Október 18-án jár le a határidő, ameddig több ezer magyar vállalatnak be kell vezetnie az uniós NIS2 irányelv által előírt védelmi intézkedéseket, ha nem akarnak többmilliós bírságot. Az aktuális szakértői javaslatokat gyűjtöttük egy csokorba.

A 2024-ben életbe lépett NIS2 irányelv becslések szerint Magyarországon 2500 – de a partnerekkel, beszállítókkal együtt akár 4 ezer – vállalkozást is érinthet.
Az uniós direktíva az 50 főnél több alkalmazottat foglalkoztató vagy 10 millió euró nettó árbevételt meghaladó, kockázatos vagy kiemelten kockázatos ágazatokban tevékenykedő vállalatokra és azok beszállítóira is vonatkozik.
A kockázatos ágazatok közé sorolják többek között a vegyipari, az élelmiszeripari vállalatokat, valamint a digitális szolgáltatókat. A kiemelten kockázatos ágazatok közé tartozik az energia, a közlekedés, illetve egészségügyi szektor.
Az első fontosabb határidő szerint idén június 30-ig kellett regisztrálniuk magukat a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt Cégkapu felületen.
„A kötelező bejelentkezés hivatalos határideje ugyan már lejárt, a regisztrációt elmulasztó cégek azonban még szankcionálás nélkül pótolhatják a szükséges dokumentumokat október 17-ig. Ez az utolsó esélye az érintett hazai vállalkozásoknak, hogy szankció nélkül belépjenek a nyilvántartásba” – hangsúlyozza Zala Mihály, az EY kibervédelmi szolgáltatásokkal foglalkozó vezetője.
Az irányelv kapcsán most megint egy újabb fontos határidőhöz érkeztünk: az érintett cégeknek október 18-ig teljesíteniük kell(ett) a felügyeleti díj fizetési kötelezettségüket és az NIS2 által előírt kötelező védelmi intézkedések bevezetését.
Ha ezt követően egy hatósági vizsgálat hiányosságokat tár fel, a vállalatok sok milliós büntetésre számíthatnak. A bírság felső határa az adott cég vagy cégcsoport éves globális forgalmának a két százaléka, maximum 10 millió euró.
A jogszabály alapján legkésőbb december 31-ig, vagy a regisztrációt követő 120 napon belül szerződést kell kötniük egy auditorral is a NIS2 hatálya alá tartozó vállalatoknak.
A független vizsgálat lefolytatására pedig 2025. december 31-ig van lehetősége a cégeknek. Akik ezt elmulasztják vagy kicsúsznak a határidőből, a büntetésen felül még a vezetőiket is eltilthatják a munkavégzéstől – emeli ki Zala Mihály.
Az októberi határidőhöz kötődő feladatok
Október 18-tól az érintett vállalkozásoknak kötelező kockázatkezelési eljárásokat és incidenskezelési folyamatokat kell bevezetniük. Megfelelő technikai és szervezeti intézkedéseket kell hozniuk a hálózati és információs rendszereik védelmének biztosítására(adattitkosítás, hozzáférési jogosultságok kezelése).
Gondoskodniuk kell a rendszeres kiberbiztonsági képzésekről, figyelniük kell az IT rendszereiket, és jelenteniük kell a biztonsági incidenseket az illetékes hatóságoknak.
Rendszeres kockázatelemzést és sebezhetőségi vizsgálatokat kell végezniük. Mindennek az érintett vállalatok beszállítóinak is meg kell felelniük, ezek ellenőrzése szintén a direktíva hatáskörébe tartozó vállalatok feladata.
Tetemes költségeket jelenthet a cégeknek az extra adminisztráció
A folyamathoz kapcsolódó új adminisztrációs feladatok ugyanakkor jelentős többletköltséget és terhet rónak a vállalkozásokra, főleg azokra, amelyek még a szükséges alapokkal sem rendelkeznek.
„Számos vállalkozás esetében azt látjuk, hogy még digitális adatbázisuk sincs az elektronikai eszközökről és azok hollétéről. Ahhoz, hogy kiberbiztonsági rendszert építsen egy vállalat, először meg kell teremteni az ehhez szükséges adminisztrációs hátteret” – figyelmeztet Berki Gergő, a TOPdesk üzletágvezetője.
A védelemnek ki kell terjednie az elektronikus információs rendszerek és az ezek által használt szoftver- és hardvertermékek beszerzésére, fejlesztésére és üzemeltetésére is.
Az irányelv szerint minden vállalkozás valamilyen biztonsági kockázati csoportba sorolható, és az adott kategóriához társított konkrét adminisztratív, logikai és fizikai intézkedéseket kell megtennie.
A cégeknek ki kell nevezniük egy információbiztonsági felelőst (IBF) is. Az ő feladata lesz biztosítani, hogy a cég megfeleljen a törvényi előírásoknak, illetve, ha információbiztonsági incidens keletkezik, ő felelős az eset jelentéséért is.
Az IBF tartja a kapcsolatot a Szabályozott Tevékenységek Felügyeleti Hatóságával, a Nemzeti Kibervédelmi Intézettel és a Kormányzati Eseménykezelő Központtal (GovCert) is. A legmagasabb kockázati kategóriába tartozó események bejelentési időablaka 72 óra, ami nagyon komoly adminisztrációs nyomást helyez majd az IBF-ekre.
Az adminisztratív feladatok végzését viszont rá lehet bízni akár egy szolgáltatásmenedzsment-rendszerre is, ami egy platformon összegzi a digitális eszközöket, képes kommunikálni az információbiztonsági és SIEM-rendszerekkel, tűzfalakkal.
„Ezek érzékelik az illegális rendszerbelépéseket és a gyanús cselekményeket – a rendszer az ilyen eseteket automatikusan hibajegyekké alakítja, amit az IBF egyetlen kattintással tovább is tud küldeni a megfelelő hatóságoknak” – mutat rá a szakértő.
Az információbiztonsági szakemberek a digitális platformon nyomon követhetik a vállalat elektronikus eszközeit, a karbantartási és frissítési feladatokat és azonnal látni fogják, hogy melyik szerver okoz sok problémát és melyik felhasználótól jön túl sok bejelentés. Az adatok alapján pedig már azelőtt láthatják a kiberbiztonsági problémákat, hogy azok bekövetkeznének.
Bírságokkal fenyegető váratlan helyzetek
Annak ellenére, hogy egy vállalat minden szükséges intézkedést megtesz és megfelel a NIS2 irányelv követelményeinek, a Colonnade Biztosító szakértői szerint bizonyos helyzetekben továbbra is előfordulhatnak bírsággal fenyegető váratlan helyzetek, amelyeket az alábbi felsorolás tartalmaz.
• Incidensek bejelentésének elmulasztása: A NIS2 irányelv szigorú határidőket és jelentési követelményeket ír elő. Ha egy incidens bekövetkezik, de a cég nem jelenti időben vagy a bejelentés a meghatározott tartalmi követelményeknek nem felel meg, akkor a hatóság bírságot szabhat ki.
• Folyamatos megfelelés fenntartásának elmulasztása: A kiberbiztonsági rendszerek folyamatos frissítése és a hozzáférés-szabályozás naprakészen tartása kulcsfontosságú. Ez magában foglalja a hozzáférés-szabályozást, konfigurációkezelést, kockázatértékelést és a rendszerek és szolgáltatások beszerzését. A megfelelés folyamatos fenntartásának elmulasztása esetén – ha ez egy hatósági vizsgálat vagy incidens alkalmával derül ki – szintén bírságot szabhatnak ki.
• Új folyamatok vagy termékek bevezetése: Ha egy vállalat új termékeket vagy szolgáltatásokat vezet be, vagy felvásárol egy másik vállalatot, a kiberbiztonsági rendszereket azonnal aktualizálni kell. Ennek elmulasztása is bírságot eredményezhet, hiszen az új folyamatok biztonsági kockázatokat jelenthetnek, ha nem történik meg a rendszer módosítása.
• A beszállítói lánc felügyeletének a hiánya: Az ellátási láncok kiberbiztonsági megfelelőségének folyamatos ellenőrzése is fontos. Új beszállítók esetén is kötelező a kockázatok azonosítása és a megfelelő biztonsági követelmények alkalmazása. Itt is történhet mulasztás, amely komoly szankciókat eredményezhet.
Az ilyen helyzetekre nem árt a cégeknek megfelelő biztosítással is rendelkezniük. A Colonnade Biztosító a cyber adatvédelmi felelősségbiztosítását és egészítette ki NIS2 fedezettel, amely bizonyos limit erejéig fedezetet nyújt a NIS2 irányelv megsértésével kapcsolatos bírságokra, a hivatalos vizsgálatokkal kapcsolatos költségekre, beleértve a jogi és szakértői díjakat.
Új technológiák, új kihívások a kiberbiztonságban
„Ezek közé sorolhatók a felhőrendszerek és a mesterséges intelligencia(AI), ami ma olyan, mint a felhő volt 5-10 éve, nagy lehetőség a cégeknek, de nem árt óvatosnak lenni” – figyelmeztet Kosztolánczy Balázs az iSolutions Kft. üzletfejlesztési igazgatója.
Hozzáteszi: a felhő nem egy új IT eszköz, hanem egy hatalmas technológiai váltás a hagyományos rendszerekhez képest. Ha egy vállalkozás nem csak bevezeti, hanem megérti és megtanulja használni a felhőt, az sokszorosan térül meg számára.
A szakértő az alábbiakban foglalja össze a biztonságos felhőbe költözés legfontosabb lépéseit
1. A felhő megismerése: Az új rendszer bevezetése előtt a legfontosabb, hogy a döntéshozók megismerjék, mit tud a felhő, mire lehet használni és miben más, mint az eddig használt rendszer. Erre a legalkalmasabb egy olyan bemutató, ahol nemcsak a rendszert ismertetik, de megoldásokat is mutatnak a cég problémáira.
2. Tervezés: A részletes terv elkészítése kulcsfontosságú. Ilyenkor át kell gondolni a levelezést, az e-mail címeket, ki milyen címet használ, vannak-e közös vagy technikai e-mail címek stb. Ugyanez igaz a dokumentumkezelésre is. Hol tárolja a cég a fájlokat? Milyen struktúrába rendezi őket? Ki milyen jogosultságokat kap? Ezek a szempontok elengedhetetlenek az adatbiztonsághoz.
3. Projektmenedzsment: Fontos az átállás megfelelő menedzselése is. Az átállást végző IT cégnek nyíltan kell kommunikálnia a vállalattal a projekt lépéseit, de a cégvezetésnek is jól kell kommunikálnia a munkavégzésben végbemenő változásokat a munkatársaknak, hogy tisztán lássák mi történik most, és mire számíthatnak az átállást követően.
4. Az eszközök beállítása: Nagyon fontos, hogy a technikai beállításokat is szakemberek végezzék el az alkalmazottak helyett. Gyakran előfordul ugyanis, hogy a felhasználók nem tudják megfelelően konfigurálni az eszközeiket.
5. Az adatok áthelyezése: Amikor egy cég a felhőbe költözik, minden adatot és információt át kell helyezni a megfelelő helyre. Ez a folyamat egy-két napnál lényegesen hosszabb időt igényel, hiszen ki kell alakítani a mappastruktúrát és az adatkezelési protokollt is meg kell határozni. A szakértő szerint erre a lépésre érdemes elegendő időt és odafigyelést szánni, mert a kiberbiztonsági szabványok jelentős része ezt a területet érinti.
6. Rendszeres oktatás: Az alkalmazottak továbbképzésének folyamatosnak kell lennie, hogy naprakészek legyenek rendszer technológiai változásaival kapcsolatban. Mivel egy modern felhőrendszer ma már naponta frissül új beállításokkal és funkciókkal, így ehhez is olyan IT partner választása szükséges, aki képben van a legújabb frissítésekkel.
A mesterséges intelligencia is hatalmas lehetőségeket nyújt a cégek számára, de tudatosan kell megválasztaniuk, milyen AI-eszközöket használnak. A nem kifejezetten üzleti célokra fejlesztett AI-programoknál fennállhat ugyanis az adatvesztés kockázata. Az ilyen rendszerek ugyanis a gépi tanulás során felhasználhatják, sőt, más felhasználók számára is kiadhatják a vállalat adatvagyonát.