BUX 135825.01 -0,05 %
OTP 42890 0,3 %
economx_logo
Csatlakozás
Keresés
Buksza blog
Video
Promo app

Töltse le az Economx appot!

Letöltés
Ekkora lehet a büntetés, több ezer céget érint az új EU-irányelv
OTP 42890 0,3 %
EUR/HUF 356.1 -0,61 %
Csatlakozás
Keresés
Buksza blog
Video

Ekkora lehet a büntetés, több ezer céget érint az új EU-irányelv

Fájdalmas következményekkel jár, ha az érintett társaságok nem tesznek eleget az uniós kibervédelmi irányelvnek – hívja fel a figyelmet az EY szakértője.

2023. november 29. szerda, 06:12

Fotó: Getty Images / Michele Tantussi

Megosztom

Idén januárban lépett hatályba a NIS2 irányelv, vagyis a felülvizsgált
uniós kibervédelmi direktíva, amit Magyarország az elsők között ültet át az Európai Unió tagállamai közül a saját jogrendszerébe, hogy a magyar cégek hatékonyan
vehessék fel a küzdelmet a látványosan növekvő kiberfenyegetésekkel szemben –
mondta el az Economx megkeresésére az EY kibervédelmi szolgáltatásokkal
foglalkozó vezetője.

Zala Mihály szerint az előírások a legalább 50 főt
foglalkoztató, vagy a 10 millió eurót (jelenlegi árfolyamon nagyjából 3,8
milliárd forintról beszélhetünk) meghaladó éves árbevétellel rendelkező
cégekre, köztük minden olyan szervezetre vonatkoznak, amelyek az EU gazdasági
és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el.

Magyarországon 2024. január elsejétől kezdik nyilvántartásba
venni az érintett szervezeteket. A szóban forgó vállalkozásoknak 2024. június
30-ig be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti
Hatóságánál, ahol október 18-án el is indul az ellenőrzési folyamat.

Ezek a kritikus
ágazatok

A szabályozás feltételeinek 2024. december 31-ig kötelező
megfelelniük a cégeknek, valamint ki kell jelölniük egy auditort, aki 2025
végéig lefolytatja az első, NIS2 szabályozásnak megfelelő kiberbiztonsági
átvilágítást.

Ilyen kritikus ágazatnak számít

  1. az energetika
  2. a közlekedés
  3. az egészségügy
  4. az ivóvíz, a szennyvíz és a hírközlési szolgáltatás
  5. a
    kihelyezett ICT szolgáltatások
  6. az űrkutatás
  7. a digitális
    infrastruktúra
  8. a postai és
    futárszolgálat
  9. az élelmiszer-előállítás, feldolgozás és forgalmazás
  10. a
    kutatás
  11. hulladékgazdálkodás
  12. a vegyszer-előállítás és forgalmazás
  13. a digitális szolgáltatás.

Zala Mihály az Economx kérdésére elmondta: a magyar
hatóságok jelenleg közel 2600 vállalat érintettségével számolnak, ám ezek a TEÁOR tevékenységi köröket alapul vett számítások.

Így nem lenne meglepő, ha az infláció, a növekedés, a tevékenység pontosításai okán is megduplázódna a cégek
száma.

Ez a gyakorlatban annyit jelent, hogy az irányelv közvetetten munkavállalók százezreit is érintheti.

A helyzetet csak bonyolítja, hogy egyes gazdasági társaságok
akár több iparágban is jelen vannak, így például az útépítéssel foglalkozó
üzletáguk nem, ám a fuvarozási üzletáguk már beleesik a kötelezettségek körébe.

Nagy cég, kisebb cég

Az EY szakértője szerint maga a kötelező auditálás is számos
kérdést vet fel. Minden tagállam azzal a problémával küszködik és fog majd
küszködni, hogy ehhez nincs elegendő szakember, így nagyon gyorsan foglalkozni
kell ezzel a problémával. Annál is inkább, mert az uniós rendelkezés a jövőre
nézve a kétévenkénti auditálás részeként úgynevezett sérülékenységi vizsgálatot
is előír.

Tehát, a cégeknek elvileg a jövő év végéig van 13 hónapjuk,
és ha időben lép például egy relatíve kisebb kkv., akkor elégnek is látszik az
idő, de mondjuk egy MOL, egy MVM esetében nyilván ennél jóval hosszabb időre
lesz szükség.

A tevékenységi kör sem mindegy, a pénzintézetekre a Magyar Nemzeti Bank szigorú felügyeleti rendszert alkalmaz, ők könnyebb helyzetben
vannak, ám lesznek olyan iparágak, akiknek az auditálás teljesen új terület.

Nagy a tét

Pár hét, és elkezdik nyilvántartásba venni azokat a hazai
cégeket, amelyekre kiterjed a NIS2, vagyis a felülvizsgált uniós kibervédelmi
irányelv. Nagy a tét, mert akár az árbevétel 2 százalékára is büntethetik
azokat a társaságokat, ahol nem készülnek fel időben az IT-biztonsági
incidensek kezelésére, sőt el is tilthatják az irányítástól a szabálysértő
szervezetek vezetőit.

A társaságok számára mindenképpen komoly előkészülettel jár,
hogy megfeleljenek a NIS2 követelményeknek, hiszen többek között szükség van a
kiberbiztonsági hiányosságokat feltáró analízisre, információbiztonsági
irányítási rendszer kiépítésére, beszállítói auditokra, adathalász-, illetve
kibertámadás-szimulációra is, ami komplex megközelítést igényel.

Az érintett cégeknek ki kell alakítaniuk az
információbiztonsági irányítási rendszerhez kapcsolódó adminisztratív, logikai
és fizikai védelmi intézkedéseket is, valamint egyértelműen meg kell
határozniuk a biztonsági vezetők, valamint a felhasználók felelősségét.

Az uniós szabályozás ugyancsak elvárja, hogy társaságok garantálják az üzletmenet folytonosságát, ellenőrizzék a beszállítókat, képzésekkel és szimulációs gyakorlatokkal javítsák a munkatársak biztonság tudatosságát, feltárják és kezeljék az IT biztonsági kockázatokat, bejelentsék az esetleges incidenseket és karbantartsák az informatikai rendszereket.

Zala Mihály végezetül kiemelte: a cégeken múlik, hogy a NIS2-re
nehézségként vagy inkább olyan lehetőségként tekintenek, amivel a régóta
görgetett kiberbiztonsági problémákat egyszer és mindenkorra megoldhatják, és tudatos
koncepció mellett, fenntartható és költséghatékony rendszert építenek fel és
működtetnek.

irányelv
munkavállaló
auditálás
információ
árbevétel
adatbiztonság
europai_unió
kiberbűnözés
kiberbiztonság
büntetés
nyilvántartás
vállalat

Megosztom

Drávucz Péter
Drávucz Péter

Ez is érdekelhet