NIS2: sokba fájhatnak a kiberbiztonsági hiányosságok

Kapcsolódó cikkek

NIS2: sokba fájhatnak a kiberbiztonsági hiányosságok

NIS2: sokba fájhatnak a kiberbiztonsági hiányosságok

biztonság

2 perc

Több ezer magyar közép- és nagyvállalatnak kell teljesítenie idén októberre a NIS2 uniós irányelv alapján előírt törvényi kötelezettséget, de a többségnek ehhez házon belül nincs tudása és tapasztalata.

Megállíthatatlanul terjed a hibrid munkavégzés, tavaly már világszerte az alkalmazottak 28 százaléka dolgozott munkaidejének egy részében vagy egészében távolról. Az arány számos iparágban ennél lényegesen magasabb, legyen az technológiai, tanácsadói vagy pénzügyi szektor.

Összességében a munkavállalók túlnyomó többsége, gyakorlatilag szinte mindenki a hibrid munkavégzés mellett teszi le a voksát – tapasztalja ügyfeleinél és saját cégénél egyaránt Kerékfy Miklós, a Kontron Hungary Kft. IT-biztonsági szakértője is.

A főnökök nem szeretik, de támogatniuk kell

A hibrid modell megosztja a cégvezetőket, hiszen a földrajzilag elosztott munkakörnyezet, a hálózatba kapcsolt digitális gazdaság sok más elemével együtt a vállalatok támadási felületét is jelentősen megnöveli.

„A hibrid munka a szabályozás hiányterülete” – idézte a VG.hu a Kontron szakértőjét. Az alkalmazottak munkaidejük jelentős részében a vállalati tűzfalon kívülről, változatos eszközökről és hálózatokról jelentkeznek be. Ezek felügyeletéhez és védelméhez eleve erre szolgáló biztonsági megoldások szükségesek.

Bármelyik vállalkozás lehet célpont

A rendszertelenül frissített, sérülékeny szoftvereket futtató végfelhasználói eszközök könnyű célpontjai a kiberbűnözőknek, akik a távolról kommunikáló alkalmazottakat is könnyebben megtéveszthetik.

​A kisebb vállalatok kibervédelme különösen gyenge láncszem, feltört hálózataikból nagyvállalatok ellen is kifinomult támadások indíthatók. Egy olyan ártatlannak tűnő dolog, mint egy játék letöltése a mobiltelefonra, súlyos következményekkel járhat – mutatott rá Kerékfy, leszögezve, hogy ha egy alkalmazás túlzott engedélyeket kér, az már gyanakvásra adhat okot.

Céges vs. magán

A céges vagy munkavégzésre használt saját tulajdonú eszközöket az NIS2 értelmében az alkalmazottak csak abban az esetben használhatják magáncélra, ha azokon a privát és vállalati alkalmazások és adataik teljesen szétválaszthatók. Csakhogy ez a laptopokon és Windows alapú tableteken nem oldható meg, ezért a vállalatoknak a teljes eszköz védelméről gondoskodniuk kell.

A technológia, a digitális gazdaság és a fenyegetéskörnyezet gyors fejlődése szükségessé tette a szabályozás korszerűsítését is. Az uniós szabályozás, a NIS2 alapján hozott, 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és felügyeletről a hazai vállalatok eddiginél sokkal szélesebb körére vonatkozik.

A legalább 50 fős vagy 10 millió euró éves árbevételű cégeket két kockázati szintre sorolja, és tíz kiberbiztonsági alapintézkedést is meghatároz számukra a kockázatarányos biztonsági és irányítási rendszer kialakításához.

Külsős szakértőkre lehet szükség

Magyarországon legalább 2500 közép- és nagyvállalatot érint a NIS2-nek való megfelelés, olyan területeken is, mint a digitális szolgáltatások, az elektronikai és járműgyártás, a vegyipar, az élelmiszer-előállítás és forgalmazás, a postai és futárszolgáltatás vagy például a hulladékgazdálkodás.

Az érintett vállalatoknak most elég rövid átfutással teljesíteniük kell a törvényi követelményeket. Ennek elmulasztása nagy összegű, az éves árbevétel 1,4 százalékát, illetve a 2 százalékát is elérő bírságot von maga után.

A követelmények pontos teljesítéséhez az 50-100 fős cégek jellemzően nem rendelkeznek házon belüli tudással és tapasztalattal – mondta Kerékfy Miklós. Ezeknek a vállalatoknak célszerű külső szakértő partnerrel indulniuk, aki az első lépéstől, a nyilvántartásba vételi kérelem június 30-ig esedékes benyújtásától kezdve végigvezeti őket a felkészülés minden szakaszán.

A NIS2 hatálya alá tartozó vállalatoknak október 18-ig kell auditálásra kész állapotra hozniuk mindezt, és egy külső auditorral is szerződést kell kötniük. A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) ezt ellenőrizheti, és hiányosságok feltárása esetén szankcionálhat.