Június 30-án jár le a NIS2 uniós kibervédelmi irányelv alapján született magyar Kibertan-törvény által érintett cégek, szervezetek számára a határidő, hogy nyilvántartásba vetessék magukat a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH). Az érintettek többsége azonban ezt még nem tette meg.
„Azt tudom elmondani, hogy 500 alatti a regisztráció jelen pillanatban” – mondja el Bor Olivér, az SZTFH kiberbiztonsági és kommunikációs szakértője. Az, hogy ez milyen arányt jelent, azt most még pontosan nem tudjuk, mivel az érintett szervezetek számáról csak becslések léteznek. „Mi 2500-3000 körülire becsüljük, de lehet, hogy csak kétezer lesz, de az is lehet, hogy négyezer, sőt vannak, akik a nyolcezret sem tartják elképzelhetetlennek” – fogalmaz a szakértő.
Ha viszont valaki ebből azt a következtetést vonná le, hogy ezek szerint a hatóság sem tudja, kik is az érintettek, ezért nem is lehet abból problémája, hogy nem regisztrál, akkor nagyon téved.
„Attól, hogy valaki megpróbál kibújni a kötelezettségei alól a regisztráció elmulasztásával, attól nem fog mentességet kapni a megfelelés alól. El fog jönni az időpont, amikor a szép szó már nem segít, és akkor muszáj lesz lépnünk”
– figyelmeztet Bor Olivér. Fontos azonban kiemelni: amúgy sem érdemes a megúszásra játszani, mivel a kiberbűnözők okozta károk mértéke évről évre növekszik, így minden cég jól felfogott érdeke, hogy magasabb szintű kiberbiztonsági érettséggel rendelkezzen.
Vannak módszerei a hatóságnak
De ha maga a hatóság sem tudja, kik az érintettek, akkor mégis hogyan fogják megtalálni az érintett, de a regisztrációt elmulasztó szervezeteket? „Hatóságként megvannak a módszereink erre” – mondja a szakértő, majd ki is fejti, hogy például minisztériumokkal és más szervezetekkel is felvették már a hivatalos kapcsolatot annak érdekében, hogy a megfelelő információk a rendelkezésükre álljanak. Egy élelmiszeripari cég például szerepel a NÉBIH megfelelő nyilvántartásában, és onnan már csak egy lépés, hogy ezt a listát összevessék azzal, hogy a cég legalább középvállalatnak minősül-e, és így a Kibertan-törvény alapján vonatkoznak-e rá az új kiberbiztonsági előírások. Hasonló módon minden területen ki lehet szűrni az érintett cégeket, méghozzá viszonylag rövid idő alatt.
„Mi ezt meg fogjuk tenni, ha túl leszünk a június 30-ai határidőn, be fogjuk kérni a releváns adatokat, és meg fogjuk nézni, hogy az egyes szervezetek jelentkeztek-e nálunk, vagy sem.”
Ezt lehetne fenyegetésként értelmezni, a hatóság célja azonban nem ez, és nem is az, hogy rögtön büntetéseket szabjon ki.
Fotó: SZTFH
Nem a bírság miatt fontos
„Még nem hirdették ki a szankciókról szóló végrehajtási rendelet, így jelenleg nem ismertek a bírságtételek – fejti ki Bor Olivér, ám hozzáteszi, nem is a büntetéstől való félelemnek kellene a fő motivációs tényezőnek lenni. – Össztársadalmi érdek, hogy a kiberbiztonság jó legyen. A törvény előírásait nem kötelező teherként kellene megélni, nem azért kéne megfelelni ezeknek, mert jogszabály van rá, hanem igenis be kell látni, hogy ez fontos dolog.”
És egyáltalán nem csak társadalmi érdekből, hanem a cégek, szervezetek saját érdekében is áll saját kiberbiztonságuk javítása, hiszen egy sikeres támadás okozta milliós, százmilliós károkat ők fogják megfizetni, ha pedig ügyfeleiket éri kár, akkor tőlük fognak ezek az ügyfelek elfordulni.
Annak pedig, aki valóban kiberbiztonsági szempontból érettebbé kívánja tenni saját szervezetét, érdemes minél előbb lépnie. 2024. október 18-ától már uniós szinten kötelezően alkalmazni kell a NIS2 irányelv előírásait, és ennek megfelelően lépnek életbe a magyar szabályzások is.
Az érintett szervezeteknek 2024. december 31-éig szerződést kell kötniük egy nyilvántartásba vett auditorral, amely aztán ellenőrizni tudja a kiberbiztonsági előírásoknak való megfelelést, és az első ilyen kiberbiztonsági auditálásra is sort kell keríteni 2025. december 31-éig. Márpedig a szakmailag felkészült, ebben a folyamatban segítséget nyújtani képes tanácsadók, illetve a megfelelő auditálásra képes cégek száma is véges.
„A helyzet az, hogy itt fordítva érvényes a mondás: aki lemarad, az kimarad. Minél később regisztrál valaki, minél később kapcsol, hogy teendői vannak ebben a témában, annál kevesebb ideje lesz felkészülni
– figyelmeztet Bor Olivér. – Telített lesz a piac, el fognak fogyni a jó tanácsadók, és az auditorok sem fognak tudni mindenkivel azonnal leszerződni, a jó cégeket, a jó tanácsadókat hamar el fogják vinni. És aki későn ébred, annak bizony úgy kell majd kiberbiztonságot csinálni magának, ahogy tud.”
Ha nem tudja, hogy az Ön szervezetére, cégére vonatkoznak-e a NIS2 előírásai, illetve bármilyen kérdése van a szabályozásnak való megfelelés, illetve a kiberbiztonság témakörében, regisztráljon NIS2 újratöltve - IT-biztonság a gyakorlatban, hasznos tippek és trükkök című, 2024. június 18-án, 16 órai kezdettel megrendezett eseményünkre, amelyen a hatóság képviselői, valamint a téma legjobb hazai szakértői is ott lesznek.
