Tech

Uniós kiberbiztonsági előírások jönnek jövőre, akár durva büntetéssel, eltiltással

Getty Images
Getty Images
Kötelező informatikai audit vár az energetikában, közlekedésben, egészségügyben, hírközlésben, élelmiszeriparban, hulladékgazdálkodásban működő nagyobb cégekre. Be kell bizonyítaniuk, hogy felkészültek a kiberbiztonsági incidensek kezelésére, különben akár az éves árbevételük 2 százalékát is kifizethetik büntetésre, a cégvezetőt pedig eltilthatják.

Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) tavaly listázta azon fenyegetéseket, amikkel a legtöbbször támadták a cégeket. A zsarolóprogramok a legaggasztóbbak: a hackerek átveszik az uralmat az adatok felett, és váltságdíjat követelnek a hozzáférés visszaállításáért, illetve azért, hogy ne publikálják a megszerzett információkat. Ezután a rosszindulatú programok következnek, ide tartoznak a vírusok, trójai- és kémszoftverek. Ezek az emberi hibára játszanak, amikor a támadók elérik, hogy az áldozatok megnyissák a rosszindulatú fájlokat vagy e-maileket, vagy olyan webhelyekre kattintsanak, ahol jogosulatlan hozzáférést biztosítsanak céges rendszerekhez.

A túlterheléses (DDOS) támadások is napi szereplői a híreknek, amikor a kiberbűnözők megakadályozzák, hogy a felhasználók hozzáférjenek bizonyos weboldalakhoz, esetleg szolgáltatásokhoz. De egyre többször támadják az ellátási láncokat is, a szervezetek és beszállítók közötti kapcsolatot célozva.

Az Unió új Kiberbiztonsági irányelve, azaz a NIS2 ezzel kapcsolatos minimumszabályokat fogalmaz meg, amiket az érintett ágazati szereplőknek be kell tartaniuk.

„A cégek elsődleges feladata most a jogszabályi változások nyomon követése. Ezt követően jövőre a kötelező audithoz IT-rendszerintegrátor segítségével tudnak felkészülni, amelybe beletartozik a jelenlegi helyzet felmérése, szabályzatok frissítése, elkészítése, illetve az esetlegesen nem teljes körű biztonsági megoldások kiegészítése vagy pótlása” – jellemezte a jövő évre várható IT kihívásokat Piszker György, a Kontron Hungary rendszer architect vezetője.

A kiemelt kritikusságú ágazatok az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés), egészségügy, vízközmű (ivóvíz és szennyvíz), hírközlési szolgáltatások, digitális infrastruktúra szolgáltatások (felhőszolgáltató, domén név szolgáltató, tartalomszolgáltató hálózati szolgáltatója), kihelyezett IKT szolgáltatások, és az űralapú szolgáltatások.

Az alap kritikusságú ágazatok a postai és futárszolgálatok, az élelmiszer előállítás, feldolgozás és forgalmazás, a hulladékgazdálkodás, a vegyszerek előállítása és forgalmazása, a gyártás (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, més-z és gipszgyártás), továbbá ide tartoznak a különböző digitális szolgáltatók (pl. online piactér), illetve a kutatás is.

Egy cég akkor érintett, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkezik. Illetve amennyiben egy vállalat a NIS2 hatálya alá eső szervezet beszállítója, annak szintén NIS2 minősítéssel kell rendelkeznie.

De mi a teendő?

A szervezeteknek a NIS2 irányelvnek való megfelelés érdekében kockázatkezelési és a kockázatokkal arányos kiberbiztonsági intézkedéseket kell alkalmazni. A fókuszban többek között a kiberbiztonsági kockázatelemzés és információbiztonság, az üzletmenet folytonosság, katasztrófahelyreállítás, az ellátási láncok biztonsága, kiberhigéniai gyakorlatok, titkosítási megoldások alkalmazása, hitelesítési megoldások használata, kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása áll.

Ezen túl bejelentési kötelezettség van a nemzeti hatóságok fele a súlyos működési zavart, vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.

Az irányelveknek való megfelelés megsértése esetén az irányadó rendelkezések alapján a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2%-nak megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4%-nak megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.

A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek 2024. június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható határideje 2024. december 31. és a szervezeteknek 2025. december 31-ig a NIS2 szabályozásnak való megfelelést igazoló auditot kell lefolytatniuk.

Kapcsolódó
Teljesen átalakul a közösségi média Európában: erre lehet számítani
A Facebook és az Európai Unió harca évek óta tart, azonban most úgy tűnik, sikerül keretek közé szorítani a közösségi médiaóriást, és a társait is.

Ajánlott videó

Olvasói sztorik