A 2023-ban életbe lépett NIS2 irányelv (Network and Information Systems Directive 2) komoly változásokat hozott a kiberbiztonsági elvárások terén Magyarországon, főként az 50 főnél több alkalmazottat foglalkoztató vagy 10 millió eurót meghaladó nettó árbevétellel rendelkező, kockázatos ágazatokban tevékenykedő vállalatokra.
Az érintett cégeknek 2024. június 30-áig kellett benyújtaniuk regisztrációs kérelmüket a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH), míg október 18-ig kellett megfizetniük a felügyeleti díjat.
Felügyeleti díj: kérdések és bizonytalanságok
Bár a regisztrációs folyamat során sok kérdés merült fel, a felügyeleti díj kapcsán továbbra sincsenek egyértelmű válaszok. Sem a pontos összeget, sem a fizetés módját nem határozták még meg.
A törvény ugyan rendelkezik arról, hogy az árbevétel 15 ezrelékét is elérheti a díj, de iparági források szerint a díjak az első évben ennél alacsonyabbak lesznek, és a befizetések valószínűleg csak később esedékesek.
A következő határidők
A cégeknek 2024. december 31-ig szerződést kell kötniük egy regisztrált auditorral, aki a kiberbiztonsági követelmények betartását fogja ellenőrizni. Ezen felül 2025. december 31-ig le kell zajlania az első auditnak, amelyet kétévente meg kell ismételni.
Az auditorok feladata, hogy bizonyítsák, a cégek eleget tesznek a biztonsági osztályba sorolás követelményeinek, amelyeket a 7/2024 MK-rendelet szabályoz.
Kockázatos és kiemelten kockázatos iparágak
A NIS2 irányelv a következő iparágakat célozza meg:
- Postai és futárszolgálatok
- Élelmiszeripar
- Hulladékfeldolgozás
- Vegyipar
- Gyártás (pl. orvostechnikai eszközök, számítástechnikai termékek)
A kiemelten kockázatos ágazatok közé tartozik az energia, a közlekedés, az egészségügy, az ivóvíz- és szennyvízellátás, valamint a digitális infrastruktúra. Ezekben a szektorokban a kiberbiztonsági elvárások még szigorúbbak, és komolyabb intézkedéseket igényelnek.
A cégek feladatai
Az érintett vállalatoknak nem csupán a határidőket kell betartaniuk, de a megfelelő védelmi intézkedések bevezetése is kulcsfontosságú. Ez a folyamat a NIST 800-53 szabvány követelményeire épül, amely a kiberbiztonsági intézkedések széles körét lefedi.
Azoknak a cégeknek, amelyek eddig nem foglalkoztak mélységében információbiztonsággal, ez kihívásokat jelenthet, mind technikai, mind erőforrás-szempontból.
Mi várható?
Bár sok cég már megtette az első lépéseket, a teljes folyamat még számos kérdést vet fel. Az auditorok szerepe kulcsfontosságú lesz a következő időszakban, hiszen a cégeknek időben fel kell készülniük a kiberbiztonsági előírásokra.
Ahogy az idő halad, egyre több részletszabály és gyakorlati útmutatás várható az SZTFH-tól, amely segíthet a vállalatoknak a megfelelő felkészülésben.
