Az EU új kibervédelmi szabályozása és a vállalatokra háruló feladatok

Az Európai Unió új kibervédelmi szabályozása, a NIS2 hamarosan életbe lép, és széles körben érinti a magyar vállalatokat, akár 110 millió forintos büntetéssel sújthatók, ha nem felelnek meg az előírásoknak. A Telekom szakértője, Boros Robin segítségével tekintjük át, milyen lépéseket kell megtenniük a cégeknek a közelgő változások kapcsán.

Néhány hónapon belül a magyar vállalatoknak alkalmazkodniuk kell az új európai uniós kiberbiztonsági szabályozáshoz, a NIS2-höz, amely több területet és céget érint, mint korábban. A kiberbiztonsági fenyegetések növekedése miatt indokolt a védekezés erősítése, hiszen a banki csalások, adatszivárgások és zsarolóvírusok mellett államok által szponzorált támadások is egyre gyakoribbak.

Boros Robin, a Telekom IT-biztonsági specialistája szerint az információbiztonság a kibertérben ugyanolyan fontos, mint a fizikai vagyonvédelem, és számos bevált megoldás áll rendelkezésre az adatvédelemre. A sötét gazdaságban működő "cégek" specializálódtak arra, hogy meghekkeljék és átverjék az embereket, vállalatokat, adatokat szivárogtassanak ki, pénzt lopjanak, vagy zsarolóvírusokat telepítsenek.

A NIS2 célja, hogy megállítsa az egyre kifinomultabb támadásokat, és növelje az Európai Unió védelmi fokozatát.

Az első lépés a besorolás

A NIS2 értelmében a vállalatoknak 2024. június 30-ig be kell sorolniuk magukat az alap, jelentős vagy magas biztonsági osztály egyikébe, és meg kell tenniük a kategóriájukhoz tartozó intézkedéseket. A Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH) kell jelentkezni, és aki bizonytalan, annak is érdemes ezt megtennie, mivel a nem jelentkezők akár 50 millió forintos büntetésre is számíthatnak.

Az érintett iparágak körét kibővítették, így már az űrkereskedelem és űrtechnológia, valamint bizonyos kritikus szolgáltatók, mint a közintézmények, gyártócégek és közművek is beleesnek. Boros Robin azt javasolja, hogy a cégek forduljanak szakértőhöz a besorolásban való segítségért, mivel ez nemcsak a büntetési tételek miatt fontos, hanem az információbiztonság és a vagyoni értékű jogok miatt is.

Legalább vírusírtó legyen

A direktíva arányos intézkedéseket ír elő, így az alap kategóriában már a számítógépek vírusvédelemmel való ellátása is kötelező. A jelentős kategóriában már hálózatvédelem és tűzfal használata is szükséges, míg a magas kategóriába eső cégeknél incidens- és sérülékenységkezelés, naplóelemzés, valamint egy Security Operational Center (SOC) működtetése válik előírássá.