Június 30-ig több ezer hazai vállalkozásnak kell teljesítenie a NIS2 kiberbiztonsági auditot, amely azt vizsgálja, mennyire felkészültek a cégek az informatikai támadások és adatbiztonsági incidensek kezelésére. A határidő különösen szoros lehet annak a mintegy 1300 vállalkozásnak, amely csak az elmúlt hetekben értesült a kötelezettségről. A kormány ezért a szabályok rugalmasabbá tételén dolgozik, hogy könnyebb legyen auditort találni és teljesíteni az előírásokat.
Június végéig kell teljesíteni a NIS2 auditot. Forrás: Unsplash (illusztráció)
Közeleg a NIS2-határidő, több ezer vállalkozásnak kell teljesítenie a kiberbiztonsági auditot
Június 30-ig mintegy négyezer hazai vállalkozásnak kell teljesítenie a NIS2 kiberbiztonsági auditot. Tanács Zoltán tudományos és technológiai miniszter szerint a határidő különösen azoknak a cégeknek jelenthet nagy terhet, amelyek csak az elmúlt hetekben értesültek arról, hogy megfelelési kötelezettségük van. A kormány és a Szabályozott Tevékenységek Felügyeleti Hatósága egyeztetéseket folytatott a szabályok rugalmasabbá tételéről – olvasható a határidő a NIS2 oldalán.
Mi az a NIS2 audit?
A NIS2 az Európai Unió kiberbiztonsági irányelve, amelynek célja, hogy a fontos és alapvető szolgáltatásokat nyújtó vállalkozások és szervezetek jobban felkészüljenek a kibertámadásokra. Az irányelv uniós szinten egységesebb szabályokat vár el több kritikus ágazatban, például az energia, közlekedés, egészségügy, digitális infrastruktúra, pénzügyi szolgáltatások és egyes ipari területeken.
A NIS2 audit lényege, hogy egy független, nyilvántartásba vett auditor megvizsgálja. Az érintett vállalkozás informatikai rendszerei, belső folyamatai és kockázatkezelési gyakorlata megfelel-e a kiberbiztonsági követelményeknek. Ez nem egyszerű adminisztrációs feladat, hanem annak ellenőrzése, hogy a cég képes-e megelőzni, kezelni és jelenteni a kibertámadásokat vagy informatikai incidenseket.
Június 30. a kulcsdátum
A jelenlegi határidő szerint azoknak az érintett szervezeteknek, amelyek 2025. január 1-je előtt kezdték meg működésüket, legkésőbb 2026. június 30-ig kell teljesíteniük az első kiberbiztonsági auditot. Azok a cégek, amelyek 2025. január 1-je után jöttek létre, a nyilvántartásba vételüket követő két éven belül kötelesek elvégeztetni első kiberbiztonsági auditjukat.
A miniszteri közlés szerint ez mintegy négyezer hazai vállalkozást érint. Külön problémát jelenthet, hogy körülbelül 1 300 cég csak az elmúlt hetekben szembesült azzal, hogy auditkötelezettsége van. A vállalkozásoknak ezért rövid idő alatt kell auditort találniuk. Ezen felül dokumentációt készíteniük és bizonyítaniuk a megfelelést.
Miért jelent ez terhet a cégeknek?
A kiberbiztonsági audit költséges és időigényes folyamat lehet. Főleg azoknál a kkv-knál, amelyeknél korábban nem volt külön információbiztonsági csapat vagy részletes kiberbiztonsági szabályzat. A cégeknek fel kell mérniük informatikai rendszereiket, jogosultságkezelésüket, adatmentési rendjüket, incidenskezelési folyamataikat és beszállítói kockázataikat is.
A másik szűk keresztmetszet az auditori kapacitás. Az auditot csak olyan szervezet végezheti, amely szerepel az SZTFH nyilvántartásában. Ha kevés az elérhető auditor, az megemelheti az árakat és megnehezítheti a határidő teljesítését.
Változhat az auditorokra vonatkozó szabályozás
Tanács Zoltán szerint várhatóan módosulhat a kiberbiztonsági auditorokra vonatkozó szabályozás. A cél az, hogy egyszerűbbé és gyorsabbá váljon az auditorválasztás, rugalmasabb legyen az auditok megszervezése, és bővüljön azoknak a cégeknek a köre, amelyek auditot végezhetnek.
A miniszter szerint a változás erősítheti az auditorok közötti versenyt, javíthatja a kapacitások kihasználását, és rövidebb idő alatt segítheti auditorhoz az érintett vállalkozásokat. A várakozás szerint a magas és kiemelt kategóriában az árak csökkenése is bekövetkezhet.
Mit érdemes most tenniük a vállalkozásoknak?
Az érintett cégeknek elsőként azt kell tisztázniuk, hogy a NIS2-szabályozás hatálya alá tartoznak-e. Ha igen, ellenőrizniük kell, hogy van-e szerződésük nyilvántartott auditorral. Rendelkeznek-e a szükséges belső szabályzatokkal, és felkészültek-e az audit során vizsgált informatikai, szervezeti és biztonsági követelményekre. A határidő közelsége miatt különösen fontos a dokumentumok rendezése, az incidenskezelési rend áttekintése, a jogosultságok felülvizsgálata és az informatikai kockázatok gyors felmérése.
Jelen írás kizárólag tájékoztatási célt szolgál. A cikkben megjelenő információk nyilvánosak és mindenki számára elérhető adatok alapján kerültek felhasználásra.
Címlapkép forrása: Unsplash (illusztráció)
