2016-ban az Európai Unió elfogadta a Network and Information Security azaz a NIS direktíva első verzióját, ami mára - a kiberfenyegetettségek jelentős bővülése okán - nem állja meg a helyét. 2023 januárjára azonban teljesen átdolgozásra került az irányelv, ami abban tér el a hét évvel azelőttitől, hogy nemcsak a digitális szektorokban működő vállalkozásokra vonatkozóan fogalmaz meg kritériumokat, hanem mindenkire, az alapvető és a fontos kategóriákba csoportosítva az érintetteket, ami az 50 főnél több embert foglalkoztató és legalább 10 millió eurós éves bevételt meghaladó cégeket jelenti.
Szektorspecifikusan a postai és futárszolgáltatásokat nyújtó vállalatok, az élelmiszeripari és hulladékkezelő cégek az autóipar és a gépgyártók, de az élelmiszeripari és gyógyászati cégek is a NIS2 hatálya alá kerültek, mint fontos szereplők, míg a nélkülözhetetlen kategóriába a pénzügy, a bank, a közlekedés- és közszolgáltatás, az energia és az egészségügy iparágak kerültek. Az érintett cégek számára a NIS2 rendszeres auditot, incidens esetén pedig jelentési kötelezettség ír elő, valamint – a kiberbiztonság terén eddig bevett gyakorlatnak nem számító -, vezetői felelősségre vonást tenne lehetővé IT biztonsági mulasztás esetén.
A NIS2 erőteljes európai kibervédvonalakra törekszik, amit minden lehetséges eszközzel igyekszik kikényszeríteni. Ezt az az esetleges bírság összege is jól mutatja, ami az éves – multinacionális cégek esetén a globális – forgalom 2 százalékát teszi ki, de legalább 10 millió eurós pénzbüntetésre számítani kell. Az alapvető kategóriába sorolt vállalatok a már említett 10 millió eurós bírságra, a fontos csoportba sorolt ágazati szereplők 7 millió eurós bírságra számíthatnak. Az irányelv lehetőséget ad a tagállamoknak, így a magyar jogrendnek is a mérlegelésére az egyes konkrét esetek körülményeinek függvényében, ugyanakkor az EU azt kéri, hogy a bírság összege hatékony és visszatartó erejű legyen.
A NIS2 elől tehát még a leleményes magyar vállalatok sem menekülhetnek a kiskapukon keresztül, a direktíva hazai interpretációja a Kibertan törvény ugyanis már velünk van.
A Magyarországra faragott NIS2, a Kibertan törvény
A Kibertan törvény, ami a NIS2-t implementálja a hazai viszonyok közé, a Magyarországon bejegyzett cégekre vonatkozik, ami azt jelenti, hogy ezek a cégek nem a NIS2-nek felelnek meg közvetlenül, hanem a Kibertan törvénynek, ami nemcsak a direktívát, hanem a Cybersecurity Act jogszabályt foglalja magában.
„A Kibertan törvény rendelkezéseinek betartatásáért a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) lesz a felelős, ahogy a Kibertan törvény hatálya alá tartozó szervezetek felügyeletéért is, így a Magyar Nemzeti Bank (MNB), a Nemzeti Kibervédelmi Intézet (NKI) és a Katonai Nemzetbiztonsági Szolgálat mellett az SZTFH is megjelenik, mint felügyeleti szerv” – foglalta össze a hazai vonatkozásokat Borbély Zsuzsanna, a filter:max szolgáltatási üzletágvezetője.
Lehet kötelezettségként és nyűgként vagy épp a tanácsadói piac táplálásaként tekinteni a NIS2 és DORA szabályozásokra, „de azt tapasztalom, hogyha információbiztonsági-irányítási rendszert vezet be egy cég, az csak a hasznára válhat, főleg, ha rendesen végig is viszi az implementációt és nemcsak szabályzatokat ír, hanem átalakítja a folyamatait és ezzel párhuzamosan a szervezeti kultúráját is. Bármennyire szigorúnak és rugalmatlannak tűnik első olvasatra a NIS2, azt gondolom nem érdemes szükséges rosszként tekinteni rá, sokkal inkább a fejlődés lehetőségét érdemes benne látni, azt, hogy a szervezet egy sarkalatos ponton fejlődést érhet el. Heti szinten fordulnak elő olyan incidensek, amelyek akár száz millió forintos költséget jelentenek a cégek számára, ehhez képes tegy információbiztonsági-irányítási rendszer bevezetése minimális költség. Ráadásul a szervezet működése sokkal strukturáltabb, transzparensebb lesz. A hibaelhárító működésről a proaktív működésre áll át” – fogalmazta meg tapasztalatait Borbély Zsuzsanna.
A filter:max szolgáltatási üzletága IT biztosági tanácsadással és információbiztonsági megoldások szervezetbe implementálásával foglalkozik, több tíz éves tapasztalattal a hátuk mögött, míg a másik üzletág az IT biztonsági termékek rendszerintegrációjával foglalkozik és technikailag is képes támogatni ezt a folyamatot. Mivel sok helyen ott vannak, azt tapasztalják, hogy szükség van a NIS2-t övező kérdések eloszlatására, „ezért október végén tartunk egy webinárt, aminek a célja a tájékoztatás. Szeretnénk jobban körülhatárolni, hogy kik érintettek, legyen szó a vállalatokról, vagy a beszállítókról. Fontos megérteni, hogy kinek milyen feladata van és mire számíthat” – mondta Borbély Zsuzsanna.
Elvégre a NIS2 alól a kisebb, akár egyszemélyes vállalkozások sem mentesülnek, ha tevékenységi körüknél fogva olyan vállalatnak szállítanak, amely a direktíva hatálya alá esik. Ebben az esetben nekik közvetlenül nem a NIS2-nek és a DORA-nak kell megfelelniük, hanem szerződéses kötelezettségeik mentén ki kell alakítaniuk egy kockázatarányos védelmet és egy riportálási rendszert a megbízójuk felé, amivel bizonyítják, hogy nem jelentenek kockázatot beszállítóként a vállalatra nézve.
A NIS2 pozitív oldala
A NIS2 megteremti az egységes kiberbiztonságot Európai Uniós szinten, hiszen „pontosan meghatározza a hatálya alá tartozó szervezeteket, és azokat a minimum követelményeket, amelyeket minden tagállamban be kell építeni a jogállami keretek közé és alkalmazni is kell azokat. Ráadásul szorgalmazza az uniós kiberbiztonsági válságelhárítási keret létrehozásához való tagállami hozzájárulásokat, amelyek következményeként lehetővé válik nagyszabású kiberbiztonsági eseményekre való összehangolt reagálás.” – mondta Borbély Zsuzsanna.
Magyarországra vetítve mindez úgy néz ki, hogy 2023 május 23-án hatályba lépett a Kibertan törvény, ami a NIS2-t képzi le. Most a fokozatos bevezetés szakaszában vagyunk, 2024 január 1-jétől pedig bevezetésre kerül a „teljes” törvény, aminek jelenleg még nincs meg minden részletszabálya. A nyilvántartásba vételi időszak - amely során a cégek önbevallásos alapon jelentkezhetnek -, június végéig tart majd, 2024 október 18-tól pedig a direktíva hatálya alá tartozó szervezeteknek már alkalmazniuk kell az implementált védelmi intézkedéseiket.
„Az időben elkezdés azt jelenti, hogy már tegnap, de legkésőbb ma elkezdték a felkészülést az érintett cégek, hiszen attól függően, hogy milyen érettségű szervezetről beszélünk különböző feladatokkal találhatja szemben magát a vezetőség. Ahol a kiberbiztonság nem volt fókuszban és kvázi szokásjog alapján zajlanak a folyamatok, ott több feladat lesz, mint ott, ahol már ennek megvan a dokumentált hagyománya. Bárhogy is alakul, a filter:maxnál segítünk!” – mondta Borbély Zsuzsanna.