Már egy évük sincs arra a jelentősebb méretű és kulcsfontosságú iparágakban működő válalatoknak, hogy informatikai rendszereiket és üzletmenetüket a megfelelő szintre hozzák a kibertérből érkező fenyegetésekkel szemben. Hogy pontosan mit jelent ez a megfelelő szint, arról az Európai Unióban a hálózatok és információs rendszerekre vonatkozó irányelv (Network and Information Systems, NIS) rendelkezik, amelynek a korszellemnek megfelelően frissített új verziója (NIS2) számos feladatot ró az IT-biztonság területén az érintett cégekre. 

Sokakat érint

Az EY témában kiadott mai sajtóközleménye kiemeli, hogy a NIS2-t hazánk az uniós tagállamok közül az elsők között ültette át saját jogrendszerébe, ami a számítások szerint itthon hozzávetőleg 2600 céget, közvetlenül pedig munkavállalók százezreit érinti.

A szabályozás a legalább 50 főt foglalkoztató vagy a 10 millió eurót meghaladó éves árbevétellel rendelkező minden olyan vállalatra és szervezetre vonatkozik, amely az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót lát el.

Ezek közé a kritikus ágazatok közé tartozik az energetika, a közlekedés, az egészségügy, az ivóvíz, a szennyvíz és a hírközlési szolgáltatás, a kihelyezett IKT-szolgáltatások, az űrkutatás, valamint a digitális infrastruktúra is. Ugyancsak kiemelt tevékenységnek számít a postai és futárszolgálat, az élelmiszerelőállítás, -feldolgozás és -forgalmazás, a kutatás, a hulladékgazdálkodás, a vegyszerelőállítás és -forgalmazás, valamint a digitális szolgáltatás.

Ahogy azt egy korábbi, NIS2-ről szóló összefoglalónkban is írtuk, a szóban forgó vállalkozásoknak idén június 30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH), ahol október 18-án el is indul az ellenőrzési folyamat. A szabályozás feltételeinek 2024. december 31-ig kötelező megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025 végéig lefolytatja az első, NIS2-es szabályozásnak megfelelő kiberbiztonsági átvilágítást.

Van mit csinálni

Az EY sajtóközleménye a következőkben foglalja össze az új szabályrendszerhez kötődő legfontosabb tennivalókat: a NIS2-követelmények teljesítéséhez többek között szükség van a kiberbiztonsági hiányosságokat feltáró GAP-analízisre, információbiztonsági irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve kibertámadás-szimulációra is, ami komplex megközelítést igényel.

Az értintett cégeknek ki kell alakítaniuk az információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét.

Az uniós szabályozás ugyancsak elvárja, hogy társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.