OKTÓBER 18.: ÚJABB KIBER-HATÁRIDŐ A LÁTHATÁRON
Az első fázis elvileg már mögöttünk van
A NIS2 direktíva hazai átültetésének első szakaszában a magyar vállalkozásoknak fel kellett mérniük, hogy megfelelnek-e annak a három feltételnek, amely alapján érintett vállalkozásnak minősülnek. Az első kritérium annak meghatározása, hogy a vállalat bármely tevékenysége a jogszabályban megjelölt 16, kockázatosnak vagy kiemelten kockázatosnak minősített ágazatba tartozik-e (például közlekedés, egészségügy, gyógyszeripar, vegyipar, digitális szolgáltatások stb.). A második és harmadik feltétel értékelése viszonylag egyszerűbb: a vállalkozás középvállalkozásnak minősül-e, vagyis rendelkezik-e legalább 50 fő munkavállalóval, és nettó éves árbevétele vagy mérlegfőösszege meghaladja-e a 10 millió eurót.
Ha egy vállalkozás eleget tesz e három feltételnek, akkor 2024. június 30-ig köteles volt kérni nyilvántartásba vételét a kiberbiztonsági felügyeleti szervtől. A nyilvántartásba vétel nem csupán egy adminisztratív feladat, az már ebben a szakaszban is stratégiai döntéseket követelt a vállalkozásoktól. Az alapvető adatok és tevékenységi körök megadása mellett a kérelemben már ki kellett jelölni azt a felelős személyt, aki a cég elektronikus információs rendszereinek biztonságáért felel, fel kellett tüntetni a vállalat által nyújtott nyilvános szolgáltatásokat (például ügyfélportálok, mobilalkalmazások), valamint listázni kellett az összes olyan szolgáltatót, amely részt vesz az elektronikus információs rendszerek üzemeltetésében.
Ami most jön
Miközben elképzelhető, hogy sokan még a regisztráció szükségességét vizsgálják, pár napon belül újabb jelentős mérföldkőhöz érkezik az új rezsim: 2024. október 18-ig kell ugyanis elvégezni az elektronikus információs rendszerek biztonsági osztályba sorolását (alap, magas vagy jelentős) és bevezetni a szükséges kockázat- és incidenskezeléssel kapcsolatos intézkedéseket, Ez magában foglalja az érintett rendszer és annak fizikai környezetének vizsgálatát, valamint minden szükséges intézkedés megtételét, amivel biztosítható az adott rendszerben tárolt, továbbított vagy feldolgozott adatok bizalmassága, sértetlensége és folyamatos rendelkezésre állása. Rendkívül összetett folyamatról van szó, amelynek első lépése annak meghatározása, hogy az érintett vállalkozásnál egyáltalán hány elektronikus információs rendszer létezik – egy kisebb élelmiszeripari vállalkozás esetében ez a szám tíz alatt is lehet, míg egy autóipari nagyvállalkozás esetében a több ezret is elérheti.
A feladatnak tétje is van. Ha egy hatósági vizsgálat során megállapításra kerül, hogy egy adott rendszer besorolása a szükségesnél alacsonyabb biztonsági osztályba került vagy nem megfelelő szintű intézkedések alkalmazását írta elő az érintett szervezet, a hatóság szankciókat szabhat ki. Ez várhatóan egyelőre csak a figyelmeztetés lesz, valamint a vállalkozás kötelezése a szükséges intézkedések megtételére. Súlyosabb mulasztás esetén pénzbírság kiszabására is sor kerülhet, amely szinte másodlagos ahhoz képest, hogy szélsőséges helyzetben a hatóság akár az érintett tevékenység felfüggesztésére is kötelezheti a vállalkozást, nem is említve annak folyamatos kiberfenyegetettségét.
Ami a karácsonyfa alatt várja majd az érintett szervezeteket
Természetesen az év vége sem múlhat el NIS2-es teendők nélkül. Ha feltételezzük, hogy egy vállalkozás valamennyi fenti kötelezettségének határidőben eleget tett, még mindig szüksége van egy entitásra, amely ellenőrzi mindezen lépések megfelelő elvégzését. A szabályozás logikája ezt a szerepet a kiberbiztonsági auditorokra osztja. Egyelőre a hatóság öt vállalkozást regisztrált, amelyek auditorként működhetnek. Tevékenységük azonban korlátozott: jogosultságuk a legmagasabb biztonsági osztályok alapján van meghatározva, így csak azokban az osztályokban végezhetnek ellenőrzést, amelyre jogosítványuk kiterjed. A következő lépés az érintett vállalkozások számára az lesz, hogy 2024. december 31-ig kiválasszák és szerződést kössenek egy megfelelő auditorral.
Mit tegyen, aki még nem ébredt fel?
A tapasztalatok szerint jó pár olyan vállalkozás van a piacon, aki még nem kezdte el a felkészülést, esetleg még fel sem ismerte, hogy érintett lehet a szabályozásban. Nekik a jó hír az, hogy az első és a második fázist – még ha egyszerre is kell megugraniuk – még valószínűsíthetően lesz idejük, hogy utolérjék a mezőnyt. Bár a regisztrációs határidő elmulasztása akár 15 millió Ft-os bírságot is vonhat maga után, a hatóság által sokszor hangoztatott álláspontja szerint a cél most nem elsősorban a bírságolás. Ha viszont valaki csak félév múlva lát neki a feladatoknak, az már nagy valószínűséggel olyan késésben lesz, amelynek komolyabb következményei is lehetnek.