A NIS2 irányelv célja, hogy az EU tagállamai, valamint a társadalom és a gazdaság szempontjából kritikus szereplők hatékonyabban ellenálljanak a kiberfenyegetéseknek. A szabályozás azon vállalatokra vonatkozik, amelyek legalább 50 főt foglalkoztatnak, vagy éves árbevételük meghaladja a 10 millió eurót, és tevékenységük kockázatosnak vagy kiemelten kockázatosnak minősül a 2023. évi XXIII. törvény 1. és 2. sz. melléklete alapján. Ezek közé tartozik többek között az élelmiszer- és vegyipari termelés, valamint a gépjárműgyártás.
A szabályozás hatályba lépésével megkezdődik a felügyeleti és ellenőrzési tevékenység is. Az érintett vállalkozásoknak információbiztonsági irányítási rendszert kell kialakítaniuk, melyet a jövő év folyamán auditálni is szükséges. A jogszabály előírja, hogy december 31-ig, vagy a regisztrációt követő 120 napon belül szerződést kell kötni egy akkreditált auditorral.
A nyilvántartásba vétel elmulasztása esetén az ellenőrző hatóság akár a vállalat éves árbevételének 2%-át kitevő bírságot is kiszabhat.
A védelmi intézkedések elmulasztása esetén szintén jelentős, több millió forintos büntetések várhatóak.
Az érintett cégeknek a mai naptól jelenteniük kell minden jelentős információbiztonsági incidenst, továbbá már el kellett végezniük az elektronikus információs rendszerek azonosítását és biztonsági osztályba sorolását. Ez a feladat jóval bonyolultabb, mint egy egyszerű szoftverleltár összeállítása, és a biztonsági osztályozást kockázat- és hatáselemzésnek is meg kell előznie.
Nem végzett még minden lépéssel? Mi a további teendő? Hogyan kerülhetők el a bírságok? Hogyan hozható létre olyan információbiztonsági irányítási rendszer, amely nemcsak a követelményeknek felel meg, de növeli is a vállalat versenyképességét? Mi tudjuk a megoldást: We-Know Zrt.
Címlapkép forrása: Shutterstock
(x)
