Az EU NIS 2 kiberbiztonsági irányelve szigorú követelményeket támaszt a vállalatok belső kiberbiztonsági rendszereivel, folyamataival szemben. Az új szabályozás magasabb mércét állít a kockázatkezelés, az átláthatóság és az üzletmenet-folytonossági tervezés terén, különösen kibertámadások esetén.
Bár az irányelv csütörtökön hivatalosan hatályba lépett,
a legtöbb uniós tagállam még nem ültette át saját jogrendjébe.
Ez megnehezíti az új szabályok egységes alkalmazását. A DNS Research Federation adatai szerint két ország, Portugália és Bulgária, még el sem kezdte a folyamatot.
Tim Wright, a Fladgate technológiai ügyvédje a CNBC-nek nyilatkozva kiemelte:
A végrehajtás helyzete jelentősen eltér az egyes országokban.
A NIS 2 irányelv az EU-ban működő, alapvető szolgáltatásokat nyújtó szervezetekre vonatkozik, beleértve a bankokat, energiaszolgáltatókat, egészségügyi intézményeket és közlekedési vállalatokat. Az új szabályozás értelmében a vállalkozásoknak kötelességük lesz jelenteni és megosztani a kiberbiztonsággal kapcsolatos információkat.
A szabályozás szigorú határidőket szab: kibertámadás esetén a cégeknek 24 órájuk van a hatóságok értesítésére, szemben az általános adatvédelmi rendelet 72 órás határidejével. Emellett a vállalatoknak át kell vizsgálniuk a technológiai beszállítóikat is a potenciális fenyegetések szempontjából.
Az irányelv be nem tartása súlyos következményekkel járhat. Az "alapvető fontosságú" szervezetek akár 10 millió eurós vagy a globális éves bevételük 2%-ának megfelelő bírságra számíthatnak, míg a "fontos" vállalkozások esetében ez az összeg 7 millió euró vagy a bevétel 1,4%-a lehet.
A címlapkép illusztráció. Címlapkép forrása: Portfolio
