A NIS2 irányelv (Network and Information Systems Directive 2) célja egy egységes, magas szintű kiberbiztonsági keret létrehozása az Európai Unióban, amely segíti a tagállamokat és az érintett szervezeteket a kiberfenyegetések elleni védekezésben. A kiberbiztonsági audit az utolsó lépés a felkészülésben, amely során értékelik a biztonsági intézkedéseket és védelmi mechanizmusokat, hogy megfelelnek-e a NIS2 követelményeinek.
Mint arról az RSM Hungary a tájékoztató anyagában is ír, Magyarországon a NIS2 irányelv több ezer szervezetet érint. A hazai jogrendben való alkalmazáshoz szükséges a NIS2 átültetése a magyar jogszabályi környezetbe. A központi szerepet a 2023. évi XXIII. törvény tölti be, amely a kiberbiztonsági tanúsításról és felügyeletről szól. A törvény I. és II. melléklete határozza meg, mely kritikus és kiemelten kritikus ágazatokba tartozó vállalatok esnek a NIS2 hatálya alá. Az irányelv a közép- és nagyvállalatokra vonatkozik, azaz legalább 50 főt foglalkoztató vagy évi 10 millió euró árbevételű cégekre. Az elektronikus hírközlési, bizalmi, DNS-szolgáltatókra és domainnév-regisztrációval foglalkozó szolgáltatókra nem vonatkozik ez a szabályozás.
A regisztráció határideje szorosan közeledik: 2024. január 1-től minden érintett szervezetnek nyilvántartásba kell vetetnie magát. Azok a társaságok, amelyek már 2024. január 1. előtt megkezdték tevékenységüket, június 30-ig kötelesek regisztrálni. Más esetekben a regisztrációs határidő 30 nap. A regisztrációt a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) kell benyújtani.
A NIS2 irányelv nem teljesítése esetén jelentős bírságokra, akár 50-350 millió forintig terjedő pénzbüntetésekre is számíthatnak a cégek.
A regisztráció során a vállalatoknak meg kell adniuk a cégadatokat, kapcsolattartási információkat, bizonyos technikai adatokat és az információbiztonsági felelős elérhetőségeit. Az SZTFH dönt arról, hogy egy vállalat érintett-e az irányelv által, és minden regisztrációs kérelmet alaposan felülvizsgál. Ha egy társaság nem biztos abban, hogy rá vonatkozik-e a NIS2 irányelv, kapcsolatba léphet az SZTFH-val vagy benyújthatja az űrlapot, és a hatóság dönt.
A megfelelés nem ér véget a regisztrációval. Az érintett vállalatoknak 2024. október 18-tól alkalmazniuk kell a megfelelő védelmi intézkedéseket, és be kell fizetniük a felügyeleti díjat. 2024. december 31-ig szerződést kell kötniük egy kiberbiztonsági auditorral, aki 2025. december 31-ig lefolytatja az első auditot.
A dolgozók a leggyengébb láncszemek
A kibertámadások világszerte egyre komolyabb fenyegetést jelentenek, és egyre nagyobb károkat okoznak a vállalatoknak és az egyéneknek egyaránt – mondta el Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági és kommunikációs szakértője az RSM Hungary webinárján. Előadásában hangsúlyozta, hogy ma már nincs olyan szervezet, amely biztonságban érezhetné magát a kiberbűnözőkkel szemben. Idézte a Cisco egyik vezérigazgatójának azóta híressé vált mondását miszerint „kétféle vállalat létezik: az egyik, amelyiket már meghekkelték, és a másik, amelyiket még nem tudja, hogy már meghekkelték”.
Bor Olivér rámutatott, hogy a kiberbűnözők okozta károk mértéke exponenciálisan nőtt az elmúlt évtizedben. Míg 2022-2023-ban a világgazdasági kár elérte a 8000 milliárd dollárt, a valóságban ez az összeg a látencia miatt háromszor ekkora is lehet.
A kiberbűnözés mára jövedelmezőbb üzletággá vált, mint a drogcsempészet, ami új kihívásokat jelent a biztonsági szakemberek számára.
Ismertette, hogy a legnagyobb veszélyt jellemzően maguk a felhasználók jelentik, akik sokszor nem veszik komolyan a kiberbiztonsági előírásokat, mondván „senki nem kíváncsi az ő adataikra”. Bor Olivér szerint a hamis biztonságérzet különösen veszélyes, hiszen bárki válhat áldozattá, függetlenül attól, hogy mennyire érzi magát érdektelennek vagy szegénynek. Az adathalászat és a zsarolóvírus-támadások továbbra is a leggyakoribb módszerek közé tartoznak, amelyekkel a kiberbűnözők behatolnak a rendszerekbe.
A zsarolóvírus-támadások különösen károsak, hiszen egész rendszereket képesek zárolni, és a helyreállítás költségei gyakran milliárdokban mérhetők. A gyártás, az élelmiszeripar és a kritikus infrastruktúrák a leginkább érintett ágazatok közé tartoznak. Bor Olivér több hazai példát is hozott, illetve bemutatott egy olyan statisztikát, mely szerint 2021-ben átlagosan több mint 200 millió forintot fizettek a hazai cégek váltságdíjként, amennyiben zsarolóvírus támadás érte őket. Volt olyan eset, amikor a támadást elszenvedő cég kárértéke 3-5 milliárd forint közötti összegre volt tehető ilyen támadás miatt.
Az adathalászat szintén komoly fenyegetést jelent, különösen a pénzügyi, az IKT szektor és a digitális szolgáltatásokkal foglalkozó cégek számára.
Magyarországon 2023-ban a pénzügyi csalásokhoz köthető online károk mértéke meghaladta a 30 milliárd forintot, ami azt jelenti, hogy naponta átlagosan egy család elveszíti a megtakarítását.
Fontos azonban kiemelni, hogy a támadók ilyen esetekben nem a pénzintézeteket támadják, hiszen a magyar bankbiztonság európai viszonylatban is jónak tekinthető, így a kiberbűnözők sokkal inkább az ügyfeleket célozzák meg egy-egy adathalász kísérlettel.
Az unió Digitalistaion in Europe jelentése szerint Magyarország az EU-s átlagtól kicsit lemaradva helyezkedik el az IT-tudatosság területén, így van hova fejlődnie. A kiberbiztonsági szabályzatok és intézkedések terén sok vállalat még mindig csak alapvető védelmi megoldásokkal rendelkezik, mint például tűzfalak és vírusvédelmi szoftverek. Az informatikai biztonsági szabályzatok és policyk hiánya komoly kockázatot jelent a szakértő szerint.
Bor Olivér kiemelte, hogy az SZTFH négyes modellje segíthet Magyarország kiberbiztonsági érettségének növelésében.
Ez a modell a hatékony szabályozás, a tudatosítás, a felkészült vállalatok és a párbeszéd fontosságára épül.
Kitért arra is, hogy az EU 2016-ban vezette be a NIS1 irányelvet, amelyet most a NIS2 irányelv követ, amelyre komoly szükség is volt, mert az előző szabályozás számos ponton volt hiányos. Magyarország már 2023 februárjában kezdeményezte a kiberbiztonsági tanúsításról és felügyeletről szóló jogszabálytervezet benyújtását, amit májusban el is fogadtak. Ezzel Magyarország az EU-ban elsőként indította el az implementációs folyamatot.
A NIS2 irányelv célja, hogy egységesen magas kiberbiztonsági szintet érjen el Európában, de a tagállamok eltérő szigorításokat alkalmazhatnak. Magyarországon a jogszabály már több mint egy éve érvényben van, ami lehetőséget adott a vállalatoknak a felkészülésre, azonban még mindig sok cég nem adta be a szükséges nyilatkozatokat,
amelyre már csak június 30-ig van lehetőségük.
A gondolkodásmód megváltoztatása is szükséges
A kiberbiztonsági fenyegetések világa egyre komplexebbé válik, és ennek megfelelően a szabályozási környezet is folyamatosan fejlődik. Balogh Zoltán, az RSM Hungary Könyvvizsgáló Zrt. IT audit menedzsere és NIS2 szakértője legutóbbi előadásában kiemelte a kockázatmenedzsment és a nemzetközi szabványok szerepét a vállalatok kiberbiztonsági felkészültségében.
Balogh szerint elengedhetetlen, hogy a szervezetek átgondolják és megváltoztassák hozzáállásukat a kiberbiztonsági fenyegetésekkel kapcsolatban. Gyakori tévhit, hogy a cégek úgy érzik, hozzájuk nem férkőzhetnek be a kiberbűnözők, amúgy sem érdekes a tevékenységük a hackereknek.
Ez a hozzáállás veszélyes, mivel a kiberbiztonsági incidensek bárkit érinthetnek. A felkészülés hosszú folyamat, és csak alapos kockázatmenedzsmenttel lehet hatékonyan kezelni a fenyegetéseket – mondta el az RSM Hungary szakértője.
A kockázatmenedzsmentről szólva Balogh hangsúlyozta, hogy nem elegendő csupán a szabályozások követése. A kockázatok elemzése és kezelése alapkövetelmény minden szervezet számára. Az ISO 31000 szabvány szerint a kockázat egy bizonytalan tényező hatása a célokra, míg a Management of Risk szerint olyan esemény – vagy események – sorozata, ami ha bekövetkezik, akkor hatással lesz a céljaink elérésére. Az egyszerű matematikai megközelítés alapján a kockázat valamilyen fenyegetés és a bekövetkezési valószínűségfüggvénye.
Az új NIS2 irányelv kapcsán Balogh is felhívta a figyelmet a közelgő határidőkre és kötelezettségekre: június 30-ig minden érintett szervezetnek regisztrálnia kell a 420-as elektronikus űrlapon keresztül. Az elmulasztott regisztráció szankciókkal járhat, így ennek elkerülése érdekében minden érintett szervezetnek cselekednie kell.
A NIS2 irányelv kockázatalapú megközelítést alkalmaz, és a kockázatkezelés alapkövetelményként jelenik meg a rendelettervezetben is. A rendelettervezet biztonsági osztályokra osztja az elektronikus információs rendszereket, és az ehhez kapcsolódó védelmi intézkedéseket minden szervezetnek be kell vezetnie. A legmagasabb biztonsági osztályba tartozó rendszerek esetében több mint 300 intézkedésnek kell megfelelni.
A nemzetközi szabványok szerepéről Balogh kiemelte az ISO 27001 és az NIST 800-53 szabványok jelentőségét. Előbbi az információbiztonsági irányítási rendszerek egyik nemzetközi szabványa, és kockázatalapú megközelítést alkalmaz. Ez a szabvány nem kötelező, de sok szervezet számára alapvető iránymutatást nyújthat. A NIST 800-53 szabvány pedig az amerikai kormányzat által alkalmazott keretrendszer, amely nagyon részletes és szigorú követelményeket tartalmaz.
Magyarországon a rendelettervezet az NIST 800-53 ötödik változatára épül, és annak intézkedéseit veszi alapul, és jelezte, hogy
az RSM Hungary segíteni tud a szervezeteknek a felkészülésben, beleértve a kockázatelemzést és a kockázatmenedzsment keretrendszerek bevezetését is.
Balogh záró gondolataiban kiemelte a mesterséges intelligencia szerepét a kiberbiztonságban. Az MI lehetőséget ad nagyon profi támadások és adathalász levelek létrehozására, valamint a deep fake technológia használata is egyre gyakoribb. A szervezeteknek folyamatosan figyelniük kell az új technológiák nyújtotta veszélyeket és lehetőségeket, hogy hatékonyan védekezhessenek a kiberbűnözés ellen.
Címlapkép forrása: Getty Images
