Ha ez nem sikerül, akár az éves árbevételük 2 százalékát is kifizethetik büntetésre, sőt, a cégvezetőt eltilthatják a pozíciójától. Piszker György, a Kontron Hungary rendszer architect vezetője elmagyarázta, jelenleg mivel tudnak haladni a vállalatok.
Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) 2022-ben listázta azokat a fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadják: az első helyen a zsarolóprogramok szerepelnek, majd utánuk következnek a vírusok, a trójai- és a kémprogramok, amelyek szintén az emberi hibákra játszanak, és arra akarják rávenni a gyanútlan felhasználót, hogy megnyissa a rosszindulatú dokumentumokat, fájlokat, e-maileket, olyan webhelyekre kattintson, ahol jogosulatlan hozzáférést ad a céges adataihoz, bankszámlájához. A túlterheléses támadások - amikor megakadályozzák, hogy a felhasználók hozzáférjenek bizonyos weboldalakhoz, szolgáltatásokhoz - szintén napi szereplői a híreknek. De a hackerek egyre többször támadják az ellátási láncokat, a szervezetek és a beszállítók közötti kapcsolatot rombolva.
"Az Európai Unió új Kiberbiztonsági irányelve, azaz a NIS2 olyan minimumszabályokat fogalmaz meg, amelyek ezen támadások kivédésére irányulnak, és amelyeket az érintett ágazati szereplőknek be kell tartaniuk" - mondta Piszker György, a Kontron Hungary rendszer architect vezetője.
Milyen cégeket érint a NIS2?
A kiemelten kockázatosnak vélt ágazatok:
- az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén),
- a közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés),
- az egészségügy,
- a vízközmű (ivóvíz és szennyvíz),
- a hírközlési,
- a digitális infrastruktúra (felhőszolgáltató, doménnév-szolgáltató, tartalomszolgáltató hálózati szolgáltatója),
- a kihelyezett IKT,
- és az űralapú szolgáltatásokkal foglalkozó vállalatok.
A kockázatosnak ítélt szektorok továbbá:
- a postai és futárszolgálatok,
- az élelmiszer előállításával, feldolgozásával és forgalmazásával,
- a hulladékgazdálkodással,
- a vegyszerek előállításával és forgalmazásával,
- a gyártással (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás),
- a digitális szolgáltatással (online piactér),
- és a kutatással foglalkozó cégek.
Feltéve, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkeznek, illetve amennyiben a NIS2 hatálya alá eső szervezet beszállítói, mert akkor szintén NIS2 minősítéssel kell rendelkezniük mérettől és árbevételtől függetlenül.
"Senki nem fogja a cégeket külön értesíteni arról, hogy érintettek. Saját maguknak kell a besorolásukat elvégezni, és önbevallásos alapon a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH) 2024. június 30-ig bejelentkezniük a nevükkel, adószámukkal, TEOR-számaikkal" - magyarázta a szakértő.
A specifikus nemzeti szabályozást 2024 januárjára várták, addigra nem készült el, ezt követően februárra ígérték, de mire végre életbe lép, addig is van teendő.
Mivel kezdjék a felkészülést?
"A jogszabály gyakorlatilag tartalmazni fogja az összes intézkedést, amelynek meg kell felelnie egy kockázatosnak és egy kiemeltem kockázatosnak ítélt szervezetnek is. A törvény kontrollpontokat, kontrollcsoportokat fog meghatározni, ezeket fogja vizsgálni az auditor, aki a vállalatok elektronikus információs rendszereit tekinti majd át. Ez magába foglalja például a céges levelezést, a HR nyilvántartó rendszert, a vállalatirányítási rendszert, egy gyárban a gyártósort vezérlő IT-rendszert - tehát mindent, amiben - nagyon egyszerűen fogalmazva - bitek futkosnak - jellemezte a várható IT-kihívásokat Piszker György.
"Amíg a jogszabály megérkezik, addig is érdemes elkezdeni a cégeknek a belső IT szabályaik, folyamataik áttekintését: megnézni, melyik mit tartalmaz, hogy kapcsolódnak egymáshoz, mikor frissültek. Ezek az első és alapkérdések a helyzetfelmérés során, innen lehet elindulni, és javaslatot tenni arra, melyik szabályzatot milyen mértékben kell kiegészíteni, vagy akár teljesen újra alkotni - ezt teszi majd az auditor is. Ha még nincs, egy információbiztonsági felelőst ki kell jelölni - akár a vállalaton belülről, ha van erre belső erőforrás, akár külsős IT tanácsadót, rendszerintegrátort felkérni. Ő lesz a helyzetfelmérés szakmai vezetője" - részletezte a Kontron szakértője, de hozzátette, meglehetősen komplexek lesznek az elvárások, nem lesz könnyű értelmezni.
Mennyibe kerül ez a cégeknek?
Piszker György szerint a hazai vállalatok kiberbiztonsági felkészültsége nem erős, jelentős hiányok tapasztalhatók a technológiai kontroll és a szabályozás területén egyaránt. Cégmérettől, cégkomplexitástól, a jelenlegi állapottól függ, hogy a felzárkózás mekkora költséget jelent majd egyes szervezetek esetében.
"Az ISO 27001-es kiberbiztonsági minősítés egy jó alap, ami jelentős felkészültséget jelez, de vannak különbségek a két rendszer elvárásai között, tehát azoknak a vállalatoknak is lesz teendőjük, amelyek ezzel már rendelkeznek" - fűzte hozzá.
Mit kell teljesíteni?
A fókuszban a kiberbiztonsági kockázatelemzés és az információbiztonság áll, az üzletmenet folytonossága, a katasztrófahelyreállítás, az ellátási láncok biztonsága, a titkosítási megoldások alkalmazása, a hitelesítési megoldások használata, a kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása. "De nem elég, ha például kész egy szabályzat, és betesszük a fiókba, mert az auditor azt fogja kérni, hogy mutassák meg a hozzá tartozó hibajegyeket is, amelyek eddig születtek. Hiszen, ha egy folyamat, egy szabályozás működik, vannak hozzá kapcsolódó hibajegyek - minimum egy" - figyelmeztet a Kontron.
Ezen túl a szervezeteknek bejelentési kötelezettségük van a nemzeti hatóságok felé a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről. Miután a cégek a támadásokat eddig inkább elhallgatták, mint bejelentették volna, Európában a jelenlegi kiberbiztonsági helyzet nem transzparens - az USA-ban már igen, ott a vállalatokat kötelezték arra, hogy jelezzék ezeket. Miután a cégeket nálunk is rá fogják kényszeríteni arra, hogy kivizsgálják az támadási ügyeket házon belül, és megoldást is találjanak arra, miként fogják elkerülni a jövőben ezeket, így a támadások számának lassan csökkennie kell.
Eltiltható akár a cégvezető is
Ha a NIS2 irányelveknek az auditor által biztosított "javítási" idő leteltével sem felel meg egy cég, a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százalékának megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százalékának megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése. "Ugyanúgy, mint egy gazdasági bűncselekmény esetén, hiszen az ügyvezető a végső felelős azért, hogy a szervezete a NIS2 direktívának megfeleljen. Ha erről nem vagy nem megfelelő minőségben gondoskodott, akkor a hatóság kijelölhet helyette egy felügyeleti biztost, őt pedig eltilthatja, felfüggesztheti. De az is bőven elegendő lesz, ha nem kapja meg a minősítést, és kiesik abból a szállítói körből, ahol ez elvárttá válik" - fogalmazott Piszker György, a Kontron szakértője.
Ez a cikk a ComputerTrends magazin 2024. március 13-ai lapszámában jelent meg.