Új korszak a kiberbiztonságban: a NIS2 hatása Magyarországon
Magyarországon a NIS2, az Európai Unió új kiberbiztonsági szabálycsomagja mintegy 2500 céget érint, amelyeknek meg kell felelniük az új előírásoknak, különben jelentős bírságokat kockáztatnak. A Telekom szakértői szerint a hazai kiberbiztonsági tudatosság alacsony, a szabályozás azonban ezen változtathat.
A NIS2 szabályozás 2023 elején jelent meg, és széles körben érinti a vállalatokat. Magyarország az EU-ban az egyik elsőként fogadta el a jogszabályt 2022 májusában. Jelenleg a végrehajtási rendeletre várunk, amely a biztonsági intézkedések katalógusát tartalmazza majd, és amelyet a Miniszterelnöki Kabinetiroda ad ki. A rendelet alapján a kockázatelemzés szerint lehet majd eltérni a kontrollok alkalmazásától.
Az érintett cégeknek 2023. június 30-ig kell kijelölniük egy információbiztonságért felelős kapcsolattartót, és a bejelentést cégkapun keresztül kell megtenniük. A szakemberhiány miatt nehézséget jelenthet a megfelelő személy kijelölése. A védelmi intézkedéseket 2023 októberétől kell alkalmazni, és az év végéig kell szerződést kötni az auditorokkal, akiknek a jelentését a cégnek és a hatóságnak is meg kell kapnia. Az auditokat 2025 végéig kell lefolytatni, de Magyarországon jelenleg csak két auditorcég van regisztrálva.
A kiberbiztonsági incidensek jelentésére 24 órás határidő van, ami különösen nehéz lehet, mivel a támadások gyakran péntek esténként történnek. A NIS2 értelmében az incidenseket az észlelés után mielőbb, de legkésőbb a megadott időkereten belül be kell jelenteni.
A NIS2 célja, hogy javítsa a nemzetgazdaságilag fontos gazdasági szereplők kiberbiztonságát. A magyar gazdaság negyede-harmada érintett a NIS2 megfelelés szempontjából, és 2024-re elvárás, hogy a szegmensben megfelelő kiberbiztonsági képességek legyenek.
A kibertámadások ma már szervezett üzletággá váltak, és a Telekom tapasztalatai szerint a kiberbiztonsági incidensek miatti megkeresések száma miatt már a kisebb vállalatok számára is elérhetővé tették a szolgáltatásaikat. A kiberbiztonsági tudatosság növelése érdekében a cégeknek többet kellene költeniük edukációra, hogy eleve elkerüljék az incidenseket.
A NIS2 hatálya alá tartozó ágazatok között megtalálhatók a "létfontosságú" és "fontos" szervezetek, többek között az energia-, közlekedési-, bankszektor, egészségügyi ágazat, ivóvízellátás, digitális infrastruktúra, valamint a közigazgatás és a digitális szolgáltatók is.