
A NIS2 irányelv (Network and Information Systems Directive 2) célja egy egységes, magas szintű kiberbiztonsági keret létrehozása az Európai Unióban, amely segíti a tagállamokat és az érintett szervezeteket a kiberfenyegetések elleni védekezésben. A kiberbiztonsági audit az utolsó lépés a felkészülésben, amely során értékelik a biztonsági intézkedéseket és védelmi mechanizmusokat, hogy megfelelnek-e a NIS2 követelményeinek.
Mint arról az RSM Hungary a tájékoztató anyagában is ír, Magyarországon a NIS2 irányelv több ezer szervezetet érint. A hazai jogrendben való alkalmazáshoz szükséges a NIS2 átültetése a magyar jogszabályi környezetbe. A központi szerepet a 2023. évi XXIII. törvény tölti be, amely a kiberbiztonsági tanúsításról és felügyeletről szól. A törvény I. és II. melléklete határozza meg, mely kritikus és kiemelten kritikus ágazatokba tartozó vállalatok esnek a NIS2 hatálya alá. Az irányelv a közép- és nagyvállalatokra vonatkozik, azaz legalább 50 főt foglalkoztató vagy évi 10 millió euró árbevételű cégekre. Az elektronikus hírközlési, bizalmi, DNS-szolgáltatókra és domainnév-regisztrációval foglalkozó szolgáltatókra nem vonatkozik ez a szabályozás.
A regisztráció határideje szorosan közeledik: 2024. január 1-től minden érintett szervezetnek nyilvántartásba kell vetetnie magát. Azok a társaságok, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, június 30-ig kötelesek regisztrálni. Más esetekben a regisztrációs határidő 30 nap. A regisztrációt a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) kell benyújtani.
A NIS2 irányelv nem teljesítése esetén jelentős bírságokra, akár 50-350 millió forintig terjedő pénzbüntetésekre is számíthatnak a cégek.
A regisztráció során a vállalatoknak meg kell adniuk a cégadatokat, kapcsolattartási információkat, bizonyos technikai adatokat és az információbiztonsági felelős elérhetőségeit. Az SZTFH dönt arról, hogy egy vállalat érintett-e az irányelv által, és minden regisztrációs kérelmet alaposan felülvizsgál. Ha egy társaság nem biztos abban, hogy rá vonatkozik-e a NIS2 irányelv, kapcsolatba léphet az SZTFH-val vagy benyújthatja az űrlapot, és a hatóság dönt.
A megfelelés nem ér véget a regisztrációval. Az érintett vállalatoknak 2024. október 18-tól alkalmazniuk kell a megfelelő védelmi intézkedéseket, és be kell fizetniük a felügyeleti díjat. 2024. december 31-ig szerződést kell kötniük egy kiberbiztonsági auditorral, aki 2025. december 31-ig lefolytatja az első auditot.
A dolgozók a leggyengébb láncszemek
A kibertámadások világszerte egyre komolyabb fenyegetést jelentenek, és egyre nagyobb károkat okoznak a vállalatoknak és az egyéneknek egyaránt – mondta el Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági és kommunikációs szakértője az RSM Hungary webinárján. Előadásában hangsúlyozta, hogy ma már nincs olyan szervezet, amely biztonságban érezhetné magát a kiberbűnözőkkel szemben. Idézte a Cisco egyik vezérigazgatójának azóta híressé vált mondását miszerint „kétféle vállalat létezik: az egyik, amelyiket már meghekkelték, és a másik, amelyiket még nem tudja, hogy már meghekkelték”.
Bor Olivér rámutatott, hogy a kiberbűnözők okozta károk mértéke exponenciálisan nőtt az elmúlt évtizedben. Míg 2022-2023-ban a világgazdasági kár elérte a 8000 milliárd dollárt, a valóságban ez az összeg a látencia miatt háromszor ekkora is lehet.
A kiberbűnözés mára jövedelmezőbb üzletággá vált, mint a drogcsempészet, ami új kihívásokat jelent a biztonsági szakemberek számára.
Ismertette, hogy a legnagyobb veszélyt jellemzően maguk a felhasználók jelentik, akik sokszor nem veszik komolyan a kiberbiztonsági előírásokat, mondván „senki nem kíváncsi az ő adataikra”. Bor Olivér szerint a hamis biztonságérzet különösen veszélyes, hiszen bárki válhat áldozattá, függetlenül attól, hogy mennyire érzi magát érdektelennek vagy szegénynek. Az adathalászat és a zsarolóvírus-támadások továbbra is a leggyakoribb módszerek közé tartoznak, amelyekkel a kiberbűnözők behatolnak a rendszerekbe.
A zsarolóvírus-támadások különösen károsak, hiszen egész rendszereket képesek zárolni, és a helyreállítás költségei gyakran milliárdokban mérhetők. A gyártás, az élelmiszeripar és a kritikus infrastruktúrák a leginkább érintett ágazatok közé tartoznak. Bor Olivér több hazai példát is hozott, illetve bemutatott egy olyan statisztikát, mely szerint 2021-ben átlagosan több mint 200 millió forintot fizettek a hazai cégek váltságdíjként, amennyiben zsarolóvírus támadás érte őket. Volt olyan eset, amikor a támadást elszenvedő cég kárértéke 3-5 milliárd forint közötti összegre volt tehető ilyen támadás miatt.
Az adathalászat szintén komoly fenyegetést jelent, különösen a pénzügyi, az IKT szektor és a digitális szolgáltatásokkal foglalkozó cégek számára.
Magyarországon 2023-ban a pénzügyi csalásokhoz köthető online károk mértéke meghaladta a 30 milliárd forintot, ami azt jelenti, hogy naponta átlagosan egy család elveszíti a megtakarítását.
Fontos azonban kiemelni, hogy a támadók ilyen esetekben nem a pénzintézeteket támadják, hiszen a magyar bankbiztonság európai viszonylatban is jónak tekinthető, így a kiberbűnözők sokkal inkább az ügyfeleket célozzák meg egy-egy adathalász kísérlettel.
Az unió Digitalistaion in Europe jelentése szerint Magyarország az EU-s átlagtól kicsit lemaradva helyezkedik el az IT-tudatosság területén, így van hova fejlődnie. A kiberbiztonsági szabályzatok és intézkedések terén sok vállalat még mindig csak alapvető védelmi megoldásokkal rendelkezik, mint például tűzfalak és vírusvédelmi szoftverek. Az informatikai biztonsági szabályzatok és policyk hiánya komoly kockázatot jelent a szakértő szerint.
Bor Olivér kiemelte, hogy az SZTFH négyes modellje segíthet Magyarország kiberbiztonsági érettségének növelésében.
Ez a modell a hatékony szabályozás, a tudatosítás, a felkészült vállalatok és a párbeszéd fontosságára épül.
Kitért arra is, hogy az EU 2016-ban vezette be a NIS1 irányelvet, amelyet most a NIS2 irányelv követ, amelyre komoly szükség is volt, mert az előző szabályozás számos ponton volt hiányos. Magyarország már 2023 februárjában kezdeményezte a kiberbiztonsági tanúsításról és felügyeletről szóló jogszabálytervezet benyújtását, amit májusban el is fogadtak. Ezzel Magyarország az EU-ban elsőként indította el az implementációs folyamatot.
A NIS2 irányelv célja, hogy egységesen magas kiberbiztonsági szintet érjen el Európában, de a tagállamok eltérő szigorításokat alkalmazhatnak. Magyarországon a jogszabály már több mint egy éve érvényben van, ami lehetőséget adott a vállalatoknak a felkészülésre, azonban még mindig sok cég nem adta be a szükséges nyilatkozatokat,
amelyre már csak június 30-ig van lehetőségük.
A gondolkodásmód megváltoztatása is szükséges
A kiberbiztonsági fenyegetések világa egyre komplexebbé válik, és ennek megfelelően a szabályozási környezet is folyamatosan fejlődik. Balogh Zoltán, az RSM Hungary Könyvvizsgáló Zrt. IT audit menedzsere és NIS2 szakértője legutóbbi előadásában kiemelte a kockázatmenedzsment és a nemzetközi szabványok szerepét a vállalatok kiberbiztonsági felkészültségében.
Balogh szerint elengedhetetlen, hogy a szervezetek átgondolják és megváltoztassák hozzáállásukat a kiberbiztonsági fenyegetésekkel kapcsolatban. Gyakori tévhit, hogy a cégek úgy érzik, hozzájuk nem férkőzhetnek be a kiberbűnözők, amúgy sem érdekes a tevékenységük a hackereknek.
Ez a hozzáállás veszélyes, mivel a kiberbiztonsági incidensek bárkit érinthetnek. A felkészülés hosszú folyamat, és csak alapos kockázatmenedzsmenttel lehet hatékonyan kezelni a fenyegetéseket – mondta el az RSM Hungary szakértője.
A kockázatmenedzsmentről szólva Balogh hangsúlyozta, hogy nem elegendő csupán a szabályozások követése. A kockázatok elemzése és kezelése alapkövetelmény minden szervezet számára. Az ISO 31000 szabvány szerint a kockázat egy bizonytalan tényező hatása a célokra, míg a Management of Risk szerint olyan esemény – vagy események – sorozata, ami ha bekövetkezik, akkor hatással lesz a céljaink elérésére. Az egyszerű matematikai megközelítés alapján a kockázat valamilyen fenyegetés és a bekövetkezési valószínűségfüggvénye.
Az új NIS2 irányelv kapcsán Balogh is felhívta a figyelmet a közelgő határidőkre és kötelezettségekre: június 30-ig minden érintett szervezetnek regisztrálnia kell a 420-as elektronikus űrlapon keresztül. Az elmulasztott regisztráció szankciókkal járhat, így ennek elkerülése érdekében minden érintett szervezetnek cselekednie kell.
A NIS2 irányelv kockázatalapú megközelítést alkalmaz, és a kockázatkezelés alapkövetelményként jelenik meg a rendelettervezetben is. A rendelettervezet biztonsági osztályokra osztja az elektronikus információs rendszereket, és az ehhez kapcsolódó védelmi intézkedéseket minden szervezetnek be kell vezetnie. A legmagasabb biztonsági osztályba tartozó rendszerek esetében több mint 300 intézkedésnek kell megfelelni.
A nemzetközi szabványok szerepéről Balogh kiemelte az ISO 27001 és az NIST 800-53 szabványok jelentőségét. Előbbi az információbiztonsági irányítási rendszerek egyik nemzetközi szabványa, és kockázatalapú megközelítést alkalmaz. Ez a szabvány nem kötelező, de sok szervezet számára alapvető iránymutatást nyújthat. A NIST 800-53 szabvány pedig az amerikai kormányzat által alkalmazott keretrendszer, amely nagyon részletes és szigorú követelményeket tartalmaz.
Magyarországon a rendelettervezet az NIST 800-53 ötödik változatára épül, és annak intézkedéseit veszi alapul, és jelezte, hogy
az RSM Hungary segíteni tud a szervezeteknek a felkészülésben, beleértve a kockázatelemzést és a kockázatmenedzsment keretrendszerek bevezetését is.
Balogh záró gondolataiban kiemelte a mesterséges intelligencia szerepét a kiberbiztonságban. Az MI lehetőséget ad nagyon profi támadások és adathalász levelek létrehozására, valamint a deep fake technológia használata is egyre gyakoribb. A szervezeteknek folyamatosan figyelniük kell az új technológiák nyújtotta veszélyeket és lehetőségeket, hogy hatékonyan védekezhessenek a kiberbűnözés ellen.
Címlapkép forrása: Getty Images
A horvát miniszter is megszólalt az áremelésekkel kapcsolatban
A főszezon nem indult rosszul.
Itt van Trump nagy bejelentése a vámokról - Mutatjuk a piaci reakciókat!
Megkönnyebbültek a befektetők.
Lítiummezőt foglaltak el az oroszok, ukrán drónok csaptak le Volgográdnál – Ukrajnai háborús híreink pénteken
Folyamatosan frissülő hírfolyamunk.
Ez nagyon kínos: Oroszország cserben hagyja az egyik legfontosabb partnerét
Ennek nem örülnek Újdelhiben.
Durvul a helyzet: már a Balatonnál is vízkorlátozást rendeltek el
Kötelessége mindenkinek takarékoskodni.
Asztalt boríthat a baloldal csillogó szemű reménysége – Tökéletes mumus válhat Trump rémálmából?
Bravúros volt a diadal, de mi jön ezután?
ESG-szabályozás és trendek: így alakul át a pénzügyi szektor
Az utóbbi években robbanásszerűen nőtt az érdeklődés a fenntartható befektetések iránt. Az ESG-kritériumok - vagyis a környezeti, társadalmi és vállalatirányítási
PORTRÉ - Két hazai "reneszánsz" privátbankár, akik a leggazdagabbak pénzét kezelik
Az SPB Befektetési Zrt. a hazai befektetési szolgáltatói piac egyik legpatinásabb, 25 éve a piacon lévő szereplője, amely elsősorban private banking szolgáltatásokat kínál ügyfelei számár
Devizahitelek tanulságai és a nyugdíjrendszer kihívásai
HitelesAndrás - Keress, kövess, költözz! Devizahitelek tanulságai és a nyugdíjrendszer kihívásai Mi történt a devizahitelekkel? 2006 környékén sok fiatal pár nagy reményekkel vágott bele
Végső soron a NATO is csak üzlet
Indul az emelt NATO-kiadások rendszere, 5 százalék lesz az előirányzott szint. De a hadiiparban Európa versenyképtelen, az amerikai gyártók már el is kezdték körbeudvarolni a...
The post Végs
Gazdasági furcsaságok mérnököknek
Mindig nagyon érdekes számomra, hogy mennyi mérnök lép motiváltan a pénzügyi területre. Rengeteg informatikus (meglepően tájékozottan) érkezik coachingokra, de még a pénzügyi influencerek k
Felkészülés az innovációs célú pályázatokra - pályázati források várhatók
A várakozások szerint közel 200 milliárd forintnyi vissza nem térítendő forrás állhat hamarosan a hazai innovatív vállalkozások rendelkezésére. Megjelenhetnek azok az innovációs pály
VIDEÓ! Befektetés a palládiumba: kockázat vagy rejtett érték?
A palládium piaca 2025-ben egy átalakuló keresleti és kínálati környezetbe került, amelynek hátterében elsősorban a technológiai váltások és iparági alkalmazkodások állnak. Az árfolyam-
GINOP Plusz 2021-2027: felpörgő innovációs pályázatok
A Gazdaságfejlesztési és Innovációs Operatív Program Plusz (GINOP Plusz) a 2021-2027 közötti uniós költségvetési időszak legnagyobb operatív programja.

Mobilról igényelhető hitelkártyát kínál a Gránit Bank (x)
Új építésű lakások akár 12 millió forintos kedvezménnyel (x)
Új kihívások előtt a világgazdaság (x)

- Megjelent a kormány új ingyenhitele, élelmes magyarok tízezrei mozdultak rá azonnal
- Ezért sem jutsz be az állami kórházakba
- A világ tíz leggazdagabb országa között van, és semmit nem tudsz róla, mi ez?
- Kijött a kormány új készpénzes szabálya, mutatjuk a részleteket
- Kiadta a parancsot Donald Trump: Amerika háborúba megy - Most mi fog történni?
Újratervez a CATL Debrecenben – ekkora az akkumulátorválság?
A világ legnagyobb gyártója habozni kezdett.
Úgy szabadulnak a hitelektől a magyarok, mintha nem lenne holnap
Nagyon sok az előtörlesztés.
Vége a megszokásoknak, sürgősen változtatniuk kell az állattartóknak is
Mostantól sosem szabad hátradőlni, mindig félni kell valami újnak a megjelenésétől.
Ügyvédek
A legjobb ügyvédek egy helyen
Tőzsdei túlélőtúra: Hogyan kerüld el a leggyakoribb kezdő hibákat?
A tőzsdei vagyonépítés során kulcsfontosságú az alapos kutatás és a kockázatok megértése, valamint a hosszú távú célok kitűzése és kitartó befektetési stratégia követése.
Számolj háromig és start!
Webináriumunkon megmutatjuk, hogyan indítsd el első befektetésed, milyen új funkciók érhetők el kereskedési platformjainkon, és hogyan vághatsz bele magabiztosan a tőzsdei kereskedésbe – akár már holnap.