Eljött az új világ Magyarországon, sokan nem készültek fel a kibervédelmi szabályok változására
Üzlet

Eljött az új világ Magyarországon, sokan nem készültek fel a kibervédelmi szabályok változására

Új kiberbiztonsági törvény lépett hatályba Magyarországon az év elejétől, amely már a NIS2 EU-s szabályokat is a hazai jogrendbe ágyazta. Közel 4000 olyan hazai cég fontos teendők előtt áll: szakértők vizsgálják meg minden vállalat kiberbitonsági ellenállóképességét, majd ha szükséges, ezt meg is kell erősíteni. A tét nagy, ugyanis többmillió eurós bírságok is repkedhetnek, ráadásul a cégvezetőket is legfeljebb 15 millió forintos bírsággal sújthatják. Az általunk megkérdezett szakértő szerint a hazai cégek nagy része jelenleg még nincs felkészülve az új szabályok betartására.
Mire jó az AI az üzletben? Mellébeszélés helyett stratégiákat, valós megoldásokat és use case-eket mutatunk egy teljes napon át! Regisztráció és részletek itt!

Mi is az a NIS2 és kinek van dolga vele?

A NIS2 irányelv célja az EU kibervédelmi képességeinek megerősítése a folyamatosan növekvő kiberfenyegetésekkel szemben. A NIS2, vagyis a felülvizsgált kibervédelmi irányelv a 2016-os hálózat és információbiztonsági irányelvet (NIS) váltotta fel. Az irányelv 2023. január 16-án lépett hatályba, és az Európai Unió tagállamainak 2024. október 17-ig kellett (vagy kellett volna) átültetniük a benne foglalt intézkedéseket a nemzeti jogba. 

Magyarországon nemrégiben, az év végén jelent meg az a törvény, amely a NIS2 szabályokat a hazai jogrendszerbe átülteti, egyúttal egységesítette a kiberbiztonságra vonatkozó alapvető jogszabályokat egyetlen jogszabályban. Ez a kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt, mert a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani. A kiberbiztonsági felügyeletet Nemzetbiztonsági Szakszolgálat és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el.

A NIS2 által szabályozott cégek felügyeleti díjat is fizetnek, ez az adott cég előző évi árbevételének 0,015%-ka, de legfeljebb 10 millió forint.

A NIS2-es előírások a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre, és minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági és társadalmi fejlődése szempontjából kritikus funkciót látnak el.  Méretüktől függetlenül a törvény hatálya alá tartoznak az elektronikus hírközlési szolgáltatók, a bizalmi szolgáltatók, a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartó és a doménnév-regisztrációt végző szolgáltatók is.

A NIS2-irányelv hatálya alá tartozó ágazatok a következők:

Alapvető fontosságú szervezetek: Energia: villamos energia, olaj és gáz Közlekedés: légi, vasúti, vízi és közúti közlekedés Bankszektor: hitelintézetek Pénzügyi piaci infrastruktúrák: kereskedési helyszínek Egészségügyi ágazat: kórházak, magánklinikák, alapellátási létesítmények. Ivóvízellátás és -elosztás Digitális infrastruktúra: internetes cserepontok, domainnévrendszer-szolgáltatók, felső szintű domainnév-nyilvántartások. Közigazgatás: a polgárok vagy vállalkozások számára alapvető szolgáltatásokat nyújtó közigazgatási szervek.

Fontos szervezetek: Postai és futárszolgálatok Hulladékgazdálkodás Vegyi anyagok Élelmiszer-előállítás, -feldolgozás és -forgalmazás Gyógyszergyártás, orvosi eszközök és egyéni védőeszközök gyártása Digitális szolgáltatók: felhőalapú számítástechnikai szolgáltatások, online piacterek, online keresőmotorok, közösségi hálózatok, adatközpont-szolgáltatók. Közigazgatás: a polgároknak vagy vállalkozásoknak fontos szolgáltatásokat nyújtó közigazgatási szervek.

Közel 4000 cég érintett

Magyarországon a becslések szerint mintegy 3500-4000 cégnek ír elő kötelezettségeket a NIS2. Az érintett vállalkozásoknak

2025 december 31-ig el kell végezniük egy auditvizsgálatot, illetve ennek nyomán – ha szükséges – meg kell erősíteniük a kibervédelmi képességeiket.

Az auditot kétévente szükséges újra elvégezni, az audit-jelentéseket a megrendelő cég és a hatóság is megkapja. Tavaly év végéig kellett volna a cégeknek szerződést kötni az auditorokkal, akik jelentést készíthetnek a cégek kiberbiztosági állapotáról. Ez azonban azért nem történhetett még meg, mert egyrészt az auditálási folyamat részletszabályait még nem alkották meg, másrészt a díjakról is zajlanak az egyeztetések.

Szerencsére az SZTFH – amely szankciókat is alkalmazhatna azoknál, akik határidőre nem kötötték meg a szerződést valamelyik auditorral - december végén közleményt adott ki arról, hogy a körülmények miatt a határidő elmulasztása egyelőre nem jár következményekkel számukra. Jelenleg kilenc olyan auditor cég szerepel az SZTFH oldalán, amelyeket a hatóság már elbírált kérelem alapján vett nyilvántartásba.

Az ISACA (Information Systems Audit and Control Association) nemzetközi szövetség nyilvántartása szerint egyébként körülbelül 500 szakember rendelkezik itthon IT-biztonsági auditor képzettséggel, de nem mindenki foglalkozik ilyen jellegű auditációval.

Incidensjelentés és szankciók

Ha egy vállalatnál kibervédelmi incidens – például egy hackertámadás, adatszivárgás - történik,

a szabályok szerint 24 órán belül be kell jelenteni az esetet a Nemzeti Kibervédelmi Intézetnek.

Ezt követően, de legfeljebb 72 órán belül egy ennél bővebb eseményjelentést kell benyújtani. Az incidens kezelését a megfelelő képesítéssel rendelkező belső alkalmazottak vagy egy arra jogosult szervezet végezheti, utóbbiról az auditor cégekhez hasonlóan az SZTFH egy listát vezet majd. Ha személyes adatokat is érint az incidens, akkor a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) is jelenteni kell az esetet.

Vári Csaba, a Baker McKenzie ügyvédje, adatvédelmi és technológiai szakértője lapunknak elmondta, hogy ha a cégek nem felelnek a szabályoknak, akkor számos jogkövetkezménnyel nézhetnek szembe: első körben a hatóság nem bírságol, hanem felszólítja a szervezetet az információbiztonsági követelmények teljesítésére, illetőleg súlyos incidensfenyegetés esetén azonnali intézkedés megtételére kötelezheti a céget. Ezt követően súlyosabb szankció, bírság kiszabása is következhet. A kiberbiztonsági hatóság információbiztonsági felügyelőt is kirendelhet a céghez az érintett szervezet költségére, vagy kötelezheti a jogszabálysértés tényének és körülményeinek nyilvánosságra hozatalára. Ezen túl a hatóság akár a szervezet vezetőjével szemben is kiszabhat bírságot.

A bírság legmagasabb összege fontos szervezetek esetén 7 millió euró, vagy ha ez magasabb, a cég előző pénzügyi éve világszintű árbevételének 1,4 százaléka, alapvető szervezetek esetén pedig 10 millió euró vagy az előző éves árbevétel 2 százaléka.

Újdonság az is, hogy magánszemélyeket, a szervezet vezetőjét is bírságolhatják, ebben az esetben a bírság maximális összege 15 millió forint lehet.

Mi jön most?

Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője lapunknak elmondta, hogy a cégeknek számos feladatot el kell végezniük ahhoz, hogy megfeleljenek a NIS2 követelményeknek. Ezek közé tartozik a kiberbiztonsági hiányosságokat feltáró GAP analízis, adathalász-, illetve kibertámadás-szimulációk, az információbiztonsági irányítási rendszer kiépítése és auditálása.

Fontos új eleme a NIS2-nek, hogy az érintett vállalatoknak már nem csak a saját rendszereik védelmére kell figyelmet fordítaniuk, hanem az ellátási láncukra is. A digitális ellátási láncok ugyanis számos, a szervezet hálózatához hozzáférést biztosító pontot tartalmazhatnak. Hiába rendelkezik egy szervezet fejlett belső kiberbiztonsági rendszerekkel, ha a támadók egy beszállítóján keresztül megkerülik azokat.

A szakértő lapunkak leszögezte, hogy tapasztalatai szerint

a cégek nagy része jelenleg nincs felkészülve az új szabályokra, sok dolguk van még, a rendszereiket meg kellene erősíteni a kiberfenyegetésekkel szemben.

Címlapkép forrása: dusanpetkovic via Getty Images

Holdblog

Piaci hiszti vagy hatékony fogadók?

Az tény, hogy gondban van a világ egyik legerősebb csapata, de az nem biztos, hogy a fogadók jól látják a helyzetet. A Manchester City teljesítményére... The post Piaci hiszti vagy hatékony foga

Kiszámoló

Lehet bérelni is

Nagyon gyakori eset, hogy valakinek van egy lakása, ami már szűkös a két kamasszal, de ami ingatlant szeretnének helyette, ahhoz fel kellene venni 60-70 millió forint vagy akár még több hitelt, a

Holdblog

Túl a gyermekcsúcson

Megállt a gyermekek számának növekedése a világon - legalábbis az ENSZ felmérései szerint. A pillanatot, amikor a legtöbb gyermek van a Földön, a néhai Hans... The post Túl a gyermekcsúcson

Holdblog

Az elnök emberei

Donald Trumpot csak január 20-án iktatják be hivatalába, de leendő munkatársainak egy részét már ismerni. Közülük vannak páran, akik mellett nehéz lenne elmenni, anélkül, hogy... The post A

PR cikk
FRISS HÍREK
NÉPSZERŰ
Összes friss hír
Érdekes időpontban kaphatnak

Gazdasági elemző

Gazdasági elemző

Multi asset portfólió menedzser

Multi asset portfólió menedzser
Díjmentes előadás

Tőzsdézz a világ legnagyobb piacain: Kezdő útmutató

A tőzsdei vagyonépítés során kulcsfontosságú az alapos kutatás és a kockázatok megértése, valamint a hosszú távú célok kitűzése és kitartó befektetési stratégia követése.

Interaktív online előadás

Warren Buffett helyett én: Kezdők útmutatója a befektetéshez

Fedezd fel a befektetés világát úgy, ahogy még sosem! Ez a webinárium egyszerűen és érthetően mutatja be az alapelveket, amelyekre még a legnagyobb befektetők, mint Warren Buffett is esküsznek.

Portfolio hírlevél

Ne maradjon le a friss hírekről!

Iratkozzon fel mobilbarát hírleveleinkre és járjon mindenki előtt.

Kiadó modern irodaházak

Az iroda ma már több, mint egy munkahely. Találják meg most cégük új otthonát.

Property Warm Up 2025
2025. február 20.
Green Transition & ESG 2025
2025. március 6.
Biztosítás 2025
2025. március 4.
Agrárium 2025
2025. március 19.
Hírek, eseményajánlók első kézből: iratkozzon fel exkluzív rendezvényértesítőnkre!
Ez is érdekelhet
bull bear medve bika tőzsde