Ugyan június 30-án lejárt Kiberbiztonsági tanúsításról és felügyeletről szóló törvényben meghatározott első fontos határidő, a cégvezetőknek azonban még van idejük pótolni a mulasztást, és időben megkezdeni a felkészülést a támadások elhárítására – nem mellesleg az akár milliós nagyságrendű bírság elkerülésére. De vajon honnan lehet tudni, mely cégek érintettek?
Hetedik alkalommal rendezte meg a Magyar Nemzeti Bank (MNB) és a keretei között működő Pénzügyi Békéltető Testület (PBT) az Alternatív Vitarendezési Konferenciát 2024. júniusában. A rendezvényen neves hazai és külföldi szakemberek mutatták be, hogy a kibercsalások milyen kihívások elé állítják az alternatív vitarendezés szereplőit.
Június 24-én hatályossá vált a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan törvény” IT követelményrendszerét tartalmazó kormányrendelete. A NIS2 törvényhez kapcsolódó végrehajtási rendelet megjelenése egyformán jelentős lépés a jogszabállyal érintett cégek, a leendő auditorok és a tanácsadók számára is. A 120 oldalas dokumentum pontosan tartalmazza ugyanis azokat a követelményeket, amelyek alapján az érintett cégek felkészülése/felkészítése már elindítható, valamint a 2025-ben induló hatósági kiberbiztonsági audituk pedig megtervezhetővé válik. A Grant Thornton nemzetközi üzleti- és adótanácsadó cég szakértői a következőkben segítséget nyújtanak a rendelet értelmezésében.
A kiberbiztonság – más néven digitális biztonság – szabályozása az egyik legfontosabb jogi újdonság hazánkban. Magyarország átültette a NIS2 irányelvet, amely az Európai Unió legújabb, az európai kiberbiztonságot erősítő jogszabálya. A törvény meghatározza a kiberbiztonság nemzeti kereteit, megszabva az információs és kommunikációs technológiai (IKT) termékek kiberbiztonsági tanúsításának alapvető szabályait. A cél az, hogy kedvező feltételeket teremtsenek a fogyasztók számára, hogy – személyes adataik, fényképeik vagy éppen a pénzük védelme érdeklében – figyelembe vehessék a termékek kiberbiztonsági szintjét és szükség esetén a kiberbiztonsági felügyelethez fordulhassanak. A magyar kiberbiztonsági szabályozás részletes intézkedési tervet nyújt az érintett vállalkozások számára, és súlyos következményeket ír elő a szabályok be nem tartása esetén. A törvény értelmében 2024. június 30-ig kell a cégeknek eleget tenniük az első főbb kötelezettségeknek – olvasható dr. Hetényi Kinga és dr. Menczelesz Adrián, a Schönherr Hetényi Ügyvédi Iroda ügyvédei elemzésében.
Nem állnak túl jól a magyar vállalkozások a data governence területéhez tartozó folyamatok bevezetésében és használatában, ahogy abban sem, hogy a saját adataikat pénzzé tegyék. Ahogyan a Portfolio Conferences és a Wolters Kluwer Hungary közös szervezésében megrendezett Digital Compliance by Design&Legaltech Konferencián is elhangzott, a kiberbiztonsági jogi környezet átfogó változása is rámutat arra, hogy egyre növekszik a kibertámadások kockázata, és ezek az incidensek nemcsak a nagyvállalatokat érinthetik, hanem a kibervédelemmel kevésbé foglalkozó kkv-kat is – számol be a portfolio.hu
A kiberbiztonsági tanúsításról és felügyeletről szóló törvény („Kibertan-törvény”) közvetlenül csak a gazdaság nagyobb szereplőire fókuszál, de az ellátási láncokon keresztül a cégek egy jóval szélesebb körére fog hatást gyakorolni – írja a Grant Thornton szakmai blogja.
A NIS2 irányelv magasabb szintre emelte a korábbi uniós kiberbiztonsági szabályozást és számos új kötelezettséget vezetett be. Az irányelv szabályainak túlnyomó részét már átültették a magyar jogba, így a jövő év folyamán 2500-3000 hazai közép- és nagyvállalatnak kell a szigorú szabályoknak megfelelni, továbbá az ellátási láncuk biztonságát megteremteni – emelte ki dr. Szabó Gergely Gábor, a Bán, S. Szabó, Rausch & Partners Ügyvédi Iroda szabályozási ügyekért felelős vezető ügyvédje.
Pár hét, és elkezdik nyilvántartásba venni azokat a hazai cégeket, amelyekre kiterjed a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv – hívja fel a figyelmet az EY. Akár az árbevétel 2 százalékára is büntethetik azokat a társaságokat, ahol nem készülnek fel időben az IT-biztonsági incidensek kezelésére, sőt el is tilthatják az irányítástól a szabálysértő szervezetek vezetőit.
