Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) tavaly listázta azokat fenyegetéseket, amelyekkel a vállalkozásokat leginkább támadták. A zsarolóprogramok a legaggasztóbbak, amikor a hackerek átveszik az irányítást valakinek az adatai felett, és váltságdíjat követelnek a hozzáférés visszaállításáért, illetve azért, hogy ne publikálják a megszerzett adatokat.
Sorban utána a rosszindulatú programok következnek, idetartoznak a vírusok, trójai programok és kémprogramok. Az emberi hibára játszanak, amikor a támadók elérik, hogy az áldozatok megnyissák a rosszindulatú dokumentumokat, fájlokat vagy e-maileket, vagy olyan webhelyekre kattintsanak, ahol jogosulatlan hozzáférést biztosítsanak céges rendszerekhez.
A túlterheléses támadások is napi szereplői a híreknek, amikor megakadályozzák, hogy a felhasználók hozzáférjenek bizonyos weboldalakhoz, szolgáltatásokhoz. De egyre többször támadják az ellátási láncokat is, szervezetek és beszállítók közötti kapcsolatot célozva.
Az Európai Unió új Kiberbiztonsági irányelve, azaz a NIS2 minimumszabályokat fogalmaz meg, amiket az érintett ágazati szereplőknek be kell tartaniuk. „A cégek elsődleges feladata most a jogszabályi változások nyomon követése. Ezt követően jövőre a kötelező audithoz IT-rendszerintegrátor segítségével tudnak felkészülni, amelybe beletartozik a jelenlegi helyzet felmérése, szabályzatok frissítése, elkészítése, illetve az esetlegesen nem teljes körű biztonsági megoldások kiegészítése vagy pótlása" – jellemezte a jövő évre várható IT-kihívásokat Piszker György, a Kontron Hungary rendszer architect vezetője.
Ezek az ágazatok érintettek
A kiemelt kritikusságú ágazatok az energia (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén), közlekedés (légi, vasúti, vízi, közúti, tömegközlekedés), egészségügy, vízközmű (ivóvíz és szennyvíz), hírközlési szolgáltatások, digitális infrastruktúra szolgáltatások (felhőszolgáltató, domén név szolgáltató, tartalomszolgáltató hálózati szolgáltatója), kihelyezett IKT szolgáltatások, és az űralapú szolgáltatások. Az alap kritikusságú szektorok a postai és futárszolgálatok, élelmiszer előállítása, feldolgozása és forgalmazása, hulladékgazdálkodás, vegyszerek előállítása és forgalmazása, gyártás (orvostechnika, gépek, villamos berendezések, elektronikus eszközök, cement, mész és gipszgyártás), digitális szolgáltatók (pl. online piactér) és a kutatás.
Akkor érintett egy cég, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkezik. Illetve amennyiben egy szervezet NIS2 hatálya alá eső szervezet beszállítója, annak szintén NIS2 minősítéssel kell rendelkeznie!
Mik a minősítési követelmények?
A szervezeteknek a NIS2 irányelvnek való megfelelés érdekében kockázatkezelési és a kockázatokkal arányos biztonsági intézkedéseket kell alkalmazni. A fókuszban a többi között a kiberbiztonsági kockázatelemzés és információbiztonság, az üzletmenet folytonosság, katasztrófahelyreállítás, az ellátási láncok biztonsága, kiberhigéniai gyakorlatok, titkosítási megoldások alkalmazása, hitelesítési megoldások használata, kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása áll.
Ezen túl a szervezeteknek bejelentési kötelezettségük van a nemzeti hatóságok fele a súlyos működési zavart vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.
Eltiltható akár a cégvezető is
Az irányelveknek való megfelelés megsértése esetén az irányadó rendelkezések alapján a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2%-nak megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4%-nak megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.
Itt a menetrend
A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek 2024. június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható határideje 2024. december 31., és a szervezeteknek 2025. december 31-ig a NIS2 szabályozásnak való megfelelést igazoló auditot kell lefolytatniuk.
