Drávucz Péter • 2024. október 22. 19:02
A 2023-ban hatályba lépett NIS2 irányelv (NIS2 directive - Network and Information Systems Directive 2) által érintett hazai vállalatoknak 2024. június 30-áig kellett benyújtaniuk regisztrációs kérelmüket, és október 18-ig kellett befizetniük az SZTFH-nak az úgynevezett felügyeleti díjat. A Pénzcentrum információi szerint már a regisztrációs kérelem kapcsán is jócskán akadtak kérdések, ám a felügyeleti díjnál jelenleg nem tudni pontos összeget és azt sem, hogyan és hova kell fizetni. Az érintett szervezetek következő határideje december 31., eddig kell megkötniük a szerződést a kiválasztott auditorral, sőt 2025. decemberének végéig is vannak újabb kötelezettségeik – ebben a körben is érdemes már előzetesen több dologgal tisztában lenni.
A Pénzcentrum korábban megírta, hogy a 2024-ben életbe lépett NIS2 irányelv a becslések szerint Magyarországon 2500, ám partnereikkel, beszállítókkal együtt összesen akár 4000 vállalatot is érinthet. Az EU-s direktíva az 50 főnél több alkalmazottat foglalkoztató, vagy 10 millió euró nettó árbevételt meghaladó, kockázatos, vagy kiemelten kockázatos ágazatokban tevékenykedő vállalatokra, valamint közvetve azok beszállítóira vonatkozik.
A Pénzcentrum megkeresésére a Deloitte szakértői közölték: bármily meglepő, a teljesítendő elvárásokban nincs különbség kockázatos és kiemelten kockázatos iparágak között. (Az érintett iparágakat lásd a cikk alján – a szerk.)
Hányan teljesíthették a júniusi határidőt?
Amennyiben egy szervezetre vonatkozik a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a szakmában csak kibertantörvény), akkor 2024. június 30-ig nyilvántartásba kellett vetetnie magát az SZTFH-nál, amit cégkapun keresztül is egyszerűen megtehetett. A Deloitte szakértői rámutattak: a Szabályozott Tevékenységek Felügyeleti Hatóságának tájékoztatása alapján 3500 szervezet regisztrált és nevezett meg információbiztonsági felelőst a június 30-ai határidőig, s bár biztosan akadnak olyanok, akik elmulasztották a regisztrációt, az érintett szervezetek túlnyomó többsége eleget tett a törvényi elvárásnak. Maga a regisztráció gyakorlatban egy online formanyomtatvány kitöltését jelentette, pár alapvető adat megadásával.
Javasolt az utólagos regisztráció, hiszen ennek elmulasztása esetén akár 150 millió forint bírságot is kiszabhat a hatóság.
A felügyeleti díjnál engedékeny lesz a hatóság
Noha hivatalosan október 18.-a volt a felügyeleti díj megfizetésének határideje, ennek részletei jelenleg még nem is ismertek. Sem a pontos összeget nem tudni (a törvény meghatároz egy elméleti maximumot, de iparági hírek szerint az első évben ettől kevesebb lesz), sem az operatív részleteket (hogyan és hova kell fizetni) – emelték ki a Deloitte szakértői.
A Pénzcentrum információi szerint a téma kapcsán a Com-Forth Kft. szervezett egy online beszélgetést, ahol Király Anna, az SZTFH kiberbiztonsági szakértője jelezte, pontos felügyeleti díjról még nem született döntés, a jogszabály rendelkezései szerint legfeljebb az árbevétel tizenöt ezreléke lehet, ám a jelenlegi elképzelések szerint ennél kisebb számokkal kalkulálhatunk, sőt, idén már nem is várható a díj bekérése.
A megfelelő védelmi intézkedések bevezetésének határideje szintén október 18. A Deloitte szakértői a Pénzcentrumnak kifejtették: a szervezeteknek a biztonsági osztályba sorolás követelményeiről szóló 7/2024 MK-rendeletben foglalt kontrolloknak kell megfelelniük, ennek második számú melléklete tartalmazza az elvárásokat. Utóbbiak száma a biztonsági osztály szerint változik, létezik alap, jelentős, vagy magas osztály, a szervezeteknek ebbe kell sorolniuk elektronikus információs rendszereiket.
NULLA FORINTOS SZÁMLAVEZETÉS? LEHETSÉGES! MEGÉRI VÁLTANI!
Nem csak jól hangzó reklámszöveg ma már az ingyenes számlavezetés. A Pénzcentrum számlacsomag kalkulátorában ugyanis több olyan konstrukciót is találhatunk, amelyek esetében az alapdíj, és a fontosabb szolgáltatások is ingyenesek lehetnek. Nemrég három pénzintézet is komoly akciókat hirdetett, így jelenleg a CIB Bank, a Raiffeisen Bank, valamint az UniCredit Bank konstrukcióival is tízezreket spórolhatnak az ügyfelek. Nézz szét a friss számlacsomagok között, és válts pénzintézetet percek alatt az otthonodból. (x)
A védelmi intézkedések listája lényegében a NIST 800-53-as információbiztonsági szabvány átvétele, így a szakma számára nagy újdonságot nem tartalmaz. Ám annak, aki még nem foglalkozott információbiztonsággal, nehezen teljesíthető és erőforrás igényesek lehetnek az elvárások. Vajon hányan mérik fel saját folyamataikat és tesznek lépéseket a védelmi intézkedések megvalósítására? Meg becsülni sem lehet, a Deloitte ebből a szempontból nem reprezentatív mintával találkozik, mert a törvényi elvárásokat komolyan vevők jutnak el hozzájuk.
Az audit kérdései
2024. december 31-ig a NIS2 érintett szervezetnek szerződést kell kötni a kiválasztott, regisztrált auditorral. Ennek menetét pontosan nem tudni, mert itt is várni kell egy részletszabályra. Nagy meglepetésre nem kell számítani, várhatóan olyan lesz, mint bármilyen más audit: meggyőzően be kell tudni bizonyítani az auditor számára, hogy a szervezet megfelelően üzemelteti a biztonsági osztályba sorolás követelményeiről szóló MK-rendeletben leírt kontrollokat.
Ennek bizonyítására dokumentációkat, folyamatleírásokat, technikai beállításokat, konfigurációkat fog elkérni az auditor, és problémákat beleírja az audit riportba. Jó tanács, főként azoknak, akik még nem foglalkoztak mélységében a területtel, minél hamarabb mérjék fel jelenlegi helyzetüket és kezeljék a legnagyobb feladatokat, kockázatokat.
A kiválasztott auditornak (újabb dátum!) 2025. december 31-ig le kell folytatnia az első kiberbiztonsági auditot, ezt követően az auditot kétévente kötelező megismételni. A feladatokkal nem érdemes várni a határidők végéig, az auditor lista véges, elfogyhatnak a szabad kapacitások – húzták alá a Deloitte szakértői, akik arra is felhívták a figyelmet, hogy egy zsarolóvírus támadás hetekre, hónapokra leállíthat egy vállalatot, egy jól irányzott adathalász támadással súlyos anyagi veszteséget lehet okozni, nem beszélve a reputációs károkról.
Kockázatos iparágak
- Postai és futárszolgálatok
- Élelmiszer előállítása, feldolgozása és forgalmazása
- Hulladékfeldolgozás
- Vegyszerek előállítása és forgalmazása
- Gyártás (orvostechnikai eszközök, számítógép, elektronikai, optikai termékek, villamos berendezések, gépjárművek és egyéb szállítóeszközök, cement-, mész-, gipszgyártás)
- Digitális szolgáltatók
- Kutatás
Kiemelten kockázatos ágazatok
- Energia
- Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
- Egészségügy
- Ivóvíz / szennyvíz ellátás
- Hírközlés szolgáltatás
- Digitális infrastruktúra
- Kihelyezett IT szolgáltatások
- Űripari vállalatok