Hamarosan indul a bírságolás: a kiberbiztonsági hiányosságok milliókba kerülhetnek
Gazdaság

Hamarosan indul a bírságolás: a kiberbiztonsági hiányosságok milliókba kerülhetnek

Az Európai Unió új kiberbiztonsági szabályozása, a NIS2 irányelv, hamarosan hatályba lép, és jelentős változásokat hoz a magyar vállalatok számára. A 2024-től kötelező regisztráció és a kiberbiztonsági auditok szigorú követelményei kihívás elé állítják a közép- és nagyvállalatokat, amelyeknek fel kell készülniük a kiberfenyegetések elleni védekezésre. Az új szabályozás célja, hogy egy egységes és magas szintű kiberbiztonsági keretet hozzon létre az Európai Unióban, de a nem megfelelő felkészülés súlyos bírságokat vonhat maga után – hangzott el az RSM Hungary a témában rendezett webináriumán.

A NIS2 irányelv (Network and Information Systems Directive 2) célja egy egységes, magas szintű kiberbiztonsági keret létrehozása az Európai Unióban, amely segíti a tagállamokat és az érintett szervezeteket a kiberfenyegetések elleni védekezésben. A kiberbiztonsági audit az utolsó lépés a felkészülésben, amely során értékelik a biztonsági intézkedéseket és védelmi mechanizmusokat, hogy megfelelnek-e a NIS2 követelményeinek.

Mint arról az RSM Hungary a tájékoztató anyagában is ír, Magyarországon a NIS2 irányelv több ezer szervezetet érint. A hazai jogrendben való alkalmazáshoz szükséges a NIS2 átültetése a magyar jogszabályi környezetbe. A központi szerepet a 2023. évi XXIII. törvény tölti be, amely a kiberbiztonsági tanúsításról és felügyeletről szól. A törvény I. és II. melléklete határozza meg, mely kritikus és kiemelten kritikus ágazatokba tartozó vállalatok esnek a NIS2 hatálya alá. Az irányelv a közép- és nagyvállalatokra vonatkozik, azaz legalább 50 főt foglalkoztató vagy évi 10 millió euró árbevételű cégekre. Az elektronikus hírközlési, bizalmi, DNS-szolgáltatókra és domainnév-regisztrációval foglalkozó szolgáltatókra nem vonatkozik ez a szabályozás.

A regisztráció határideje szorosan közeledik: 2024. január 1-től minden érintett szervezetnek nyilvántartásba kell vetetnie magát. Azok a társaságok, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, június 30-ig kötelesek regisztrálni. Más esetekben a regisztrációs határidő 30 nap. A regisztrációt a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) kell benyújtani.

A NIS2 irányelv nem teljesítése esetén jelentős bírságokra, akár 50-350 millió forintig terjedő pénzbüntetésekre is számíthatnak a cégek.

A regisztráció során a vállalatoknak meg kell adniuk a cégadatokat, kapcsolattartási információkat, bizonyos technikai adatokat és az információbiztonsági felelős elérhetőségeit. Az SZTFH dönt arról, hogy egy vállalat érintett-e az irányelv által, és minden regisztrációs kérelmet alaposan felülvizsgál. Ha egy társaság nem biztos abban, hogy rá vonatkozik-e a NIS2 irányelv, kapcsolatba léphet az SZTFH-val vagy benyújthatja az űrlapot, és a hatóság dönt.

A megfelelés nem ér véget a regisztrációval. Az érintett vállalatoknak 2024. október 18-tól alkalmazniuk kell a megfelelő védelmi intézkedéseket, és be kell fizetniük a felügyeleti díjat. 2024. december 31-ig szerződést kell kötniük egy kiberbiztonsági auditorral, aki 2025. december 31-ig lefolytatja az első auditot.

A dolgozók a leggyengébb láncszemek

A kibertámadások világszerte egyre komolyabb fenyegetést jelentenek, és egyre nagyobb károkat okoznak a vállalatoknak és az egyéneknek egyaránt – mondta el Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági és kommunikációs szakértője az RSM Hungary webinárján. Előadásában hangsúlyozta, hogy ma már nincs olyan szervezet, amely biztonságban érezhetné magát a kiberbűnözőkkel szemben. Idézte a Cisco egyik vezérigazgatójának azóta híressé vált mondását miszerint „kétféle vállalat létezik: az egyik, amelyiket már meghekkelték, és a másik, amelyiket még nem tudja, hogy már meghekkelték”.

Bor Olivér rámutatott, hogy a kiberbűnözők okozta károk mértéke exponenciálisan nőtt az elmúlt évtizedben. Míg 2022-2023-ban a világgazdasági kár elérte a 8000 milliárd dollárt, a valóságban ez az összeg a látencia miatt háromszor ekkora is lehet.

A kiberbűnözés mára jövedelmezőbb üzletággá vált, mint a drogcsempészet, ami új kihívásokat jelent a biztonsági szakemberek számára.

Ismertette, hogy a legnagyobb veszélyt jellemzően maguk a felhasználók jelentik, akik sokszor nem veszik komolyan a kiberbiztonsági előírásokat, mondván „senki nem kíváncsi az ő adataikra”. Bor Olivér szerint a hamis biztonságérzet különösen veszélyes, hiszen bárki válhat áldozattá, függetlenül attól, hogy mennyire érzi magát érdektelennek vagy szegénynek. Az adathalászat és a zsarolóvírus-támadások továbbra is a leggyakoribb módszerek közé tartoznak, amelyekkel a kiberbűnözők behatolnak a rendszerekbe.

A zsarolóvírus-támadások különösen károsak, hiszen egész rendszereket képesek zárolni, és a helyreállítás költségei gyakran milliárdokban mérhetők. A gyártás, az élelmiszeripar és a kritikus infrastruktúrák a leginkább érintett ágazatok közé tartoznak. Bor Olivér több hazai példát is hozott, illetve bemutatott egy olyan statisztikát, mely szerint 2021-ben átlagosan több mint 200 millió forintot fizettek a hazai cégek váltságdíjként, amennyiben zsarolóvírus támadás érte őket. Volt olyan eset, amikor a támadást elszenvedő cég kárértéke 3-5 milliárd forint közötti összegre volt tehető ilyen támadás miatt.

Az adathalászat szintén komoly fenyegetést jelent, különösen a pénzügyi, az IKT szektor és a digitális szolgáltatásokkal foglalkozó cégek számára.

Magyarországon 2023-ban a pénzügyi csalásokhoz köthető online károk mértéke meghaladta a 30 milliárd forintot, ami azt jelenti, hogy naponta átlagosan egy család elveszíti a megtakarítását.

Fontos azonban kiemelni, hogy a támadók ilyen esetekben nem a pénzintézeteket támadják, hiszen a magyar bankbiztonság európai viszonylatban is jónak tekinthető, így a kiberbűnözők sokkal inkább az ügyfeleket célozzák meg egy-egy adathalász kísérlettel.

Az unió Digitalistaion in Europe jelentése szerint Magyarország az EU-s átlagtól kicsit lemaradva helyezkedik el az IT-tudatosság területén, így van hova fejlődnie. A kiberbiztonsági szabályzatok és intézkedések terén sok vállalat még mindig csak alapvető védelmi megoldásokkal rendelkezik, mint például tűzfalak és vírusvédelmi szoftverek. Az informatikai biztonsági szabályzatok és policyk hiánya komoly kockázatot jelent a szakértő szerint.

Bor Olivér kiemelte, hogy az SZTFH négyes modellje segíthet Magyarország kiberbiztonsági érettségének növelésében.

Ez a modell a hatékony szabályozás, a tudatosítás, a felkészült vállalatok és a párbeszéd fontosságára épül.

Kitért arra is, hogy az EU 2016-ban vezette be a NIS1 irányelvet, amelyet most a NIS2 irányelv követ, amelyre komoly szükség is volt, mert az előző szabályozás számos ponton volt hiányos. Magyarország már 2023 februárjában kezdeményezte a kiberbiztonsági tanúsításról és felügyeletről szóló jogszabálytervezet benyújtását, amit májusban el is fogadtak. Ezzel Magyarország az EU-ban elsőként indította el az implementációs folyamatot.

A NIS2 irányelv célja, hogy egységesen magas kiberbiztonsági szintet érjen el Európában, de a tagállamok eltérő szigorításokat alkalmazhatnak. Magyarországon a jogszabály már több mint egy éve érvényben van, ami lehetőséget adott a vállalatoknak a felkészülésre, azonban még mindig sok cég nem adta be a szükséges nyilatkozatokat,

amelyre már csak június 30-ig van lehetőségük.

A gondolkodásmód megváltoztatása is szükséges

A kiberbiztonsági fenyegetések világa egyre komplexebbé válik, és ennek megfelelően a szabályozási környezet is folyamatosan fejlődik. Balogh Zoltán, az RSM Hungary Könyvvizsgáló Zrt. IT audit menedzsere és NIS2 szakértője legutóbbi előadásában kiemelte a kockázatmenedzsment és a nemzetközi szabványok szerepét a vállalatok kiberbiztonsági felkészültségében.

Balogh szerint elengedhetetlen, hogy a szervezetek átgondolják és megváltoztassák hozzáállásukat a kiberbiztonsági fenyegetésekkel kapcsolatban. Gyakori tévhit, hogy a cégek úgy érzik, hozzájuk nem férkőzhetnek be a kiberbűnözők, amúgy sem érdekes a tevékenységük a hackereknek. 

Ez a hozzáállás veszélyes, mivel a kiberbiztonsági incidensek bárkit érinthetnek. A felkészülés hosszú folyamat, és csak alapos kockázatmenedzsmenttel lehet hatékonyan kezelni a fenyegetéseket – mondta el az RSM Hungary szakértője.

A kockázatmenedzsmentről szólva Balogh hangsúlyozta, hogy nem elegendő csupán a szabályozások követése. A kockázatok elemzése és kezelése alapkövetelmény minden szervezet számára. Az ISO 31000 szabvány szerint a kockázat egy bizonytalan tényező hatása a célokra, míg a Management of Risk szerint olyan esemény – vagy események – sorozata, ami ha bekövetkezik, akkor hatással lesz a céljaink elérésére. Az egyszerű matematikai megközelítés alapján a kockázat valamilyen fenyegetés és a bekövetkezési valószínűségfüggvénye.

Az új NIS2 irányelv kapcsán Balogh is felhívta a figyelmet a közelgő határidőkre és kötelezettségekre: június 30-ig minden érintett szervezetnek regisztrálnia kell a 420-as elektronikus űrlapon keresztül. Az elmulasztott regisztráció szankciókkal járhat, így ennek elkerülése érdekében minden érintett szervezetnek cselekednie kell.

A NIS2 irányelv kockázatalapú megközelítést alkalmaz, és a kockázatkezelés alapkövetelményként jelenik meg a rendelettervezetben is. A rendelettervezet biztonsági osztályokra osztja az elektronikus információs rendszereket, és az ehhez kapcsolódó védelmi intézkedéseket minden szervezetnek be kell vezetnie. A legmagasabb biztonsági osztályba tartozó rendszerek esetében több mint 300 intézkedésnek kell megfelelni.

A nemzetközi szabványok szerepéről Balogh kiemelte az ISO 27001 és az NIST 800-53 szabványok jelentőségét. Előbbi az információbiztonsági irányítási rendszerek egyik nemzetközi szabványa, és kockázatalapú megközelítést alkalmaz. Ez a szabvány nem kötelező, de sok szervezet számára alapvető iránymutatást nyújthat. A NIST 800-53 szabvány pedig az amerikai kormányzat által alkalmazott keretrendszer, amely nagyon részletes és szigorú követelményeket tartalmaz.

Magyarországon a rendelettervezet az NIST 800-53 ötödik változatára épül, és annak intézkedéseit veszi alapul, és jelezte, hogy

az RSM Hungary segíteni tud a szervezeteknek a felkészülésben, beleértve a kockázatelemzést és a kockázatmenedzsment keretrendszerek bevezetését is.

Balogh záró gondolataiban kiemelte a mesterséges intelligencia szerepét a kiberbiztonságban. Az MI lehetőséget ad nagyon profi támadások és adathalász levelek létrehozására, valamint a deep fake technológia használata is egyre gyakoribb. A szervezeteknek folyamatosan figyelniük kell az új technológiák nyújtotta veszélyeket és lehetőségeket, hogy hatékonyan védekezhessenek a kiberbűnözés ellen.

Címlapkép forrása: Getty Images

Kiszámoló

Neked is sikerül változtatni

Szombatonként kiteszek egy-egy régi cikket, amit sokan nem olvastak, pedig a hasznukra lehet. Ez a cikk közel tizenegy éves, a benne lévő számokat így értelmezd. Ha van egy hasonló veled megtört

Kasza Elliott-tal

Medtronic - elemzés

Végig pörgettem a blogon a Top10-es posztokat, vetettem egy pillantást azokra a részvényekre, amik valamikor fennakadtak a hálómon, de nem néztem meg őket alaposabban. Az egyik ilyen volt a Medtro

ChikansPlanet

A farm, ahol élni fogunk

Az éghajlatváltozásra, a népességnövekedésre és a városiasodásra egyszerre adhat választ a vertikális kertészet, azaz a növények többszintes, beltéri termesztése.

Tematikus PR cikk
FRISS HÍREK
NÉPSZERŰ
Összes friss hír
Ügyfélkapu-mizéria: egy újabb szolgáltatás kiesése fenyeget ügyintézési káosszal
Property Warm Up 2025
2025. február 20.
Green Transition & ESG 2025
2025. március 6.
Biztosítás 2025
2025. március 4.
Agrárium 2025
2025. március 19.
Hírek, eseményajánlók első kézből: iratkozzon fel exkluzív rendezvényértesítőnkre!
Portfolio hírlevél

Ne maradjon le a friss hírekről!

Iratkozzon fel mobilbarát hírleveleinkre és járjon mindenki előtt.

Kiadó modern irodaházak

Az iroda ma már több, mint egy munkahely. Találják meg most cégük új otthonát.

Díjmentes előadás

Tőzsdei megbízások helyes használata

Kérdések és válaszok azzal kapcsolatban, hogy mire figyelj, ha kezdő befektető vagy!

Könyv

A Sikeres Kereskedő - Vételi és eladási pontok, stratégiák, tőzsdepszichológia

Egy tőzsdei könyv, ami nem aranyhalat akar rád sózni, hanem felruház a horgászás képességével, ami a befektetések világában a saját kereskedési módszer kialakítását jelenti.

Ez is érdekelhet
ujdelhi_india