Hány céget érint Magyarországon a NIS2?
Nagyjából 2000-2500 olyan vállalkozás van jelenleg, amelyeket az új szabályozás érinthet. Ez önmagában is hatalmas szám, azt figyelembe véve azonban, hogy az eddig a NIS1-irányelv alapján nagyjából 200-250 szervezetnek kellett megfelelnie az előírásoknak, még markánsabban látszik a változás: tízszeresére nőtt ez a kör.
Vannak becsléseik arról, hogy mennyire felkészültek a cégek?
Az Eurostat legutóbbi kiberbiztonsági felmérése szerint az európai nagyvállalatok felének van információbiztonsági politikája, illetve foglalkozik kiberbiztonsági kockázatkezeléssel. A kis- és középvállalati szektorban pedig ez az arány nem éri el a 25 százalékot. Magyarország esetén az adatok elmaradnak az európai átlagtól. Ennek alapján a cégek jelentős része nagyon messziről indul. Azoknak a szervezeteknek, amelyek ezzel a kérdéssel eddig nem foglalkoztak, minden új lesz.
Hogyan fogjanak hozzá? Milyen határidőkre célszerű figyelni?
Az első szakaszban össze kell állítanunk egy listát ezekről a vállalatokról – nemcsak Magyarországon, hanem az egész Európai Unióban el kell ezt végezni. Meg kell tehát nézni, hogy melyek azok a vállalatok, amelyek végeznek olyan tevékenységet, amelyre a NIS2-irányelv vonatkozik, illetve az ennek a hazai jogrendbe átültetését célzó kibertantörvényben (2023. évi XXIII. tv.) fel van sorolva. Ezt minden vállalatnak magának kell ellenőriznie, és ha érintett, nyilvántartásba szükséges vetetnie magát a hatóságunknál.
Ez a regisztráció, amely az év elejétől, június végéig tart…
Igen. Egy adminisztratív lépés, a jogi, pénzügyi megfelelés vizsgálata: meg kell nézni, hogy méret, illetve tevékenység alapján beleesik-e a cég az érintetti körbe. A meghatározott ágazatok nagy- és középvállalataira vonatkozik, ami mellett az egyes ügykörök, mint például a doménregisztrációt, a DNS- vagy elektronikus hírközlési szolgáltatást nyújtó cégek esetén az adott tevékenységet folytató mikro- és kisvállalatokra is. Ebben a szakaszban semmilyen információbiztonsági vagy informatikai kihívás nincs, a működésre vonatkozó alapadatok alapján eldönthető. Az egyetlen, a későbbi feladatok szempontjából fontos kérdésre érdemes ugyanakkor már itt figyelni: ki kell jelölni egy olyan felelőst, aki majd a hatósággal tartja a kapcsolatot. Esetükben nincs semmilyen különösebb előírás, de célszerű olyan embert választani erre a feladatra, aki ért az informatikához és az informatikai biztonsághoz.
Mennyire ébrednek gyorsan a vállalatok: vannak már regisztrálók?
Az első regisztrációs kérelem január 9-én érkezett, azt a céget már nyilvántartásba is vettük. A folyamat elindult, bár egyelőre nem beszélhetünk tömeges érdeklődésről. Ahhoz, hogy a regisztráció a lehető legegyszerűbb legyen létrehoztunk egy elektronikus felületet, amelyen a vállalkozásoknak a cégkaput használva egy űrlapot kell kitölteniük és beküldeniük. Az ügyintézés teljesen online folyamat.
Milyen feladatok várnak a cégekre a regisztrációt követen?
Ha a hatóság nyilvántartásba vette a társaságot, fel kell mérni a vállalkozás által használt elektronikus rendszereket, gondolva itt az irodai, az ügyfélkapcsolati, illetve a gyártásban közreműködő szisztémákra. Ezeket számba kell venni, létre kell hozni egy vagyonelemlistát és minden elemet biztonsági osztályba kell sorolni. Lényeges szempont, hogy ezt úgy végezzék el a szervezetek, hogy a védelmi intézkedések ezek mentén bevezethetők legyenek.
A NIS2 hatálya alá tartozó cégek beszállítóira is érvényesek az előírások. Hogyan kell ezt értelmezni?
A vállalat és a beszállító közötti szerződésben kell előírni azokat a kötelezettségeket, amelyek a kibertantörvényből fakadnak. A kötelezettségeket tehát át kell hárítani a beszállítókra. Az audit során várhatóan ezeket a szerződéses kikötéseket is vizsgálni fogják. Az ugyanakkor, hogy ezek teljesítése miként valósul meg, már nem tartozik a vállalat felelősségébe.
Indokolt ebbe a folyamatba szakértőt bevonni?
Ez a szervezettől függ. Közép- és nagyvállalati szinten, ahol megvan ehhez a szakértelem, akár elegendők lehetnek a belső erőforrások is. Ott, ahol ezek a kompetenciák hiányoznak, célszerű tanácsadó közreműködését igénybe venni, aki szakértő szemmel segít végigmenni a folyamaton, a kockázatfelmérésben és abban is, hogy ezekhez igazítsa a cég a szükséges humán, fizikai és egyéb intézkedéseket, amiket be kell vezetnie.
Mennyivel több energiát, pénzt, figyelmet igényel ez a folyamat például a GDPR bevezetéséhez képest?
Ez a felkészülés jóval összetettebb a GDPR-megfelelésnél. Ott lényegében jogi és szabályzatalapú feladatról volt szó. Az információbiztonság viszont csak részben szabályzatok kérdése – itt konkrétan meg kell teremteni a technikai feltételeket és a szabályokat implementálni kell a meglévő rendszerekbe. Mindezen túlmenően – és ez az igazán nagy különbség – míg a GDPR esetében nem kellett bizonyítani, hogy a vállalat elvégezte a feladatot, addig a NIS2-nél nem elég azt mondani, hogy felkészült a cég, igazolni is kell ezt. Az igazolás pedig egy független harmadik fél – egy auditor – által készített jelentés.
Van elég szakértő, aki az átvilágítást, illetve az auditot el tudja végezni?
Nagyon sokan foglalkoznak már Magyarországon ISO 27 000 audittal – ez az egyik legáltalánosabb biztonsági tanúsítási forma. Sok könyvvizsgáló cégnek van információbiztonsági csapata és rengeteg kisebb vállalkozás működik az információbiztonság területén. Van tehát egy viszonylag széles tanácsadói piac, amely ezt a feladatot el képes látni és érdemes erre használni.
Ki végezhet majd auditot? Itt is lesz elegendő kapacitás?
Ez egy szűkebb szegmens, ahol szigorú feltételeknek kell majd megfelelni. Mivel általában véve is hiányoznak az informatikusok és az információbiztonsági szakemberek a piacról – ez semmiképp sem tekinthető nagy piacnak. Ebből az is következik, hogy azok járnak majd a legjobban, akik korán ébrednek és lefoglalják ezeket a kapacitásokat. Minél hamarabb megtalálja a cég a partnerét, annál nyugodtabb lehet, hogy időben teljesíti a kötelezettségeit.
Az auditorral 2024 végéig kell szerződnie a vállalatoknak, de a rájuk vonatkozó szabályok még nem ismertek. Várhatóan mikor jelennek meg ezek?
Tavasszal. Addig, amíg az érintettek nyilvántartásba vételére nem kerül sor, ez nem kiemelt kérdés. Ezt követően lesz fontos a cégek számra, hogy megtalálják az auditort.
Az előbb utalt arra, hogy az auditot egy független harmadik félnek kell majd elvégeznie. Azt jelenti ez, hogy ugyanaz a cég nem lehet egy vállalatnál auditor, amely az átvilágítást elvégezte?
Igen, az összeférhetetlenség lenne, ha az auditot ugyanaz a cég folytatná le, amely azt megelőzően is közreműködött a vállalat átvilágításában és a megfelelésre való felkészülésben.
A határidő be nem tartásához elég komoly szankciók kapcsolódnak. Mennyire lesznek türelmesek?
A NIS2-irányelvhez több olyan határidő kapcsolódik, amelyhez a felügyeletnek is tartania kell magát. 2025 áprilisáig el kell például készülnie egy az egész unióra kiterjedő nyilvántartásnak az érintett vállalatokról. A regisztráció egy nagyon fontos folyamat része, a hamarosan megjelenő kormányrendelet értelmében 5–50 millió forint körüli birsággal kell számolnia azoknak, aki ezt elmulasztja, és a későbbi lépések elmaradása esetén is számolni kell a szankciókkal. Nem érdemes megpróbálni kibújni a kötelezettségek alól. A nyilvántartásainkat összevetjük majd az egyéb hatóságok adataival, és előbb vagy utóbb a mulasztásokra fény derül. A szankciók ismételhetők, ha valaki a büntetés után sem felel meg a kötelezettségeknek, újabb bírságra számíthat, így akár annyi is összegyűlhet, ami már a cég működését veszélyezteti.
A hatósági feladatok mellett az SZTFH másik fő célkitűzése, már-már missziója az állampolgárok és felhasználók tudatosítása, a kiberbiztonsági érzékenyítés. Az ezen folytatott tevékenységről és a jövőbeni tervekről Bor Olivér, az SZTFH kiberbiztonsági és kommunikációs szakértője beszélt az ICT Globalnak.
(Az új kiberbiztonsági szabályozással összefüggő kérdésekről szó lesz az ICT Global Grand Opening 2024 AI-ALL IN 2024 február 22-23-án megrendezésre kerülő konferenciánkon. A témáról bővebben is tájékozódhat az 2024. február 29. megrendezésre kerülő ICT Global Talks rendezvényünkön is. )
(Kiemelt kép: Unsplash)
