Válaszok és megoldások a NIS2 megfelelésre a Telekomtól
Konkrét intézkedéseket, felkészülést, leginkább pedig tudatosságot vár el az unió új kibervédelmi irányelve, mely a legtöbb hazai vállalatot érintheti. Kiket pontosan? A részletek ismeretében nem ördöngősség meghatározni, ehhez és a felkészüléshez azonban szakértő partnert érdemes választani.
{{'2024-03-27' | formatDate}}
Kiterjeszti a kritikus ágazatok körét és ezekben minden korábbinál magasabb szintű kibervédelmi szintet ír elő az Európai Unió tavaly januárban hatályba lépett irányelve, a Network and Information Security Directive (NIS2). A tagállamoknak 2024. október 18-ig nemzeti jogszabályként végrehajtandó direktíva mögött az a felismerés húzódik meg, hogy az üzleti szereplők ellen végrehajtott kibertámadások már nem pusztán üzleti érdekeket sértenek, hanem sokszor nemzetgazdaság szintű fenyegetést is jelentenek.
Az irányelvvel az EU azt akarja elérni, hogy az tagállamok védettebbek legyenek a kiberbiztonsági incidensekkel szemben és hatékonyabban reagálhassanak azokra. Ezért a kockázatos és kiemelten kockázatos ágazatokban (pl: bank- és pénzügyi szektor, digitális infrastruktúra, egészségügy, energetika, közlekedés, gyártás, élelmiszer) kiberbiztonsági elvárásokat fogalmaz meg és jelentéstételi kötelezettséget ír elő. Egy kibertámadást például 24 órán belül be kell jegyezni és a hivatalos eseménybejelentés (súlyosság, hatás, fertőzőttségi mutató) elkészítésére is csak 72 óra áll rendelkezésre.
Az elvárásoknak megfelelni nem képes vállalkozások akár 10 millió euróig vagy a szervezet teljes éves forgalmának 2 százalékáig terjedő bírságokat kockáztatnak. Ezek hasonlóan magas összegek, mint az uniós adatvédelmi rendeletben, a GDPR-ban foglalt tételek, van azonban egy óriási különbség: utóbbiakat csak abban az esetben kell megfizetni, ha megtörtént az adatvédelmi incidens. A NIS2-nél ezzel szemben elég lehet, ha a 2025 végéig esedékes első auditok derítenek fényt valamilyen hiányosságra.
A kiberbiztonság persze nem csupán a direktíva elvárásai miatt fontos kérdés: a digitalizációs transzformáció előrehaladtával a kibertér műveleti területté vált. Ahogy terroristák jelentenek fizikai fenyegetést a vörös-tengeri kereskedelmi útvonalra, ezáltal fennakadásokat okozva az ellátási láncokban, a hackerek ugyanúgy képesek nem csupán egy gyár működését leállítani, de akár teljes szektorok, nemzetgazdasági ágazatok megzavarására is.
Egy kockázatarányos védelmi rendszer működtetése 5-10 évig biztosítható abból az összegből, amelyet elvisz egy kibertámadást követő helyreállítás. És ezek csak a közvetlen helyreállítási költségek: nincs bennük sem maga a védelmi rendszer, amely a következő támadásnak képes ellenállni, sem az üzlet- és reputációvesztés számszerűsíthető veszteségei.
Az incidensek megelőzéséhez és a NIS2 megfeleléshez nyújt elérhető, havidíjas, felfelé és lefelé egyaránt skálázható megoldásokat a Magyar Telekom.