A kibertérben mindenki célpont. A koronavírus okozta világjárvány első hullámában a nagyvállalatok voltak inkább a hackerek fő célpontjai. Az utóbbi időszakban a kis- és középvállalkozások is igencsak gyakran kerülnek célkeresztbe. Ennek oka, hogy általában a kisebb szervezetek veszítenek a legtöbbet, ha támadás éri őket, valamint rajtuk keresztül talán könnyebb eljutni partnereikhez, a nagyobb cégekhez. Az adathalász levelek, a zsarolóvírusok száma és minősége folyamatosan nő, szinte már nincs cég, intézmény, magánszemély, aki ne találkozott volna ezzel a jelenséggel.
Mi is az a NIS 1. irányelv?
A 2016-ban elfogadott és azóta eddig alkalmazott NIS (hálózat- és információbiztonságról szóló) irányelv az első uniós szintű kiberbiztonsági jogszabály, amelynek konkrét célja a kiberbiztonság magas szintjének közös elérése volt a tagállamokban. Az alapvető szolgáltatások (például energia, közlekedés és egészségügy) üzemeltetőire és a digitális szolgáltatókra (például keresőmotorok és felhőszolgáltatások) vonatkozott. A NIS megkövetelte a szervezetektől, hogy megfelelő műszaki és szervezési intézkedéseket hozzanak a hálózataik és rendszereik biztonságának biztosítása érdekében, és a súlyos eseményekről értesítsék az illetékes nemzeti hatóságokat.
A 2022. december 14-én elfogadott AZ EURÓPAI PARLEMENT ÉS A TANÁCS (EU) 2022/2555 IRÁNYELVE (NIS 2. Irányelv) tovább lépett az addigi kiberbiztonsági előírásokon.
A NIS 2 irányelv legfontosabb változása, hogy immár lényegesen nagyobb számú közép- és nagyvállalat számára ír elő bizonyos, a kibervédelemmel kapcsolatos kötelező óvintézkedéseket, protokollokat. A NIS 2 Irányelv növeli a fontos és alapvető szervezetek ügyvezetésének kiberbiztonsággal kapcsolatos felelősségét azzal, hogy a fenti bekezdésben is említett biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie. Az ügyvezetés felelőssé tehető ha az általa vezetett szervezet nem felel meg a NIS2 Irányelvben (illetve az azt implementáló tagállami jogszabályokban) előírt kiberbiztonsági követelményeknek. A bővülő felelősséggel összefüggésben az ügyvezetésnek rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.
Az érintett magánvállalkozásoknak és állami tulajdonú entitásoknak részletes kiberbiztonsági belső auditot kell tartaniuk, emellett különböző technológiai és szervezeti változásokat kell életbe léptetniük annak érdekében, hogy a kibertámadásoknak hatékonyabban ellen tudjanak állni. A kiberbiztonsági követelmények megtartását a Szabályozott Tevékenységek Felügyeleti Hatósága végzi.
A NIS 2 irányelvben foglaltakat nem teljesítő vállalkozás komoly szankciókra – akár az éves árbevételének 2%-át elérő pénzbírságra – számíthat, ráadásul az adatbiztonság sérülését a Nemzeti Adatvédelmi és Információszabadság Hatóságnak is be kell jelenteni, mely újabb közigazgatási eljárást jelent.
Cégünk segítségére van abban, hogy kiberbiztonsági szakértünk útján felkészíti cégét a kiberbiztonsági auditra.