Amikor idén februárban körbejárta a sajtót a hír, hogy a Pepco magyarországi üzletágát olyan kibertámadás érte, amely 6 milliárd forintos kárt okozott a cégnek, sokan biztosan meglepődtek az okozott kár nagyságán, valamint a megcélzott cégen is. A meglepődöttek között viszont valószínűleg kevés kiberbiztonsági szakértő volt.
Igaz, hogy ez volt az eddigi legnagyobb magyarországi sikeres kibertámadás – legalábbis azok közül, amelyeket megismerhetett a nyilvánosság is – de világszerte egyre gyakoribbak és egyre nagyobb károkat okoznak az ilyen támadások. A becslések szerint a világon 2022-ben nagyjából 8 ezer milliárd dollár (igen, jól olvasták 8000 milliárd amerikai dollár) kárt okoztak a kibertámadások, és a szakértők szerint 2025-re a kárösszeg elérheti a 10,5 ezer milliárd dollárt. Mind az összeg, mind a növekedés üteme elképesztő.
Jól látható, hogy a hihetetlen ütemű – és a Covid-pandémia idején még néhány fokozattal feljebb kapcsolva gyorsult – digitalizáció minden előnye mellett biztonsági szempontból mindenképpen készületlenül érte a világot, és benne a cégeket, és az elképesztő lehetőségek mellett hatalmas veszélyeket is rejteget magában.
Amennyiben szeretné megismerni a kibertérben leselkedő legújabb veszélyeket, illetve elhárításuk legjobb módjait, valamint a NIS2 irányelv hazai alkalmazásához köthető gyakorlati tennivalókat, jöjjön el a Klasszis lapcsoport 2024. április 10-i rendezvényére.
A Jó, a Rossz és a NIS2 című eseményen felszólalnak a téma neves szakértői és a hatóságok képviselői is, akiktől kérdezni is lesz lehetősége a résztvevőknek. Részletes program, jelentkezés itt>>>
Uniós válasz
Nem csoda, ha a problémával uniós szinten is foglalkoznak. Az elmúlt időben talán sokan hallottak a Network and Information Systems uniós kibervédelmi irányelv második változatáról, azaz ismertebb nevén a NIS2-ről. Ennek 2022 végi elfogadásával az volt az Unió célja, hogy az egész Unió területén egyfajta egységes minimumot vezessen be a stratégiailag fontosnak tartott ágazatokban működő cégek számára kibervédelmi szempontból.
„Az irányelv (az úgynevezett NIS 2 irányelv) közös kiberbiztonsági szabályozási keretet határoz meg, amelynek célja a kiberbiztonság szintjének növelése az Európai Unióban (EU); ehhez előírja az uniós tagállamok számára a kiberbiztonsági képességek megerősítését, valamint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstétel bevezetését a kritikus ágazatokban, továbbá az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó szabályokat”
– olvasható az irányelvben a szabályozás céljáról.
Persze az elvek, még ha azok irányelvek is, szép dolgok, de a gyakorlatba a tagállamok által hozott törvények útján ültetődnek át. Magyarország esetében a NIS2-t az uniós szinten is a legelsők között is a tagállami jogba integráló, 2023 május elején elfogadott, és 2023. május 23-án már hatályba is lépett „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”, de röviden csak Kibertan-törvényként emlegetett jogszabály rendelkezései az irányadóak. (A törvény mellett már kész, illetve készülő végrehajtási rendeletek is az implementációs folyamat részei, de az implementáció alapját ez a jogszabály jelenti.)
„A társadalom gyors digitális átalakulásával és összekapcsolódásával az elektronikus információs rendszerek, valamint a digitális eszközök a mindennapi élet központi elemévé váltak. A fejlődés a digitális fenyegetettségek körének bővüléséhez is vezetett, ami akadályozhatja a gazdasági tevékenységek folytatását, pénzügyi veszteséget okozhat és alááshatja a felhasználók bizalmát, ezzel jelentős károkat okozva a gazdasági és társadalmi életben. Ezen túlmenően a kiberbiztonság kulcsfontosságú tényező számos kritikus ágazat számára a digitális átalakulás sikeres felkarolásához és a digitalizáció gazdasági, társadalmi és fenntartható előnyeinek teljes körű kiaknázásához”
– szól e törvény bevezetője, de mit is jelent mindez a gyakorlatban?
Sok az új érintett
Az egyszerű állampolgárok, felhasználók, az érintett cégek ügyfelei nem sokat fognak érzékelni a törvény rendelkezéseiből, legfeljebb itt-ott erőteljesebb biztonsági protokollokkal, például mondjuk az internetes bankolásnál már megszokott kétlépcsős azonosítással találkozhatnak majd a jövőben ott is, ahol korábban elég volt egy egyszerű jelszavas belépés is.
Annál nagyobb változások jöhetnek az érintett szervezetek számára. Rögtön ott van az a tény, hogy ezek köre jelentősen kibővült. Az irányelv korábbi változatához képest NIS2, illetve ennek megfelelően a Kibertan-törvény is sokkal több szervezetre vonatkozik. A törvény előírásai minden 50 főnél több munkavállalót foglalkoztató, vagy legalább évi 10 millió eurónak megfelelő árbevétellel rendelkező cégre vonatkoznak, illetve meghatároz olyan stratégiai szempontból kiemelten kritikus, valamint kritikus ágazatokat, amelyek területén szintén alkalmazni kell azokat az ott működő cégeknek, szervezeteknek.
A stratégiai szempontból kiemelten kritikus ágazatok a következők:
- az energia
- a banki és pénzügyi szolgáltatások,
- a víz,
- az egészségügy,
- a szállítás,
- a gyógyszeripar,
- a digitális infrastruktúrák,
- a kihelyezett szolgáltatók,
- a közigazgatás, és
- a világűr földi támogatói infrastruktúrái
Kritikus ágazatnak számítanak:
- a hulladékgazdálkodás,
- a postai és futárszolgálatok,
- az elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések)
- a járműgyártás
- az élelmiszer előállítás és forgalmazás
- a digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform)
- a vegyipari gyártás és forgalmazás
- a kutatóhelyek
Szorít az idő
Az érintett cégek ugyan sok időt kaptak a felkészülésre, de most már igencsak közeleg a törvényben meghatározott első fontos határidő: június 30-áig kell nyilvántartásba vetetniük magukat az érintett szervezeteknek., 2024. október 18-ától pedig már indul is a felügyeleti és ellenőrzési tevékenység, ettől a naptól kezdve felügyeleti díjat is kell fizetnie az érintett szervezeteknek. Az év végéig pedig az érintett szervezeteknek szerződést is kell kötnie egy auditorral, hogy aztán 2025. december 31-éig sor is kerüljön az első kiberbiztonsági auditra is, amely számos szempontból fogja vizsgálni az érintett szervezetek kibervédelmi felkészültségét.
Ha nem tudja, cége érintett lehet-e, vagy érintett, de nem tudja, mi az az auditor, milyen intézkedéseket kell végrehajtani az auditálás előtt, akkor ott a helye a Klasszis lapcsoport a témával foglalkozó rendezvényén.
A Jó, a Rossz és a NIS2 című eseményen felszólalnak a téma neves szakértői és a hatóságok képviselői is, akiktől kérdezni is lesz lehetősége a résztvevőknek. Részletes program, jelentkezés itt>>>
A szakértők szerint a NIS2 irányelvnek történő megfelelés sok érintett cégnek jókora kihívást fog jelenteni, különösen azon cégek, szervezetek számára, amelyek eddig kevés figyelmet fordítottak a kibervédelemre. A nem megfelelés viszont nem járható út, és nem csupán azért, mert a várhatóan egyre gyakoribb támadások előbb vagy utóbb elérhetnek minden, nem megfelelően felkészült szervezetet, a megfelelés költségeinél akár nagyságrendekkel nagyobb anyagi, illetve reputációvesztésben mérhető károkat is okozva, hanem azért is, mert a hatóságok bírságolni is fognak ebben az esetben, a bírság pedig akár az árbevétel 2 százalékát is elérheti.