Komoly szabályozást rendelt el az EU, Magyarországot is érinti: nem lehet kibújni alóla

Az EU NIS 2 kiberbiztonsági irányelve szigorú követelményeket támaszt a vállalatok belső kiberbiztonsági rendszereivel és gyakorlatával szemben. Az új szabályozás csütörtökön lépett hatályba, ami azt jelenti, hogy a cégeknek mostantól biztosítaniuk kell a megfelelést. A legtöbb uniós tagállam azonban még nem ültette át a NIS 2-t saját nemzeti jogszabályaiba, így a végrehajtás várhatóan csak szórványos lesz.

A Pénzcentrumon épp a tegnapi nap folyamán számoltunk be arról, hogy rengeteg magyar céget sújtanak ilyen támadások, komoly, milliárdos károkat okozva nekik. Sokan így sem hajlandók megtenni a szüksésges lépéseket.

A DNS Research Federation nyomon követési eszköze szerint két ország, Portugália és Bulgária még el sem kezdte az átültetési folyamatot. Az Európai Bizottság sürgeti a lemaradó tagállamokat, hogy mielőbb hajtsák végre a szükséges lépéseket.

"Eddig Belgium és Olaszország a teljes átültetésről, Horvátország, Lettország és Litvánia pedig a NIS2-irányelv részleges átültetéséről tett bejelentést" - közölte a Bizottság szóvivője. A Bizottság figyelmeztetett, hogy készen áll "a rendelkezésére álló ... eszközökkel" biztosítani a szabályok átültetésének befejezését.

A NIS 2 irányelv célja az informatikai rendszerek és hálózatok biztonságának növelése az EU-ban. Kiterjeszti elődje hatályát, hogy az újabb kiberbiztonsági kihívásokkal és fenyegetésekkel foglalkozzon. Az irányelv az EU-n belül működő és alapvető szolgáltatásokat nyújtó szervezetekre vonatkozik, beleértve a bankokat, energiaszolgáltatókat, egészségügyi intézményeket és közlekedési vállalatokat.

EZ IS ÉRDEKELHET

Tömegek adatait lopták el erről az appról: ha így utaltál pénzt, még a TB-számod is veszélyben lehet

A cég közölte, hogy vizsgálata még kezdeti szakaszban van, és továbbra is dolgoznak az érintett ügyfelek körének pontos meghatározásán.

Az új szabályozás értelmében a vállalkozásoknak kötelességük lesz jelenteni és megosztani a kiberbiztonsági sebezhetőségekre és támadásokra vonatkozó információkat. Kiberbiztonsági incidens esetén 24 órán belül értesíteniük kell a hatóságokat, ami szigorúbb, mint az általános adatvédelmi rendelet 72 órás határideje.

Tim Wright, a Fladgate ügyvédje szerint a NIS 2 hatékonysága nagyban függ majd az uniós tagállamok következetes végrehajtásától és betartatásától. "A rossz szereplők a NIS 2 átültetésében lemaradó országokat célozhatják meg, vagy az ellátási láncok gyenge pontjait kereshetik" - figyelmeztetett.

Chris Gow, a Cisco uniós közpolitikáért felelős vezetője rámutatott, hogy a NIS 2 végrehajtásának hiányos voltát a törvény helyi adaptációja is súlyosbította, ami megnehezítheti a megfelelést, különösen a kisebb szervezetek számára.

A szabályozás nem tartása súlyos következményekkel járhat. Az alapvető fontosságú szervezetek akár 10 millió eurós vagy a globális éves bevétel 2%-ának megfelelő bírsággal is számolhatnak, míg a "fontos" vállalkozások esetében ez az összeg 7 millió euró vagy a bevétel 1,4%-a lehet.

Carl Leonard, a Proofpoint kiberbiztonsági stratégiája hangsúlyozta: "A NIS 2 egyértelművé teszi - a nagy összegű bírságokat, a szolgáltatás esetleges felfüggesztését és a megfelelés ellenőrzését eszközként használják, hogy a kritikus szolgáltatásokért felelős szervezeteket arra ösztönözzék, hogy figyeljenek oda a kiberbiztonsági fenyegetésekre és azokra adott válaszaikra."