2024 a kiberbiztonsági megfelelés éve lesz
DIGITALIZÁCIÓ 2023-12-06
NyomtatásCímkék: kiberbiztonság, NIS2 irányelv
A NIS2 irányelv magasabb szintre emelte a korábbi uniós kiberbiztonsági szabályozást és számos új kötelezettséget vezetett be. Az irányelv szabályainak túlnyomó részét már átültették a magyar jogba, így a jövő év folyamán 2500-3000 hazai közép- és nagyvállalatnak kell a szigorú szabályoknak megfelelni, továbbá az ellátási láncuk biztonságát megteremteni – emelte ki dr. Szabó Gergely Gábor, a Bán, S. Szabó, Rausch & Partners Ügyvédi Iroda szabályozási ügyekért felelős vezető ügyvédje.
Miért fontos a kiberbiztonság?
Az IT rendszerek már a mindennapi életünk szerves részét képezik. Manapság már szinte minden vállalat digitális startégiát, illetve AI stratégiát vezet be, vagy legalábbis jelentősen támaszkodik digitális eszközökre. A különböző rendszerektől való függőség, valamint a rendszerek és termelés, valamint a szolgáltatások egymástól való függősége jelentősen nőtt az utóbbi években. A fokozott digitalizáció nemcsak lehetőségeket, hanem számos új fenyegetést is jelent a vállalatok számára. Akár egy kiberbiztonsági esemény is hatalmas károkat tud okozni, nem is szólva a reputációs veszteségekről.
Mi az a NIS2 irányelv és kikre terjed ki a szabályozás?
A NIS2 irányelv egyértelmű célja a kiberbiztonság közösségi szintű szervezése a szabályozás felülvizsgálatával, aktualizálásával és kiterjesztésével. A szabályozás jelentősen szélesíti az érintett ágazatok körét, és méretküszöböt (közép- és nagyvállalatok) vezet be annak meghatározására, hogy mely szervezetek tartoznak a hatálya alá. Magyarországon hozzávetőlegesen 2500-3000 vállalat érintett. A szabályozás emellett számos kötelezettséget vezet be, felvázolja, hogyan kell végrehajtani az ellenőrzéseket, és foglalkozik a jogsértések bejelentésének módjával, valamint szankciókat is alkalmaz.
Bár, még hiányzik pár részletszabály – különösen a végrehajtási rendelet -, a szabályozás túlnyomó része már át lett ültetve a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvénybe („Kibertan törvény”).
A Kibertan törvény megkülönbözteti a kockázatos (pl. élelmiszeripar, digitális szolgáltatások, gyártás) és kiemelten kockázatos (pl. banki szolgáltatások, energetika, hírközlés) ágazatokban működő szolgáltatókat, amely utóbbiak szorosabb felügyelet alatt állnak.
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek: (a) energetika (villamos energia, távfűtés és hűtés, kőolaj, földgáz, hidrogén) (b) közlekedés (légi, vasúti, közúti, vízi, tömegközlekedés) (c) egészségügy (d) ivóvíz, szennyvíz (víziközmű) (e) hírközlési szolgáltatás (hírközlési szolgáltatók, adatkicserélő szolgáltatást nyújtó szolgáltatók, bizalmi szolgáltatók) (f) digitális infrastruktúra (pl. felhőszolgáltató, DNS szolgáltató) (g) kihelyezett IKT szolgáltatások (infokommunikációs technológiai szolgáltatók) (h) banki szolgáltatások és pénzügyi piaci infrastruktúrák (i) közigazgatás (j) világűr, űripari szolgáltatók Kockázatos ágazatokban működő szolgáltatók és szervezetek: (a) postai és futárszolgáltatások (b) élelmiszer előállítása, feldolgozása és forgalmazása (c) hulladékgazdálkodás (d) vegyszerek előállítása és forgalmazása (e) gyártás (orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása; számítógép, elektronikai, optikai termék gyártása; villamos berendezések gyártása; máshova nem sorolt gépek és berendezések gyártása; gépjárművek, pótkocsik és félpótkocsik gyártása; egyéb szállítóeszközök gyártása; cement-, mész-, gipszgyártás) (f) digitális szolgáltatások (digitális piactér szolgáltató, keresőszolgáltató, közösségi média platform szolgáltató, domain regisztrátor) (g) kutatás (kutatóhely) |
Általánosan elmondható, hogy a „bekerülési limit” cégek esetében az 50 főt meghaladó alkalmazotti létszám vagy az évi 10 millió Eurót meghaladó árbevétel. Ugyanakkor alkalmazotti létszámtól és árbevételtől függetlenül a törvény személyi hatálya alá esnek az
- elektronikus hírközlési szolgáltatók,
- a bizalmi szolgáltatók,
- a DNS-szolgáltatást nyújtó szolgáltatók,
- a legfelső szintű domainnév-nyilvántartó valamint
- a domainnév-regisztrációt végző szolgáltatók is.
Határidők és tennivalók
A Szabályozott Tevékenységek Felügyeleti Hatósága („SZTFH”), mint felügyeleti hatóság az érintett szervezeteket tartalmazó nyilvántartást 2024. január 1-től vezeti.
Az érintett szervezeteknek legkésőbb 2024. június 30-ig be kell jelenteniük az SZTFH részére az azonosításhoz szükséges adataikat (ehhez önazonosítás és biztonsági osztályba sorolás, azaz házon belüli felkészülés is kell), valamint az általuk kijelölt biztonságért felelős személyt.
Az irányadó védelmi intézkedéseket 2024. október 18-tól kell alkalmazni folyamatos megfelelőség mellett, valamint 2024. december 31-ig szerződni kell egy akkreditált kiberbiztonsági auditorral.
Az első előírt kiberbiztonsági auditot 2025. december 31-ig kell elvégeztetni, majd kétévente újból auditáltatni.
Kiberbiztonsági megfeleléssel kapcsolatos határidők(a) 2024. június 30. – nyilvántartásba való bejelentkezés határideje (házon belüli felkészülés) (b) 2024. október 18. – szabályozásnak való teljes megfelelés határideje (c) 2024. december 31. – nyilvántartásba vett auditorral való szerződéskötés határideje (d) 2025. december 31. – első kiberbiztonsági audit határideje |
Bár a határidők távolinak tűnnek, de maga a felkészülés jelentős erőforrásokat igényel, így érdemes minél előbb elkezdeni azt házon belül.
Kötelezettségek
Minden érintett szereplőnek szükséges lesz egy kiberbiztonsági kockázatelemzést készítenie, az információs rendszereket (itt nem csak az irodai gépeket, hanem akár a termelésben részt vevő eszközöket is érteni kell) és a tárolt adatokat érzékenységük alapján biztonsági osztályba kell sorolniuk, ezen osztályokhoz pedig biztonsági kontrollokat kell implementálniuk.
Alapvetően a bizalmassághoz, sérthetetlenséghez és rendelkezésre álláshoz szükséges védelmet kell folyamatosan biztosítani, amihez a megfelelő IT rendszer kiépítése és karbantartása, valamint az egyes szereplők feladatainak ismerete és betartása a fontos.
Mindez számos adminisztratív lépést (pl. megfelelő szabályzatok elkészítése – IBSZ, DCP BRP, nyilvántartásba vétel, auditorral való szerződéskötés, audit), szervezési feladatot (pl. munkatársak biztonsági képzése, információ biztonságért felelős személy kijelölése, protokollok betartása, biztonsági események kezelése és bejelentése) és folyamatos technikai kihívást jelent az érintettek számára.
A rendszerek és a belső folyamatok finomhangolása mellett ráadásul a rendszerekkel kapcsolatos külsős vállalkozókkal való szerződéskötések, valamint az adott cégek ellátási láncának kiberbiztonsága terén is számos tennivalót fogalmaz meg a szabályozás – emelte ki dr. Szabó Gergely Gábor ügyvéd.
Végül pedig felügyeleti díjat is fizetni kell, amelynek összege az előző üzleti év bevételének 0,015%-a, de maximum 10 millió forint; csoportszinten pedig maximum 50 millió forint.
Bírság mértéke és a menedzsment felelőssége
Kiemelten kockázatos ágazatokban működő szolgáltatók esetén legfeljebb EUR 10.000.000 vagy (amennyiben az magasabb) az előző évi világszintű forgalom 2%-ának megfelelő bírság.
Kockázatos ágazatokban működő szolgáltatók esetén legfeljebb EUR 7.000.000 vagy (amennyiben az magasabb) az előző évi világszintű forgalom 1,4%-ának megfelelő bírság. A bírság mérlegelésen alapul és egyéb, sokszor a jelentős bírságnál is fájóbb szankciók (pl. jogsértés nyilvánosságra hozatala) is alkalmazhatók nem is szólva azokról a veszteségekről, amelyeket egy biztonsági esemény által okozott leállás (pl. a termelés 2 hétig áll) okozhat.
Az intézkedéseket és így a megfelelést az érintett szervezet vezetőjének (ügyvezető, vezérigazgató) kell jóváhagynia és felügyelnie (pl. biztonságért felelős személy hatásköre és feladatai, felhasználókra vonatkozó szabályok, oktatás, beszállítói lánc megfelelősége, szolgáltatók megfelelősége). Ezért kiemelten fontos az érintett szervezet vezetőjének felelőssége, amelyre a vezeti tisztségviselő Ptk. szerinti felelőssége az irányadó. Ráadásul a felelősséget tovább növeli a beszállítói lánc megfelelősségének biztosításával és a külsős IT szolgáltatókkal való szerződéskötéssel kapcsolatos tennivalók, amelyek túlmutatnak a szokásos partnerátvilágítási lépések megtételén.
A megfelelés egyben lehetőség is
A fenti tennivalók és a megfelelés közelgő határideje riasztó lehet, azonban számos lehetőséget is magában rejt.
Köztudott, hogy egy jól felépített IT rendszer, valamint a digitális és mesterséges-intelligencia alapú megoldások jelentős hatékonyságnövelést jelentenek a termelés, a logisztika és a szolgáltatások területén is. Amennyiben már a rendszerek kialakítása, átgondolása során előtérbe kerülnek a kiberbiztosági szempontok, úgy a rendszerek később nehezebben támadhatók és emellett a beszállítói lánc és külsős IT szolgáltatók megfelelősségének biztosításával további hatékonyságot érhetünk el. Emellett, ha nem csak üres szabályzatokat írunk és tartatunk be a munkatársakkal, hanem megpróbálunk mindent a tényleges folyamatokhoz igazítani és a valós kockázatokat mindenkivel megértetni, akkor a rendszerek mellett az emberi oldalból eredő kockázatok is minimalizálhatók.
Mindezen megfelelésből és hatékonyság-növelésből pedig olyan versenyelőnyt lehet kovácsolni, amely kiemeli az érintett szolgáltatót a versenytársak közül. Ezért érdemes már most elkezdeni a felkészülést és a vállalati stratégiát összhangba hozni a digitális stratégiával, amelynek szerves részét kell képezze a kiberbiztonsági megfelelés – hangsúlyozta dr. Szabó Gergely Gábor, a Bán, S. Szabó, Rausch & Partners Ügyvédi Iroda szabályozási ügyekért felelős vezető ügyvédje.
FIZESSEN ELŐ 2024-RE AZ ÖNADÓZÓ ÚJSÁGRA ÉS ONLINE CSOMAGJÁRA!
Önadózó - okos újság okos cégeknek és könyvelőknek! Velünk 2024-ben is könnyebb lesz alkalmazni a jogszabályokat, követni a változásokat, teljesíteni az aktuális adózási, könyvviteli feladatokat, és elkerülni a buktatókat. Az Önadózó az egyik legnagyobb terjedelemmel jelentkező havi szaklap. Igen gazdag az archívumunk, az előfizetéssel ingyenesen hozzájuthat a megelőző évek lapszámaihoz. Az egyes lapszámok tartalma online elérhető, illetve mobiltelefonon is. Online csomagunk: Számviteli szabályzatok 2024 ● Cafetéria szabályzat 2024 ● Pénzmosás elleni szabályzat csomag ● GDPR Segédlet, ● Gyorskérdés szolgáltatás a honlapon,● Segédletek + Mérlegképes és adótanácsadói kreditek ● Ingyenes e-könyvek és vásárlási kedvezmény az Önadózó Webáruhgázban ● Egyes Kulcs-Soft programok előfizetőknek ingyenesen ● Előfizetni itt lehet: https://www.onadozo.hu/elofizetes-az-ujsagra/
Webáruház
Szabályzatok
-
Kézikönyv vállalkozások GDPR megfelelési kötelezettségeinek teljesítéséhez
Bruttó ár: 25 400 Ft
Előfizetőknek ingyenes -
Székhelyszolgáltatók pénzmosás elleni szabályzat csomagja 2024
Bruttó ár: 12 700 Ft
Előfizetőknek ingyenes -
Ingatlan-vállalkozások pénzmosás elleni szabályzat csomagja 2024
Bruttó ár: 12 700 Ft
Előfizetőknek ingyenes
Szabályzatok kategória összes termékének megtekintése
E-Könyvek
-
Kamerás megfigyelés alkalmazása munkahelyen, üzletben – kézikönyv és iratminták
Bruttó ár: 12 700 Ft
-
A munka- és pihenőidő elektronikus nyilvántartásának követelményei
Bruttó ár: 1 270 Ft
Előfizetőknek ingyenes -
Új munkajogi tájékoztatások útmutatóval
Bruttó ár: 12 700 Ft
Előfizetőknek 20% kedvezménnyel 10 160 Ft
E-Könyvek kategória összes termékének megtekintése
Szakkönyvek
-
Egyszeres könyvvitel a gyakorlatban
Bruttó ár: 25 200 Ft
Előfizetőknek 20% kedvezménnyel 20 160 Ft
Postaköltség: 2 625 Ft -
Agrárgazdaságok átadása és adózása
Bruttó ár: 15 750 Ft
Előfizetőknek 20% kedvezménnyel 12 600 Ft
Postaköltség: 1 100 Ft
E-Start
Önadózó segítség az ügyek elektronikus intézéséhez.
- Elektronikus ügyintézés - alapok
- Adatvédelem
- Adózási alapinformációk
- Adókalkulátorok
- Adóellenőrzés, adóigazgatás, jogorvoslatok, ügyintézés a NAV előtt
- Adózó saját bevallási és egyéb nyilvántartási adatainak lekérdezése
- Bevallási, adatszolgáltatási platformok
- Bírósági eljárások - Fizetési meghagyás - Alternatív vitarendezések
- Bírósági határozatok gyűjteménye
- Cégügyek, céginformációk
- Civil szervezetek
- Családtámogatások
- Egészség - Elektronikus Egészségügyi Szolgáltatási Tér (EESZT)
- E-learning - Kötelező továbbképzések könyvelőknek, adótanácsadóknak, könyvvizsgálóknak, ügyvédeknek
- Egyéni vállalkozók nyilvántartása
- Építőipar
- Gépjármű
- Hatósági igazolások igénylése
- Helyi önkormányzati ügyek (E-ÖNKORMÁNYZAT PORTÁL)
- Ingatlan
- Jogszabálygyűjtemények
- KSH adatok - Az adatvezérelt üzleti döntésekért
- Mezőgazdaság
- NAV szolgáltatások
- Pénzügyi ágazati szakmák és szakképzés
- Pénzügyi, számviteli szoftverek
- Támogatások, pályázatok,
- Társadalombiztosítás
- Turisztikai szolgáltatók NTAK regisztrációja