Lehetsz a világon bárhol, de Európában vagy a legnagyobb veszélyben. Így összegezhető az IBM tavalyi évre vonatkozó kiberbiztonsági jelentése, amely szerint a világ kibertámadásai harmadának célkeresztje európai szereplőkre vetül.

Veszélyt nemcsak a támadások számának növekedése jelent, hanem az is, hogy az elkövetett akciók egyre kifinomultabbak. Erre válaszul született meg a NIS2 néven emlegetett EU-direktíva, melynek alapjait (kikre vonatkozik, mik a bevezetés naptári mérföldkövei, mik az alapvető tennivalók – korábbi cikkünkben foglaltuk össze közérthetően.

„Fontos újdonság a korábbi irányelvhez képest, hogy olyan ágazatokra is kiterjedt az előírás, amit a hétköznapokban emberek milliói vesznek igénybe az Európai Unióban” – mondja az újdonsággal kapcsolatban Domokos Márton, a CMS Ügyvédi Iroda, senior tanácsadója.

„Ha rendeletről beszélnénk, mint amilyen a GDPR is, a dolog rendkívül egyszerű lenne, az irányelv azonban azt jelenti, hogy országonként eltérő lehet a jogi környezet és követelmény. Emiatt egy, az EU-ban határokon átnyúló szolgáltatást nyújtó vállalatnak országonként kell vizsgálnia, hogy be kell-e jelentkeznie a hatóságnál, és milyen specifikus helyi kötelezettségeknek kell megfelelnie” – hangsúlyozza a szakember.

Jelenléti ív, tűzvédelmi oktatás… kibervédelmi oktatás?!

2024. október 18-tól már élesben tartoznak elszámolnivalóval a cégek a kiberbiztonság felügyeletét ellátó SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) felé. A vállalatnak az önbevallás mellett kétévente át is kell világíttatnia a kibertevékenységét egy auditorral.

Fontos, hogy a sok cég és munkavállalóik életében nyűgnek tekintett oktatások, az időnként csak papíron lefolytatott tűzvédelmi oktatás és hasonlók mellé belép egy új dolog: a kiberbiztonsági felkészítés. Ennek lényege, hogy a cégek ne csak elvárják dolgozóiktól a tudatosságot, hanem tegyenek is azért, hogy munkavállalóik képben legyenek az aktuális fenyegetettségekről, valamint azzal kapcsolatban, hogy ők maguk mit tudnak tenni azért, hogy nagyobb biztonságban legyen a vállalat, no meg az ügyfelei.

Domokos Márton szerint ezen a téren egyelőre nincs egységes iránymutatás, vagyis a vállalatokra bízza a jogalkotó, hogy milyen képzési anyagot állítanak össze. Elkönnyelműsködni nem érdemes a dolgot: egy kiberbiztonsági incidens után a hatóság bekérheti az oktatott anyagot is, hogy kiderüljön, miként készítette fel a vállalat a dolgozóit. Azaz tisztában lehettek-e legalább elméletben a munkavállalók a tőlük elvárt tudatosság mértékével, nem azért jártak-e sikerrel a kiberbűnözők, mert a cég nem készítette fel rendesen a dolgozókat.

Az új előírások hosszadalmas szabálysornak tűnhetek, de a senior tanácsadó szerint

amelyik vállalkozás már eddig is tudatosan állt a kiberbiztonság kérdéséhez, annak életében nagyobb változást az irányelv nem hoz.

Milyen büntetésre számíthat NIS2 miatt egy szervezet?

Ha egy hatósági ellenőrzés során a cég nem felel meg a kibervédelmi előírásoknak, jelentős bírságot kaphat. A kiemelten kockázatos kategóriába sorolt szervezetek esetében az előző pénzügyi év globális forgalmának 2 százaléka lehet a büntetés, akár akár 10 millió euró. A kockázatos kategóriába szervezeteknél az előző pénzügyi év globális forgalmának 1,4 százaléka, akár 7 millió euró a büntetési tétel.

Fontos, hogy a vállalat vezetői személyes felelősséggel tartoznak a kiberbiztonsági elvárások teljesítéséért.