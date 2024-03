Az első szakaszban a Szabályozott Tevékenységek Felügyeleti Hatóságánál össze kell állítanunk egy nyilvántartási listát azokról a vállalatokról, akikre a NIS2, vagyis inkább a hazai átültetést célzó korábban említett Kibertantv. vonatkozik. Ezt amúgy minden EU-s tagállamnak majd végre kell hajtani, csak a magyar szabályozás bőven az Uniós átlag előtt jár, így nálunk ez a folyamat már 2024. január 1-vel elindult és egészen 2024. január 30-ig tart. De fontos, hogy ezt minden vállalatnak magának kell ellenőriznie, mármint, hogy érintett-e, és ha igen, akkor nyilvántartásba szükséges vetetnie magát a hatóságunknál. Tehát nem a hatóság fogja egyesével megkeresni a cégeket, hogy regisztráljanak, hanem egyfajta önbevallás-szerűen kell ezt nekik megejteniük. Ez egy adminisztratív lépés, gyakorlatilag a jogi, pénzügyi megfelelés vizsgálata: meg kell nézni, hogy méret, illetve tevékenység alapján beleesik-e a cég az érintetti körbe

Bor Olivér:

Igen, ez így van, és nagyon gyakran találkozunk olyan kérdéssel, hogy a cégek nem tudják eldönteni, hogy érintettek-e vagy sem. Naponta 8-10 megkeresést kapunk csak erre vonatkozóan, így készítettünk ehhez egy kvázi önazonosítási segédletet, ami segíthet a cégeknek eligazodni a nyilvántartási folyamat és az önazonosítás útvesztőjében. Ez a segédlet SZTFH weboldalán és LinkedIn felületén is megtalálható, de pl. már podcasteltünk is a témában, ugyanis az SZTFH-nak van egy kiberbiztonsági podcastje is, aminek Minden Kiberül a címe. Természetesen ha valakinek ezek után is kérdése van, avagy bizonytalan a témában, akkor nyugodtan írjanak nekünk e-mailt, mindenkinek igyekszünk a lehető leggyorsabban válaszolni. Hiszünk abban, hogy ha a cégeknek minden releváns tájékoztatást időben megadunk, akkor hozzá tudjuk őket segíteni, a szabályozáson túlmenően, a magasabb kiberbiztonsági szint eléréséhez.

Ahhoz, hogy a regisztráció a lehető legegyszerűbb legyen, létrehoztunk egy elektronikus felületet, amelyen a vállalkozásoknak a cégkaput használva egy űrlapot kell kitölteniük és beküldeniük. Az ügyintézés teljesen online folyamat – egészíti ki az elhangzottakat Bencsik Balázs.

Milyen határidőkre célszerű figyelni?

Bencsik Balázs

Jelenleg a legfontosabb határidő a június 30-a, ameddig az érintett cégeknek el kell végezni az önazonosítást és nyilvántartásba kell magukat vetetni. Ennek kapcsán azt javasoljuk, hogy aki végképp bizonytalan abban, hogy érintett-e, akkor inkább vetesse magát nyilvántartásba, mert abból kára, baja nem származhat. Abból viszont igen, ha ezt elmulasztja, ugyanis a Hatóság kezében szankciós jogkör is van, bár kifejezetten nem ez a cél. Amennyiben egy szervezet nyilvántartásba vetette magát, és mégsem tartozik a szabályozás hatálya alá, abban az esetben az SZTFH egy hivatalos tájékoztatást fog számára küldeni, hogy nem érintett, és nincs további teendője.

Ezt követően a biztonsági kontrollok megvalósításának határidejét emelném ki, ami 2024. október 18., ami egyben az első felügyeleti díj megfizetésének a határideje is. Ezen dátum kapcsán azt kell tudni, hogy azon a napon élesedik az Unióban a NIS2 irányelv, tehát attól a naptól kell a tagállamoknak alkalmazniuk. Itt azért van egy kis csavar a történetben. A megfelelésre 2024. október 18. a határidő, de a megfelelés bizonyítására, vagyis az audit végrehajtására 2025. december 31. – azaz több mint egy év áll rendelkezésre, hogy minden szükséges kontrollt bevezessenek a vállalatok. Ilyen szempontból elég rugalmas a szabályozás, és így el is értünk az utolsó fontosabb dátumhoz, ami 2025 év vége. De előtte meg kell említeni még egy idei mérföldkövet is: 2023. december 31-ig az érintett szervezeteknek szerződéssel kell már rendelkezniük az első kiberbiztonsági audit vonatkozásában, tehát addigra meg kell találni azt az auditáló szervezetet, aki számukra elvégzi az auditálást, amit aztán majd két évente meg kell ismételni.

A határidő be nem tartásához milyen szankciók tartoznak?

Bencsik Balázs:

A NIS2-irányelvhez több olyan határidő kapcsolódik, amelyhez a felügyeletnek is tartania kell magát. 2025 áprilisáig el kell például készülnie egy az egész unióra kiterjedő nyilvántartásnak az érintett vállalatokról, erről már beszéltünk korábban. A regisztráció nagyon fontos a folyamat részeként, és a hamarosan megjelenő kormányrendelet értelmében 5–50 millió forint körüli birsággal kell számolnia azoknak, aki ezt elmulasztják, és a későbbi lépések elmaradása esetén is számolni kell a szankciókkal. Ez például egy szervezet esetében akár a felügyeleti díj többszöröse is lehet, így összességében azon az állásponton vagyunk, hogy nem érdemes megpróbálni kibújni a kötelezettségek alól. A nyilvántartásainkat összevetjük majd az egyéb hatóságok adataival, és előbb vagy utóbb a mulasztásokra fény derül. A szankciók ismételhetők, ha valaki a büntetés után sem felel meg a kötelezettségeknek, újabb bírságra számíthat, így akár annyi is összegyűlhet, ami már a cég működését veszélyezteti. Persze ismét fontos megemlíteni, hogy nem ez a célunk!

Visszatérve a feladatokhoz. Mit érdemes még elvégezni a cégeknek?

Bencsik Balázs

A regisztrációt követően, pontosabban, ha a nyilvántartásba vétel megtörtént, akkor fel kell mérni a vállalkozás által használt elektronikus rendszereket, el kell végezni az adatvagyon leltárt és minden elemet biztonsági osztályba kell sorolni. Lényeges szempont, hogy ezt úgy végezzék el a szervezetek, hogy a védelmi intézkedések ezek mentén bevezethetők legyenek. Mindezek mellett célszerű lehet egy ún. GAP analízis lebonyolítása is, ami feltárja, hogy mely területeket kell fejleszteni a megfeleléshez. Ennek eredménye alapján szükséges a rövid-, közép- és hosszútávú intézkedéseket meghatározni. Ezen folyamatokba sok esetben indokolt lehet szakértőt is bevonni, bár ez szervezet függő. Van ahol ez a szakértelem házon belül is megvan, ott akár elegendőek lehetnek a belső erőforrások is. Ahol viszont ezek a kompetenciák hiányoznak, célszerű tanácsadó közreműködését igénybe venni, hiszen ők szakértőként segítenek átlátni a folyamatokat, segítenek a kockázatfelmérésben és abban is, hogy ezekhez igazítsa a cég a szükséges humán, fizikai és egyéb intézkedéseket, amiket be kell vezetnie. Továbbá segíthetnek egy biztonságtudatosítási stratégia kialakításában, hiszen a NIS 2 erre külön kitér.

Igen, ez legalább olyan fontos, mint a korábbi intézkedések, teszi hozzá Bor Olivér. A kiberbiztonsági awareness, az az a tudatossági szint növelése, a kiberbiztonsági veszélyekre való figyelemfelhívás és az azokra adható felhasználói szintű válaszlépések rendkívül fontosak. Látni kell, hogy minden esetben az ember a leggyengébb láncszem, rajtunk, állampolgárokon keresztül a legegyszerűbb, a legkevesebb erőforrást igénylő módszer megtámadni egy céget. A mai kibertámadások legfőbb eszköze a különféle adathalász módszerek, amelyek ma már nem csak e-mailben és a közösségi média felületeken érhetnek el minket, hanem bizony SMS-ben és hanghívással is. Amennyiben egy munkavállaló kevésbé lesz figyelmes vagy érzékeny ezekre a támadásokra, csalási kísérletekre, akkor nagyon hamar megtörténhet a baj. Mindezekért is nagyon fontos, hogy a cégek megfelelő edukációban és felkészítésben részesítsék a munkavállalóikat, amit nem elegendő egy egyszer teljesített és kipipált feladatként letudni, ezt is javasolt folyamatosan, évről-évre, vagy még gyakrabban megtenni. A lehetőségek tárháza ma már nagyon széles, nem kell feltétlenül csakis kizárólag e-learningben gondolkodni, hiszen emellett a megoldás mellett a cégek akár külsős segítséggel szervezhetnek kiberbiztonsági gyakorlatokat is, vagy játékos formában, a gamifikációt segítségül hívva edukálhatják a munkatársakat, de mondhatnám a különféle adathalász szimulációkat is, amelyek szintén nagyon sokat dobhatnak egy-egy szervezet kiberbiztonsági érettségi szintjén. Mi az SZTFH-nál rendelkezünk egy olyan az EU Kiberbiztonsági Ügynöksége(ENISA) által készített kiberbiztonsági tudatosító játékkal, ami szintén hozzájárulhat a szervezetek biztonságtudatosabb attitűdjéhez. Az AR in the boksz nevezetű tudatosító szimulációs játék kizárólagos hazai hostja az SZTFH, ami azt jelenti, hogyha valaki, valamelyik cég szeretné munkatársai körében kipróbálni ezt a kvázi kibernyomozós játékot, akkor minket kell megkeresni ez ügyben, és mi biztosítjuk a játékmestert is.

A tudatosítás amúgy is az SZTFH egyik missziója, folytatja a szakértő, ami egyben azért nagy kihívás is, hiszen minden korcsoportot, célcsoportot más és más eszközökkel lehet és kell elérni, ezért az SZTFH repertoárjában szerepel még kiberbiztonsági podcast, közösségi média kommunikáció, szakmai rendezvényeken történő előadások, közoktatási intézményekben tudatosító foglalkozások tartása mellett számos médiaszereplés is, illetve saját workshopok, konferenciák, országjáró edukációs körutak is. Tavaly egy hat állomásos országos tájékoztató roadshow-t bonyolítottunk le, amely során több vármegye székhelyen tartottunk tájékoztatókat a helyi vállalkozások számára, és ezt az eseménysorozatot idén tavasszal is megismételjük, 7 új állomással. Az előzök után talán még a Minden Kiberül podcastot célszerű kiemelni, amelyben ismert személyekkel, hírességekkel beszélgetünk információbiztonsági témákról – közérthetően, de informatívan, lényegre törően. Mindenkihez közelebb kívánjuk hozni a témát, ami azért elég szép és nemes feladat, hisz sokak számára ez egy nehezen értelmezhető kérdés, és gyakran találkozunk azzal a védekezéssel, hogy „engem biztos nem érint a téma, úgysem vagyok senki érdekes”. Ez egy hamis biztonság érzetet ad, ami mögé bújva talán még könnyebben válhatunk áldozattá. A podcast pont ebben segít, mármint, hogy ne váljunk áldozattá. Ennek érdekében aktuális és a való életből vett példákon keresztül mutatjuk be az online csalásokat, valamint egyszerű, ám de annál hatékonyabb tippeket adunk a védekezéshez. A Minden Kiberül az összes népszerű podcast lejátszón, illetve saját gyűjtőoldalán is elérhető – tette hozzá Bor Olivér.