A NIS2 irányelv magasabb szintre emelte a korábbi uniós kiberbiztonsági szabályozást és számos új kötelezettséget vezetett be. Az irányelv szabályainak túlnyomó részét már átültették a magyar jogba, így a jövő év folyamán 2500-3000 hazai közép- és nagyvállalatnak kell a szigorú szabályoknak megfelelni, továbbá az ellátási láncuk biztonságát megteremteni – emelte ki dr. Szabó Gergely Gábor, a Bán, S. Szabó, Rausch & Partners Ügyvédi Iroda szabályozási ügyekért felelős vezető ügyvédje.

Miért fontos a kiberbiztonság?

Az IT rendszerek már a mindennapi életünk szerves részét képezik. Manapság már szinte minden vállalat digitális startégiát, illetve AI stratégiát vezet be, vagy legalábbis jelentősen támaszkodik digitális eszközökre. A különböző rendszerektől való függőség, valamint a rendszerek és termelés, valamint a szolgáltatások egymástól való függősége jelentősen nőtt az utóbbi években. A fokozott digitalizáció nemcsak lehetőségeket, hanem számos új fenyegetést is jelent a vállalatok számára. Akár egy kiberbiztonsági esemény is hatalmas károkat tud okozni, nem is szólva a reputációs veszteségekről.

Mi az a NIS2 irányelv és kikre terjed ki a szabályozás?

A NIS2 irányelv egyértelmű célja a kiberbiztonság közösségi szintű szervezése a szabályozás felülvizsgálatával, aktualizálásával és kiterjesztésével. A szabályozás jelentősen szélesíti az érintett ágazatok körét, és méretküszöböt (közép- és nagyvállalatok) vezet be annak meghatározására, hogy mely szervezetek tartoznak a hatálya alá. Magyarországon hozzávetőlegesen 2500-3000 vállalat érintett. A szabályozás emellett számos kötelezettséget vezet be, felvázolja, hogyan kell végrehajtani az ellenőrzéseket, és foglalkozik a jogsértések bejelentésének módjával, valamint szankciókat is alkalmaz.

Bár, még hiányzik pár részletszabály – különösen a végrehajtási rendelet -, a szabályozás túlnyomó része már át lett ültetve a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvénybe („Kibertan törvény”).

A Kibertan törvény megkülönbözteti a kockázatos (pl. élelmiszeripar, digitális szolgáltatások, gyártás) és kiemelten kockázatos (pl. banki szolgáltatások, energetika, hírközlés) ágazatokban működő szolgáltatókat, amely utóbbiak szorosabb felügyelet alatt állnak.

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:

(a)        energetika (villamos energia, távfűtés és hűtés, kőolaj, földgáz, hidrogén)

(b)       közlekedés (légi, vasúti, közúti, vízi, tömegközlekedés)

(c)        egészségügy

(d)       ivóvíz, szennyvíz (víziközmű)

(e)        hírközlési szolgáltatás (hírközlési szolgáltatók, adatkicserélő szolgáltatást nyújtó szolgáltatók, bizalmi szolgáltatók)

(f)         digitális infrastruktúra (pl. felhőszolgáltató, DNS szolgáltató)

(g)       kihelyezett IKT szolgáltatások (infokommunikációs technológiai szolgáltatók)

(h)       banki szolgáltatások és pénzügyi piaci infrastruktúrák

(i)         közigazgatás

(j)         világűr, űripari szolgáltatók

 

Kockázatos ágazatokban működő szolgáltatók és szervezetek:

(a)        postai és futárszolgáltatások

(b)       élelmiszer előállítása, feldolgozása és forgalmazása

(c)        hulladékgazdálkodás

(d)       vegyszerek előállítása és forgalmazása

(e)        gyártás (orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása; számítógép, elektronikai, optikai termék gyártása; villamos berendezések gyártása; máshova nem sorolt gépek és berendezések gyártása; gépjárművek, pótkocsik és félpótkocsik gyártása; egyéb szállítóeszközök gyártása; cement-, mész-, gipszgyártás)

(f)         digitális szolgáltatások (digitális piactér szolgáltató, keresőszolgáltató, közösségi média platform szolgáltató, domain regisztrátor)

(g)       kutatás (kutatóhely)

Általánosan elmondható, hogy a „bekerülési limit” cégek esetében az 50 főt meghaladó alkalmazotti létszám vagy az évi 10 millió Eurót meghaladó árbevétel. Ugyanakkor alkalmazotti létszámtól és árbevételtől függetlenül a törvény személyi hatálya alá esnek az

  • elektronikus hírközlési szolgáltatók,
  • a bizalmi szolgáltatók,
  • a DNS-szolgáltatást nyújtó szolgáltatók,
  • a legfelső szintű domainnév-nyilvántartó valamint
  • a domainnév-regisztrációt végző szolgáltatók is.

Határidők és tennivalók

A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH), mint felügyeleti hatóság az érintett szervezeteket tartalmazó nyilvántartást 2024. január 1-től vezeti.

Az érintett szervezeteknek legkésőbb 2024. június 30-ig be kell jelenteniük az SZTFH részére az azonosításhoz szükséges adataikat (ehhez önazonosítás és biztonsági osztályba sorolás, azaz házon belüli felkészülés is kell), valamint az általuk kijelölt biztonságért felelős személyt.

Az irányadó védelmi intézkedéseket 2024. október 18-tól kell alkalmazni folyamatos megfelelőség mellett, valamint 2024. december 31-ig szerződni kell egy akkreditált kiberbiztonsági auditorral.

Az első előírt kiberbiztonsági auditot 2025. december 31-ig kell elvégeztetni, majd kétévente újból auditáltatni.

Kiberbiztonsági megfeleléssel kapcsolatos határidők

(a)        2024. június 30. – nyilvántartásba való bejelentkezés határideje (házon belüli felkészülés)

(b)       2024. október 18. – szabályozásnak való teljes megfelelés határideje

(c)        2024. december 31. – nyilvántartásba vett auditorral való szerződéskötés határideje

(d)       2025. december 31. – első kiberbiztonsági audit határideje

Bár a határidők távolinak tűnnek, de maga a felkészülés jelentős erőforrásokat igényel, így érdemes minél előbb elkezdeni azt házon belül.

Kötelezettségek

Minden érintett szereplőnek szükséges lesz egy kiberbiztonsági kockázatelemzést készítenie, az információs rendszereket (itt nem csak az irodai gépeket, hanem akár a termelésben részt vevő eszközöket is érteni kell) és a tárolt adatokat érzékenységük alapján biztonsági osztályba kell sorolniuk, ezen osztályokhoz pedig biztonsági kontrollokat kell implementálniuk.

Alapvetően a bizalmassághoz, sérthetetlenséghez és rendelkezésre álláshoz szükséges védelmet kell folyamatosan biztosítani, amihez a megfelelő IT rendszer kiépítése és karbantartása, valamint az egyes szereplők feladatainak ismerete és betartása a fontos.

Mindez számos adminisztratív lépést (pl. megfelelő szabályzatok elkészítése – IBSZ, DCP BRP, nyilvántartásba vétel, auditorral való szerződéskötés, audit), szervezési feladatot (pl. munkatársak biztonsági képzése, információ biztonságért felelős személy kijelölése, protokollok betartása, biztonsági események kezelése és bejelentése) és folyamatos technikai kihívást jelent az érintettek számára.

“A rendszerek és a belső folyamatok finomhangolása mellett ráadásul a rendszerekkel kapcsolatos külsős vállalkozókkal való szerződéskötések, valamint az adott cégek ellátási láncának kiberbiztonsága terén is számos tennivalót fogalmaz meg a szabályozás” – emelte ki Szabó Gergely Gábor ügyvéd.

Végül pedig felügyeleti díjat is fizetni kell, amelynek összege az előző üzleti év bevételének 0,015%-a, de maximum 10 millió forint; csoportszinten pedig maximum 50 millió forint.

Bírság mértéke és a menedzsment felelőssége

Kiemelten kockázatos ágazatokban működő szolgáltatók esetén legfeljebb 10 millió EUR vagy (amennyiben az magasabb) az előző évi világszintű forgalom 2%-ának megfelelő bírság.

Kockázatos ágazatokban működő szolgáltatók esetén legfeljebb 7 millió EUR vagy (amennyiben az magasabb) az előző évi világszintű forgalom 1,4%-ának megfelelő bírság. A bírság mérlegelésen alapul és egyéb, sokszor a jelentős bírságnál is fájóbb szankciók (pl. jogsértés nyilvánosságra hozatala) is alkalmazhatók nem is szólva azokról a veszteségekről, amelyeket egy biztonsági esemény által okozott leállás (pl. a termelés 2 hétig áll) okozhat.

Az intézkedéseket és így a megfelelést az érintett szervezet vezetőjének (ügyvezető, vezérigazgató) kell jóváhagynia és felügyelnie (pl. biztonságért felelős személy hatásköre és feladatai, felhasználókra vonatkozó szabályok, oktatás, beszállítói lánc megfelelősége, szolgáltatók megfelelősége). Ezért kiemelten fontos az érintett szervezet vezetőjének felelőssége, amelyre a vezeti tisztségviselő Ptk. szerinti felelőssége az irányadó. Ráadásul a felelősséget tovább növeli a beszállítói lánc megfelelősségének biztosításával és a külsős IT szolgáltatókkal való szerződéskötéssel kapcsolatos tennivalók, amelyek túlmutatnak a szokásos partnerátvilágítási lépések megtételén.

A megfelelés egyben lehetőség is

A fenti tennivalók és a megfelelés közelgő határideje riasztó lehet, azonban számos lehetőséget is magában rejt.

Köztudott, hogy egy jól felépített IT rendszer, valamint a digitális és mesterséges-intelligencia alapú megoldások jelentős hatékonyságnövelést jelentenek a termelés, a logisztika és a szolgáltatások területén is. Amennyiben már a rendszerek kialakítása, átgondolása során előtérbe kerülnek a kiberbiztosági szempontok, úgy a rendszerek később nehezebben támadhatók és emellett a beszállítói lánc és külsős IT szolgáltatók megfelelősségének biztosításával további hatékonyságot érhetünk el. Emellett, ha nem csak üres szabályzatokat írunk és tartatunk be a munkatársakkal, hanem megpróbálunk mindent a tényleges folyamatokhoz igazítani és a valós kockázatokat mindenkivel megértetni, akkor a rendszerek mellett az emberi oldalból eredő kockázatok is minimalizálhatók.

Mindezen megfelelésből és hatékonyság-növelésből pedig olyan versenyelőnyt lehet kovácsolni, amely kiemeli az érintett szolgáltatót a versenytársak közül. “Ezért érdemes már most elkezdeni a felkészülést és a vállalati stratégiát összhangba hozni a digitális stratégiával, amelynek szerves részét kell képezze a kiberbiztonsági megfelelés” – hangsúlyozta Szabó Gergely Gábor, a Bán, S. Szabó, Rausch & Partners Ügyvédi Iroda szabályozási ügyekért felelős vezető ügyvédje.

Szabó Gergely Gábor, a Bán, S. Szabó, Rausch & Partners Ügyvédi Iroda szabályozási ügyekért felelős vezető ügyvédje: