte a tartalékait Oroszország, összeomlás szélén a hadiipar
Innen már csak lefelé vezet az út.
Az űrbe lőné fel a konfliktusok megoldását Donald Trump, megkezdte a tervezést a Pentagon
Leporolják a csillagháborús terveket.
"Felszabadulás" helyett Pánik Napja? Így fektess most be!
Trump új vámtarifái megrázták a tőzsdéket, növelve a gazdasági bizonytalanságot. Sokan pánikolnak, de valószínűleg erre neked semmi okod nincsen. Elemezzük a kockázatokat és megmutatjuk, m
Ez egy kemény adás (HOLD After Hours)
E héten eltemetjük és megmentjük a dollárt, valamint életviteli tanácsokat is osztunk Szabó Dáviddal. Jó szórakozást! Milyen platformokon találjátok még meg? A HOLD After Hours...
The post E
Hibás adatszolgáltatás gyors korrekciója: Egy NAV-ellenőrzés tanulsága
Az adóellenőrzések során a NAV gyakran tár fel olyan adminisztratív hibákat, amelyek kijavítása kulcsfontosságú a szankciók elkerülése és a megfelelés biztosítása érdekében. Az alábbia
Hogyan számolták ki az amerikai vámokat?
Tegnap óta mindenki azt találgatja, hogyan számolták ki az amerikai vámokat. A bemutatott ábrán az amerikai termékekre fizetett vámok plusz forgalmi adó plusz deviza manipuláció (jelentsen ez b
Erdőtűz és demencia
Egy nemrég megjelent kutatás szerint az erdőtüzek miatt keletkező finom részecskék jelentős mértékben hozzájárulhatnak a demencia kialakulásához.
5%-os THM-mel elérhető lakáshitel: lehetőség vagy csapda?
HitelesAndrás - Keress, kövess, költözz! 5%-os THM-mel elérhető lakáshitel: lehetőség vagy csapda? Áprilistól több millió forintot spórolhatnak a hiteligénylők 2025. április 1-től új le
A FIRE legnagyobb átverései
Előrebocsátom, hogy hiszek a FIRE mozgalomban, szerintem nagyon sokan sokat köszönhetünk neki, de még azok is profitálhatnak belőle, akiknek nem céljuk a korai nyugdíj. Ebben a bejegyzésben még
Női korrupció: tanulságok a sakktábláról
Két tudós sakktáblákon bizonyította, hogy a nők kevésbé hajlamosak a tisztességtelenségre és a korrupt viselkedésre. Az 1990-es évektől kezdve látványosan növekedett a nők térnyerése a.

Fókuszban a CONSTRUMA-n: zöld építés és egészséges otthon (x)

- Amerika nagy háborúja árnyékában emelkedhet ki egy új globális szuperhatalom
- Trump bontókalapáccsal esett a világrendnek, a legnagyobb árat az USA fizetheti
- Százezreket hagynak veszni a magyarok minden évben: heteken belül igényelned kell, ha nem akarsz lecsúszni az ingyenpénzről
- Drámai jóslat érkezett a nyári időjárásról: nagyon fájdalmasan érintheti Magyarországot
- Megtudtuk: komolyan érdeklődik az Egyesült Államok a Paksi Atomerőmű és több SMR-szerződés iránt is
Tőzsdei túlélőtúra: Hogyan kerüld el a leggyakoribb kezdő hibákat?
A tőzsdei vagyonépítés során kulcsfontosságú az alapos kutatás és a kockázatok megértése, valamint a hosszú távú célok kitűzése és kitartó befektetési stratégia követése.
Warren Buffett helyett én: Kezdők útmutatója a befektetéshez
Fedezd fel a befektetés világát úgy, ahogy még sosem! Ez a webinárium egyszerűen és érthetően mutatja be az alapelveket, amelyekre még a legnagyobb befektetők, mint Warren Buffett is esküsznek.
Bod Péter Ákos: az eddig ismert kereskedelmi rendszernek vége
Az egyetemi tanár, ex-jegybankár a Checklistben értékelte Trump legújabb vámjait.
Bőven van még tartalék a magyar agráriumban, a számok viszont nem ezt tükrözik
Hogy tudunk-e még versenyezni a lengyel vagy a nyugat-európai agrártermékekkel, az is kiderül az Alapvetés podcast új műsorából.
Harmadik ciklusára készül Donald Trump? Ez lehetséges?
Beindult a jogi csűrés csavarás.
Kiadó modern irodaházak
Az iroda ma már több, mint egy munkahely. Találják meg most cégük új otthonát.