Nagy terhet kaptak a nyakukba a magyar vállalkozók: bírságra számíthat, aki ezt elmulasztja

A 2024-ben életbe lépett NIS2 irányelv becslések szerint Magyarországon 2500 - de partnereikkel, beszállítókkal együtt összesen akár 4.000 - vállalatot is érinthet. Az EU-s direktíva az 50 főnél több alkalmazottat foglalkoztató vagy 10 millió euró nettó árbevételt meghaladó, kockázatos vagy kiemelten kockázatos ágazatokban tevékenykedő vállalatokra, valamint közvetve azok beszállítóira vonatkozik. Kockázatos ágazatok közé tartoznak többek között például a vegyipari, az élelmiszeripari vállalatok, valamint a digitális szolgáltatók. Kiemelten kockázatos ágazatok közé sorolandó egyebek mellett az energia, közlekedés, illetve egészségügyi szektor.

Az NIS2 irányelv kapcsán most egy újabb fontos határidő közeleg az érintett vállalatok számára: 2024. október 18-ig teljesíteniük kell a felügyeleti díj fizetési kötelezettségüket és az NIS2 által előírt kötelező védelmi intézkedések bevezetését. A jogszabály értelmében, ha ezt követően egy hatósági vizsgálat hiányosságokat tár fel, a vállalatok sok milliós büntetésre számíthatnak. Az irányelv alapján a bírság elérheti akár a maximum 10 millió eurót vagy a cég/cégcsoport éves globális forgalmának két százalékát is.

Október 18-tól a direktíva alapján az érintett vállalatoknak többek között kötelező kockázatkezelési eljárásokat és incidenskezelési folyamatokat kell bevezetniük, megfelelő technikai és szervezeti intézkedéseket kell hozniuk a hálózati és információs rendszereik védelmének biztosítása érdekében (pl. adattitkosítás, hozzáférési jogosultságok kezelése), gondoskodniuk kell a rendszeres kiberbiztonsági képzésekről. Emellett figyelniük kell IT rendszereiket, és jelenteniük kell a biztonsági incidenseket az illetékes hatóságok felé, továbbá rendszeres kockázatelemzést és sebezhetőségi vizsgálatokat kell végezniük. De nem csak az érintett vállalatoknak, külső partnereiknek, beszállítóiknak is meg kell felelniük a kiberbiztonsági követelményeknek, melynek ellenőrzése szintén a direktíva hatáskörébe tartozó vállalatok feladata.

Annak ellenére, hogy egy vállalat minden szükséges intézkedést bevezet és megfelel a NIS2 irányelv követelményeinek, a Colonnade Biztosító szakértői szerint bizonyos helyzetekben továbbra is előfordulhatnak bírságok, melyekre az érintetteknek célszerű felkészülniük és megfelelő biztosítási védelemmel rendelkezniük.

Ilyen bírságokkal fenyegető helyzetek leheteknek:

• Incidensek bejelentésének elmulasztása: A NIS2 irányelv szigorú határidőket és jelentési követelményeket ír elő. Ha egy incidens bekövetkezik, de a cég nem jelenti időben vagy a bejelentés a meghatározott tartalmi követelményeknek nem felel meg, akkor a hatóság bírságot szabhat ki.
• Folyamatos megfelelés fenntartásának elmulasztása: A kiberbiztonsági rendszerek folyamatos frissítése és a hozzáférés-szabályozás naprakészen tartása kulcsfontosságú. Ez magában foglalja a hozzáférés-szabályozást, konfigurációkezelést, kockázatértékelést és a rendszerek és szolgáltatások beszerzését. A megfelelés folyamatos fenntartásának elmulasztása esetén – ha ez egy hatósági vizsgálat vagy incidens alkalmával derül ki – szintén bírságot szabhatnak ki.
• Új folyamatok vagy termékek bevezetése: Ha egy vállalat új termékeket vagy szolgáltatásokat vezet be, vagy felvásárol egy másik vállalatot, a kiberbiztonsági rendszereket azonnal aktualizálni kell. Ennek elmulasztása is bírságot eredményezhet, hiszen az új folyamatok biztonsági kockázatokat jelenthetnek, ha nem történik meg a rendszer módosítása.
• Beszállítói lánc felügyeletének hiánya: Az ellátási láncok kiberbiztonsági megfelelőségének folyamatos ellenőrzése szintén kulcsfontosságú. Új beszállítók esetén is kötelező a kockázatok azonosítása és a megfelelő biztonsági követelmények alkalmazása. Ezen területen is történhet mulasztás, amely komoly szankciókat eredményezhet, ha a beszállítói láncok megfelelőségét nem felügyelik megfelelően.

Annak érdekében, hogy az ilyen esetekben egy kiszabott bírság a cég zavartalan működését ne befolyásolja, ne jelentsen anyagi kockázatot, érdemes erre kiterjedő biztosítással rendelkeznie. Erre válaszul alakította át a Colonnade Biztosító cyber adatvédelmi felelősségbiztosítását és egészítette ki NIS2 fedezettel, mely - a biztosítási részletezőben meghatározott limit erejéig - fedezetet nyújt a NIS2 irányelv megsértésével kapcsolatos bírságokra, valamint a hivatalos vizsgálatokkal kapcsolatos költségekre, beleértve a jogi és szakértői díjakat. A NIS2 kiegészítő fedezet nem váltja ki a NIS2 kiberbiztonsági jogszabályoknak való megfelelést, de segítséget nyújthat azon vállalatoknak egy nem várt incidens során, melyek korábban megfeleltek minden jogszabályban meghatározott előírásnak.

Az utóbbi években tapasztalt kibertámadások száma drasztikusan megnövekedett, ezáltal elengedhetetlen a vállalatok számára a megfelelő védelmi rendszerek kiépítése. Ugyanakkor a legnagyobb óvatosság mellett is előfordulhatnak kibertámadások. Az ilyen esetekben lehet segítség egy cyber biztosítás, mely egy kibertámadás esetén fedezetet nyújthat többek között az igazságügyi adatbiztonsági szakértő vagy az adatok helyreállításához szükséges szakértői vizsgálatok díjára, a zsarolóvírus megszüntetéséhez szükséges költségekre, de akár a vállalat hálózati vagy üzem leállásából fakadó nettó nyereségének csökkenésére

- mondta el Faraga Gábor, a Colonnade Biztosító vállalati üzletágának igazgatója.

"A helyreállítási költségeken felül egyes esetekben jelentős jogvédelmi, valamint akár krízis kommunikációs, a vállalat jó hírnevét helyreállító PR költségekkel is számolnia kell az érintetteknek, melyeket szintén fedezhet például egy cyber biztosítás" - tette hozzá Faraga Gábor.