Nagyjából két és fél év telt el azóta, hogy az uniós tagállamok megegyeztek: 18 kritikus szektorban szigorítják a kiberbiztonsági előírásokat. Ám sokan a mai napig nem ültették át a szabályokat a nemzeti jogba, gyakorlatilag fittyet hányva az előírt határidőre.

Pedig a szigorításnak az volt a célja, hogy fokozzák a biztonságot

Kapcsolódó

olyan kulcsfontosságú területeken, mint a gyógyszergyártás, az államigazgatás vagy akár az űrkutatás.

Fél évvel azután, hogy az irányelv alkalmazásának határideje október 17-én lejárt, 13 ország továbbra sem építette be az ún. NIS2 kiberbiztonsági irányelvet a nemzeti jogszabályaikba.

A mulasztás tökéletesen rávilágít arra, hogy

habár a gazdaság kiberbiztonsági védelme mindenhol kormányzati prioritás, sok helyütt ezt mégis felülírják egyéb tényezők.

Ilyen például a számos tagállamban tapasztalható politikai instabilitás, a szakemberhiány, na meg persze az a kézenfekvő ok, hogy a szigorúbb kiberbiztonsági követelmények új költségeket rónának a vállalkozásokra, ezzel is rontva a versenyképességet.

Mindössze hét uniós ország fogadta el teljesen az irányelvet, további hét ország pedig részben teljesítette – mondta el az Euractivnak az Európai Bizottság szóvivője. Utóbbi kategóriába tartozik Csehország, Lengyelország és Ausztria mellett Magyarország is. 

Közülük néhányan ráadásul csak azután léptek, hogy novemberben felszólító levelet kaptak Brüsszeltől. 

Érthetetlen és felelőtlen, hogy a tagállamok halogatják a jogszabályok átültetését


- mondta Bart Groothuis, a liberális Renew frakció holland EP-képviselője az Euractivnak, aki korábban a NIS2 jelentéstevője volt. Minden egyes nappal növekszik a kibertámadásokkal szembeni sebezhetőségünk - tette hozzá.

Sebastijan Cutura, az Európai Kiberbiztonsági Szervezet (ECSO) vezető menedzsere is nagyon aggasztónak nevezte a végrehajtás lassúságát. 

Súlyos kibertámadásokkal gyanúsítja Amerikát Kína

A kínai hatóságok szerint három amerikai hekkelte meg a nemzetbiztonsági ügynökség megbízásából az ázsiai téli játékok internetes felületeit. >>>

A nagy halogatók között van Németország és Franciaország, az EU legnépesebb országai, ahol egyértelműen a politikai bizonytalanság késlelteti az irányelv elfogadását. Utóbbiban a Nemzetgyűlés asztalán pattog a labda, Németországban pedig az új kormány feladat lesz, ám valahol érthető, hogy nem ez volt a koalíciós tárgyalások fő sarokpontja. Ám rajtuk kívül épp így rosszul áll a szénája, Spanyolországnak, Portugáliának, de a skandináv államoknak is. 

Sok pénz a tét

A kibertámadások már rég nem magányos hekkerek viccből elkövetett magánakcióit jelentik. Az állami szereplőkön kívül a szervezett bűnözés egyik legprofitálóbb részévé vált, amelyeknek célpontjai akár középvállalkozások is lehetnek.

A kibercsalók okozta károk ma már dollármilliárdokban mérhetők

- írta még novemberben az Index. 

Az Európai Bizottság honlapján fellelhető információk szerint „a NIS2 irányelv közös kiberbiztonsági szabályozási keretet határoz meg, amelynek célja a kiberbiztonság szintjének növelése az Európai Unióban; ehhez előírja az uniós tagállamok számára a kiberbiztonsági képességek megerősítését, valamint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstétel bevezetését a kritikus ágazatokban, továbbá az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó szabályokat”.

Minden tagországnak lehetősége volt arra, hogy a NIS2 irányelveit saját képére alakítsa, a követelményeket pedig 2024. október 18-tól alkalmazni kell, vagyis kellett volna.

De még a szabvány sem egységes

A Magyarországon a törvényalkotó egy amerikai szabvány, az NIST 800-53 keretrendszerét vette alapul, de tagországonként eltérőek a szakmai követelmények.

„Néhány kritikus iparágban – mint a telekommunikáció, a bank-, illetve biztosítási szektor – hosszú évek óta jelentős kiberbiztonságot erősítő lépések mentek végbe, köszönhetően annak, hogy a kormányok belátták ennek fontosságát, amit cselekvés követett.”

- A NIS2 gyakorlatilag azt jelenti, hogy a kibervédelmi szabályozásokat a teljes gyártási, illetve ellátási láncban részt vevő, bizonyos méret, illetve árbevétel felett diszponáló vállalatokra is kiterjesztették – vázolta a NIS2 bevezetése mögött húzódó okokat Márton Miklós, a  iVeTech vezérigazgatója,

- A vonatkozó cégméretet 50 főben, míg az árbevétel alsó határát 10 millió euróban, vagyis több mint 4 milliárd forintban határozták meg. Mindezt két évre visszamenőleg nézik, ezáltal kimozogva az irányelv hatálya alóli kibújás szándékát - tette hozzá.

Ahogy a cikk is rámutat: az irányelv nem az ajánlott, hanem a kötelező kategóriát erősíti, vagyis minden érintett vállalatnak be kell építenie működésébe - talán ezzel is magyarázható, hogy miért is váltott halogató üzemmódba számos uniós tagállam.