Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) tavaly listázta azon fenyegetéseket, amikkel a legtöbbször támadták a cégeket. A zsarolóprogramok a legaggasztóbbak: a hackerek átveszik az uralmat az adatok felett, és váltságdíjat követelnek a hozzáférés visszaállításáért, illetve azért, hogy ne publikálják a megszerzett információkat. Ezután a rosszindulatú programok következnek, ide tartoznak a vírusok, trójai- és kémszoftverek. Ezek az emberi hibára játszanak, amikor a támadók elérik, hogy az áldozatok megnyissák a rosszindulatú fájlokat vagy e-maileket, vagy olyan webhelyekre kattintsanak, ahol jogosulatlan hozzáférést biztosítsanak céges rendszerekhez.
A túlterheléses (DDOS) támadások is napi szereplői a híreknek, amikor a kiberbűnözők megakadályozzák, hogy a felhasználók hozzáférjenek bizonyos weboldalakhoz, esetleg szolgáltatásokhoz. De egyre többször támadják az ellátási láncokat is, a szervezetek és beszállítók közötti kapcsolatot célozva.
„A cégek elsődleges feladata most a jogszabályi változások nyomon követése. Ezt követően jövőre a kötelező audithoz IT-rendszerintegrátor segítségével tudnak felkészülni, amelybe beletartozik a jelenlegi helyzet felmérése, szabályzatok frissítése, elkészítése, illetve az esetlegesen nem teljes körű biztonsági megoldások kiegészítése vagy pótlása” – jellemezte a jövő évre várható IT kihívásokat Piszker György, a Kontron Hungary rendszer architect vezetője.
A kiemelt kritikusságú ágazatok az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés), egészségügy, vízközmű (ivóvíz és szennyvíz), hírközlési szolgáltatások, digitális infrastruktúra szolgáltatások (felhőszolgáltató, domén név szolgáltató, tartalomszolgáltató hálózati szolgáltatója), kihelyezett IKT szolgáltatások, és az űralapú szolgáltatások.
Az alap kritikusságú ágazatok a postai és futárszolgálatok, az élelmiszer előállítás, feldolgozás és forgalmazás, a hulladékgazdálkodás, a vegyszerek előállítása és forgalmazása, a gyártás (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, més-z és gipszgyártás), továbbá ide tartoznak a különböző digitális szolgáltatók (pl. online piactér), illetve a kutatás is.
De mi a teendő?
A szervezeteknek a NIS2 irányelvnek való megfelelés érdekében kockázatkezelési és a kockázatokkal arányos kiberbiztonsági intézkedéseket kell alkalmazni. A fókuszban többek között a kiberbiztonsági kockázatelemzés és információbiztonság, az üzletmenet folytonosság, katasztrófahelyreállítás, az ellátási láncok biztonsága, kiberhigéniai gyakorlatok, titkosítási megoldások alkalmazása, hitelesítési megoldások használata, kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása áll.
Ezen túl bejelentési kötelezettség van a nemzeti hatóságok fele a súlyos működési zavart, vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.
Az irányelveknek való megfelelés megsértése esetén az irányadó rendelkezések alapján a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2%-nak megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4%-nak megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.
A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek 2024. június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható határideje 2024. december 31. és a szervezeteknek 2025. december 31-ig a NIS2 szabályozásnak való megfelelést igazoló auditot kell lefolytatniuk.