Fontos határidő közeleg a magyar cégek számára: a kiberbiztonság a tét

A digitális technológia terjedésével arányosan nő a kiberfenyegetések száma, és a vállalkozások gyakran válnak ezek elsődleges célpontjaivá. Az Európai Unió új irányelvének, a NIS 2-nek a magyarországi implementációjáról és a vállalati kiberbiztonság erősítésének fontosságáról Bor Olivérrel, a Szabályozott Tevékenységek Felügyeleti Hatóságának szakértőjével beszélgettünk.

A kibertámadások száma az elmúlt évtizedben exponenciálisan nőtt, és a technológia fejlődésével a támadások minősége is egyre magasabb szintűvé vált. Magyarországon a pénzügyi csalásokhoz köthető online károk értéke 2023-ban meghaladta a 30 milliárd forintot, globálisan pedig a kiberbűnözők okozta kár 2022-ben 8 ezer milliárd dollár volt, amely összeg 2026-ra akár a 13-14 ezer milliárd dollárt is elérheti.

Bor Olivér szerint a világon létező szervezeteket két csoportra lehet osztani: azokra, akiket már megtámadtak és meghackeltek, és azokra, akiket még meg fognak támadni. A leggyakoribb támadási formák közé tartozik az adathalászat és a zsarolóvírus-támadások, amelyekből fakadó váltságdíj-követelések mértéke 2022-ben és 2023-ban globálisan elérte a 760 millió dollárt. Magyarországon a zsarolóvírus-támadások áldozatai átlagosan 250 millió forintot fizettek váltságdíjként, a helyreállításra pedig további 540 millió forintot költöttek.

A túlterheléses támadások és az eltereléses csalások (BEC) is népszerű módszerek a kiberbűnözők körében. Ezek a támadások gyakran vezetői pozícióban lévő munkavállalók ellen irányulnak, akik kritikus tranzakciók végrehajtására jogosultak. A mesterséges intelligencia által nyújtott lehetőségeket a kiberbűnözők is kihasználják, ami újabb kihívásokat jelent a kiberbiztonság terén.

A kiberbiztonsági szabályozásnak is reagálnia kellett

Az Európai Unióban a digitalizáció felgyorsulása és a kibertámadások egyre kifinomultabbá válása miatt szükségessé vált a 2016 óta hatályos NIS irányelv modernizálása. A NIS 2 irányelv 2023. január 16-án lépett hatályba, és a tagállamoknak 2024. október 17-ig kell megfelelniük az előírásoknak. Magyarországon már elkészült a kiberbiztonsági jogszabály, amely az implementáció egyik legfontosabb eleme.

A cégek hogyan fognak ennek megfelelni?

A vállalkozásoknak érdemes lehet külső tanácsadót bevonniuk, ha eddig nem volt erre dedikált személy vagy csapat. A tanácsadókra vonatkozóan nincsenek külön kritériumok, de az auditor cégeknek meg kell felelniük egy kritériumrendszernek. A vállalkozásoknak 2025. december 31-ig kell átesniük egy kiberbiztonsági auditon.

A Szabályozott Tevékenységek Felügyeleti Hatósága országos rendezvénysorozatot indított az érintettek tájékoztatása céljából. A cégeknek felügyeleti díjat is kell fizetniük, amely az előző éves árbevétel 0,015%-a, de maximum 10 millió forint. Az önazonosításhoz és a nyilvántartásba vételi kérelemhez a hatóság készített útmutatót.

Mi történik, ha egy vállalkozás nem tesz eleget a kötelezettségnek?

A pontos bírságtételek még nem ismertek, de a NIS 2 irányelv alapján a cégeknek érdemes lesz elkerülni a jogsértést. A felügyeleti díj viszonylag kicsi, de a bírságtételek várhatóan sokkal nagyobbak lesznek.

Határidők, amelyeket a vállalkozásoknak be kell tartaniuk:

1. január 1-től: Önazonosítás, nyilvántartásba vételre bejelentkezés 2024. június 30-ig, biztonsági osztályba sorolás, elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése.
1. október 18-tól: Védelmi intézkedések alkalmazása, felügyeleti díj megfizetése.
1. december 31-ig: Az első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral.
1. december 31-ig: Az első kiberbiztonsági audit lefolytatása.