A NIS2 irányelv (Network and Information Systems Directive 2) célja egy egységes, magas szintű kiberbiztonsági keret létrehozása az Európai Unióban, amely segíti a tagállamokat és az érintett szervezeteket a kiberfenyegetések elleni védekezésben. A kiberbiztonsági audit az utolsó lépés a felkészülésben, amely során értékelik a biztonsági intézkedéseket és védelmi mechanizmusokat, hogy megfelelnek-e a NIS2 követelményeinek.
Mint arról az RSM Hungary a tájékoztató anyagában is ír, Magyarországon a NIS2 irányelv több ezer szervezetet érint. A hazai jogrendben való alkalmazáshoz szükséges a NIS2 átültetése a magyar jogszabályi környezetbe. A központi szerepet a 2023. évi XXIII. törvény tölti be, amely a kiberbiztonsági tanúsításról és felügyeletről szól. A törvény I. és II. melléklete határozza meg, mely kritikus és kiemelten kritikus ágazatokba tartozó vállalatok esnek a NIS2 hatálya alá. Az irányelv a közép- és nagyvállalatokra vonatkozik, azaz legalább 50 főt foglalkoztató vagy évi 10 millió euró árbevételű cégekre. Az elektronikus hírközlési, bizalmi, DNS-szolgáltatókra és domainnév-regisztrációval foglalkozó szolgáltatókra nem vonatkozik ez a szabályozás.
A regisztráció határideje szorosan közeledik: 2024. január 1-től minden érintett szervezetnek nyilvántartásba kell vetetnie magát. Azok a társaságok, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, június 30-ig kötelesek regisztrálni. Más esetekben a regisztrációs határidő 30 nap. A regisztrációt a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) kell benyújtani.
A NIS2 irányelv nem teljesítése esetén jelentős bírságokra, akár 50-350 millió forintig terjedő pénzbüntetésekre is számíthatnak a cégek.
A regisztráció során a vállalatoknak meg kell adniuk a cégadatokat, kapcsolattartási információkat, bizonyos technikai adatokat és az információbiztonsági felelős elérhetőségeit. Az SZTFH dönt arról, hogy egy vállalat érintett-e az irányelv által, és minden regisztrációs kérelmet alaposan felülvizsgál. Ha egy társaság nem biztos abban, hogy rá vonatkozik-e a NIS2 irányelv, kapcsolatba léphet az SZTFH-val vagy benyújthatja az űrlapot, és a hatóság dönt.
A megfelelés nem ér véget a regisztrációval. Az érintett vállalatoknak 2024. október 18-tól alkalmazniuk kell a megfelelő védelmi intézkedéseket, és be kell fizetniük a felügyeleti díjat. 2024. december 31-ig szerződést kell kötniük egy kiberbiztonsági auditorral, aki 2025. december 31-ig lefolytatja az első auditot.
A dolgozók a leggyengébb láncszemek
A kibertámadások világszerte egyre komolyabb fenyegetést jelentenek, és egyre nagyobb károkat okoznak a vállalatoknak és az egyéneknek egyaránt – mondta el Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági és kommunikációs szakértője az RSM Hungary webinárján. Előadásában hangsúlyozta, hogy ma már nincs olyan szervezet, amely biztonságban érezhetné magát a kiberbűnözőkkel szemben. Idézte a Cisco egyik vezérigazgatójának azóta híressé vált mondását miszerint „kétféle vállalat létezik: az egyik, amelyiket már meghekkelték, és a másik, amelyiket még nem tudja, hogy már meghekkelték”.
Bor Olivér rámutatott, hogy a kiberbűnözők okozta károk mértéke exponenciálisan nőtt az elmúlt évtizedben. Míg 2022-2023-ban a világgazdasági kár elérte a 8000 milliárd dollárt, a valóságban ez az összeg a látencia miatt háromszor ekkora is lehet.
A kiberbűnözés mára jövedelmezőbb üzletággá vált, mint a drogcsempészet, ami új kihívásokat jelent a biztonsági szakemberek számára.
Ismertette, hogy a legnagyobb veszélyt jellemzően maguk a felhasználók jelentik, akik sokszor nem veszik komolyan a kiberbiztonsági előírásokat, mondván „senki nem kíváncsi az ő adataikra”. Bor Olivér szerint a hamis biztonságérzet különösen veszélyes, hiszen bárki válhat áldozattá, függetlenül attól, hogy mennyire érzi magát érdektelennek vagy szegénynek. Az adathalászat és a zsarolóvírus-támadások továbbra is a leggyakoribb módszerek közé tartoznak, amelyekkel a kiberbűnözők behatolnak a rendszerekbe.
A zsarolóvírus-támadások különösen károsak, hiszen egész rendszereket képesek zárolni, és a helyreállítás költségei gyakran milliárdokban mérhetők. A gyártás, az élelmiszeripar és a kritikus infrastruktúrák a leginkább érintett ágazatok közé tartoznak. Bor Olivér több hazai példát is hozott, illetve bemutatott egy olyan statisztikát, mely szerint 2021-ben átlagosan több mint 200 millió forintot fizettek a hazai cégek váltságdíjként, amennyiben zsarolóvírus támadás érte őket. Volt olyan eset, amikor a támadást elszenvedő cég kárértéke 3-5 milliárd forint közötti összegre volt tehető ilyen támadás miatt.
Az adathalászat szintén komoly fenyegetést jelent, különösen a pénzügyi, az IKT szektor és a digitális szolgáltatásokkal foglalkozó cégek számára.
Magyarországon 2023-ban a pénzügyi csalásokhoz köthető online károk mértéke meghaladta a 30 milliárd forintot, ami azt jelenti, hogy naponta átlagosan egy család elveszíti a megtakarítását.
Fontos azonban kiemelni, hogy a támadók ilyen esetekben nem a pénzintézeteket támadják, hiszen a magyar bankbiztonság európai viszonylatban is jónak tekinthető, így a kiberbűnözők sokkal inkább az ügyfeleket célozzák meg egy-egy adathalász kísérlettel.
Az unió Digitalistaion in Europe jelentése szerint Magyarország az EU-s átlagtól kicsit lemaradva helyezkedik el az IT-tudatosság területén, így van hova fejlődnie. A kiberbiztonsági szabályzatok és intézkedések terén sok vállalat még mindig csak alapvető védelmi megoldásokkal rendelkezik, mint például tűzfalak és vírusvédelmi szoftverek. Az informatikai biztonsági szabályzatok és policyk hiánya komoly kockázatot jelent a szakértő szerint.
Bor Olivér kiemelte, hogy az SZTFH négyes modellje segíthet Magyarország kiberbiztonsági érettségének növelésében.
Ez a modell a hatékony szabályozás, a tudatosítás, a felkészült vállalatok és a párbeszéd fontosságára épül.
Kitért arra is, hogy az EU 2016-ban vezette be a NIS1 irányelvet, amelyet most a NIS2 irányelv követ, amelyre komoly szükség is volt, mert az előző szabályozás számos ponton volt hiányos. Magyarország már 2023 februárjában kezdeményezte a kiberbiztonsági tanúsításról és felügyeletről szóló jogszabálytervezet benyújtását, amit májusban el is fogadtak. Ezzel Magyarország az EU-ban elsőként indította el az implementációs folyamatot.
A NIS2 irányelv célja, hogy egységesen magas kiberbiztonsági szintet érjen el Európában, de a tagállamok eltérő szigorításokat alkalmazhatnak. Magyarországon a jogszabály már több mint egy éve érvényben van, ami lehetőséget adott a vállalatoknak a felkészülésre, azonban még mindig sok cég nem adta be a szükséges nyilatkozatokat,
amelyre már csak június 30-ig van lehetőségük.
A gondolkodásmód megváltoztatása is szükséges
A kiberbiztonsági fenyegetések világa egyre komplexebbé válik, és ennek megfelelően a szabályozási környezet is folyamatosan fejlődik. Balogh Zoltán, az RSM Hungary Könyvvizsgáló Zrt. IT audit menedzsere és NIS2 szakértője legutóbbi előadásában kiemelte a kockázatmenedzsment és a nemzetközi szabványok szerepét a vállalatok kiberbiztonsági felkészültségében.
Balogh szerint elengedhetetlen, hogy a szervezetek átgondolják és megváltoztassák hozzáállásukat a kiberbiztonsági fenyegetésekkel kapcsolatban. Gyakori tévhit, hogy a cégek úgy érzik, hozzájuk nem férkőzhetnek be a kiberbűnözők, amúgy sem érdekes a tevékenységük a hackereknek.
Ez a hozzáállás veszélyes, mivel a kiberbiztonsági incidensek bárkit érinthetnek. A felkészülés hosszú folyamat, és csak alapos kockázatmenedzsmenttel lehet hatékonyan kezelni a fenyegetéseket – mondta el az RSM Hungary szakértője.
A kockázatmenedzsmentről szólva Balogh hangsúlyozta, hogy nem elegendő csupán a szabályozások követése. A kockázatok elemzése és kezelése alapkövetelmény minden szervezet számára. Az ISO 31000 szabvány szerint a kockázat egy bizonytalan tényező hatása a célokra, míg a Management of Risk szerint olyan esemény – vagy események – sorozata, ami ha bekövetkezik, akkor hatással lesz a céljaink elérésére. Az egyszerű matematikai megközelítés alapján a kockázat valamilyen fenyegetés és a bekövetkezési valószínűségfüggvénye.
Az új NIS2 irányelv kapcsán Balogh is felhívta a figyelmet a közelgő határidőkre és kötelezettségekre: június 30-ig minden érintett szervezetnek regisztrálnia kell a 420-as elektronikus űrlapon keresztül. Az elmulasztott regisztráció szankciókkal járhat, így ennek elkerülése érdekében minden érintett szervezetnek cselekednie kell.
A NIS2 irányelv kockázatalapú megközelítést alkalmaz, és a kockázatkezelés alapkövetelményként jelenik meg a rendelettervezetben is. A rendelettervezet biztonsági osztályokra osztja az elektronikus információs rendszereket, és az ehhez kapcsolódó védelmi intézkedéseket minden szervezetnek be kell vezetnie. A legmagasabb biztonsági osztályba tartozó rendszerek esetében több mint 300 intézkedésnek kell megfelelni.
A nemzetközi szabványok szerepéről Balogh kiemelte az ISO 27001 és az NIST 800-53 szabványok jelentőségét. Előbbi az információbiztonsági irányítási rendszerek egyik nemzetközi szabványa, és kockázatalapú megközelítést alkalmaz. Ez a szabvány nem kötelező, de sok szervezet számára alapvető iránymutatást nyújthat. A NIST 800-53 szabvány pedig az amerikai kormányzat által alkalmazott keretrendszer, amely nagyon részletes és szigorú követelményeket tartalmaz.
Magyarországon a rendelettervezet az NIST 800-53 ötödik változatára épül, és annak intézkedéseit veszi alapul, és jelezte, hogy
az RSM Hungary segíteni tud a szervezeteknek a felkészülésben, beleértve a kockázatelemzést és a kockázatmenedzsment keretrendszerek bevezetését is.
Balogh záró gondolataiban kiemelte a mesterséges intelligencia szerepét a kiberbiztonságban. Az MI lehetőséget ad nagyon profi támadások és adathalász levelek létrehozására, valamint a deep fake technológia használata is egyre gyakoribb. A szervezeteknek folyamatosan figyelniük kell az új technológiák nyújtotta veszélyeket és lehetőségeket, hogy hatékonyan védekezhessenek a kiberbűnözés ellen.
Címlapkép forrása: Getty Images
Fegyverkezik Európa: hamarosan csúcsmodern amerikai rakétákat gyárthat a Rheinmetall
Alakul az együttműködés.
Begyújtotta a rakétákat a kedvelt megtakarítás, milliárdokat kaszáltak a szemfüles magyarok
Csúcson pörögnek az egészségpénztárak.
Rejtélyes útra indult Zelenszkij jobbkeze - Meg is van az elnöki csúcstalálkozó helyszíne?
Ez az ország adhat otthont a Zelenszkij-Putyin csúcsnak.
Béke Ukrajnában: az oroszok hallani sem akarnak a NATO legújabb ötletéről
Határozott vélemény Moszkvából.
Úgy néz ki, máris kilőtték az ukránok hősies Leopard tankját
Épphogy megjelent a felvétel, az oroszok posztolták, hogy ért véget a bevetés.
Egyre nagyobb a káosz Indiában Trump vámjai miatt
Exportvállalatok sora kér nyíltan kormányzati segítséget.
Nagy változás jön a tőzsdéken, ezek a részvények lehetnek az új sztárok
Az S&P 500 szeptemberi átsúlyozása az év eddigi legnagyobb mozgásait hozhatja.
Építkeznél az Otthon Starttal? Rád speciális szabályok vonatkoznak, amikről tudnod kell!
Jó hír, hogy az Otthon Start Program nemcsak lakásvásárlásra, hanem építkezésre is felhasználható. Ám aki házat szeretne építeni a 3%-os hitelből, annak számolnia kell azzal, hogy ez jóva
Az USA adósság mögötti árnyékkereslet felemelkedése
Az amerikai államkötvények piacán a hedge fundok és a stabil érmék kibocsátói egyre fontosabbá válnak a napi árazásban. Ezek a szereplők gyakran a rövid távú profitra és piaci feltételek
A világ legnagyobb kibocsátói
A világ szén-dioxid- és metánkibocsátásának jelentős részéért csupán néhány vállalat tehető felelőssé. Mai bejegyzésünkben velük foglalkozunk.
ESG és adózás: így kapcsolódik össze a társadalmi felelősségvállalás és a vállalati adományozás
Az elmúlt években egyre nagyobb figyelmet kapott az ESG, azaz a környezeti, társadalmi és vállalatirányítási szempontokat figyelembe vevő működés. Az ESG nem csupán trend vagy megfelelési k
Tartozik-e nekünk az állam, ha van pénzünk?
Egy modern bankjegy tulajdonosa nem követelhet semmi "értékesebbet" az államtól a pénzéért cserébe. Miért sorolják a készpénzt mégis az államadóssághoz a statisztikák? És számít-e ez
Trump Signs Stablecoin Law - But Can We Stabilize the Stablecoin?
In a landmark move, the United States has passed a long-awaited law regulating stablecoins, signalling a turning point for digital assets pegged to the U.S. dollar. What if making stablecoins more stable o
Zsugorodó világ, táguló tudomány - együttműködés és rivalizálás a fejlődés motorjaként
Verseny vagy együttműködés? A tudomány és technológia fejlődését évszázadokon át ez a kettősség hajtotta előre. Ma a világ zsugorodóban, az elmúlt évtizedekben egyre több a közös kut
Indul a verseny a jövő energiájáért - Megnyílt az EKFI 2025 pályázat!
Olyan energetikai problémáról tudsz, amit csak te vagy képes megoldani? Ha igen, akkor most itt az idő, hogy megmutasd.
Meddig fékezheti az inflációt az árrésstop?
Kozák Tamással, az OKSZ főtitkárával beszélgettünk.
Nagy pofont kaptak a boltok - Mi jön most?
Örülhetnek a vásárlók ennek?
Az európai sikerország is lecsap a bankokra, mégis mi folyik itt?
Mi történik a pénzzel Lengyelországban?
Limit, Stop, vagy Piaci? Megbízások, amikkel nem lősz mellé!
Ismerd meg a tőzsdei megbízások világát, és tanulj meg profin navigálni a piacokon!
Bikák és Medvék: Kivel jobb haverkodni a tőzsdén?
Hogyan ismerd fel, hogy épp emelkedő (bull) vagy csökkenő (bear) piacon jársz? Megtanulhatod, mikor érdemes növelni a kockázatvállalást, és mikor jobb óvatosan hátrálni.
