Ugyan június 30-án lejárt Kiberbiztonsági tanúsításról és felügyeletről szóló törvényben meghatározott első fontos határidő, a cégvezetőknek azonban még van idejük pótolni a mulasztást, és időben megkezdeni a felkészülést a támadások elhárítására – nem mellesleg az akár milliós nagyságrendű bírság elkerülésére. De vajon honnan lehet tudni, mely cégek érintettek?
A Magyar Közlöny 68. számában két olyan rendelet is megjelent, amelyet már nagyon vártak a magyar információbiztonsági ipar szereplői. Mindkettő a NIS2 szabályozáshoz kapcsolódik, az egyik az auditorokkal szemben támasztott követelményekről, a másik az információs rendszerek biztonsági osztályba sorolásáról szól.
Hetedik alkalommal rendezte meg a Magyar Nemzeti Bank (MNB) és a keretei között működő Pénzügyi Békéltető Testület (PBT) az Alternatív Vitarendezési Konferenciát 2024. júniusában. A rendezvényen neves hazai és külföldi szakemberek mutatták be, hogy a kibercsalások milyen kihívások elé állítják az alternatív vitarendezés szereplőit.
Június 24-én hatályossá vált a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan törvény” IT követelményrendszerét tartalmazó kormányrendelete. A NIS2 törvényhez kapcsolódó végrehajtási rendelet megjelenése egyformán jelentős lépés a jogszabállyal érintett cégek, a leendő auditorok és a tanácsadók számára is. A 120 oldalas dokumentum pontosan tartalmazza ugyanis azokat a követelményeket, amelyek alapján az érintett cégek felkészülése/felkészítése már elindítható, valamint a 2025-ben induló hatósági kiberbiztonsági audituk pedig megtervezhetővé válik. A Grant Thornton nemzetközi üzleti- és adótanácsadó cég szakértői a következőkben segítséget nyújtanak a rendelet értelmezésében.
A kiberbiztonság – más néven digitális biztonság – szabályozása az egyik legfontosabb jogi újdonság hazánkban. Magyarország átültette a NIS2 irányelvet, amely az Európai Unió legújabb, az európai kiberbiztonságot erősítő jogszabálya. A törvény meghatározza a kiberbiztonság nemzeti kereteit, megszabva az információs és kommunikációs technológiai (IKT) termékek kiberbiztonsági tanúsításának alapvető szabályait. A cél az, hogy kedvező feltételeket teremtsenek a fogyasztók számára, hogy – személyes adataik, fényképeik vagy éppen a pénzük védelme érdeklében – figyelembe vehessék a termékek kiberbiztonsági szintjét és szükség esetén a kiberbiztonsági felügyelethez fordulhassanak. A magyar kiberbiztonsági szabályozás részletes intézkedési tervet nyújt az érintett vállalkozások számára, és súlyos következményeket ír elő a szabályok be nem tartása esetén. A törvény értelmében 2024. június 30-ig kell a cégeknek eleget tenniük az első főbb kötelezettségeknek – olvasható dr. Hetényi Kinga és dr. Menczelesz Adrián, a Schönherr Hetényi Ügyvédi Iroda ügyvédei elemzésében.
Már csak pár napja maradt belépni a nyilvántartásba azoknak a hazai vállalatoknak, amelyekre kiterjed a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv – hívja fel a figyelmet az EY. Résen kell lenniük a konszolidált beszámolót készítő társaságok tagvállalatainak is, hiszen elég cégcsoport szinten elérni a meghatározott minimum bevételt és létszámot, hogy rájuk is vonatkozzanak a kötelezettségek. Az óvatlan szervezetek számára a mulasztás súlyos bírsággal, sőt a vezető eltiltásával is járhat.
A NIS2 direktíva számos követelményt fogalmaz meg az EU-tagállamok kiber- és információbiztonságára vonatkozóan. Magyarországon a „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”, azaz a „Kibertan-törvény” implementálja a direktíva rendelkezéseit, melynek értelmében az érintett vállalatoknak 2024. június 30-ig regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt online felületen.
A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan-törvény” hatálybalépésével kezdetét vette Magyarországon is az EU új NIS2 (Network Information System v2) irányelvének átültetése a hazai jogrendbe. Ezek az információvédelmi követelmények minden eddiginél szélesebb kört érintenek, az előzetes becslések alapján közvetlenül 2500-3000 társaság került a hatálya alá. Az érintett cégeknek 2024. június 30-ig már csak alig két hónap áll rendelkezésükre, hogy bejelentkezzenek a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZFTH). A regisztráció során adminisztratív és technikai jellegű cégadatok megadása mellett az információs rendszerek biztonságáért felelős személy (IBF) adatait és elérhetőségét is fel kell tüntetni. Kóczé Péter a Grant Thornton nemzetközi üzleti- és adótanácsadó cég digitális üzletágának vezetője segít átgondolni, hogy mi alapján válasszuk ki a cég számára optimális megoldást.
Ha mondani kellene egy jogszabályt, amelyet kifejezetten az információk védelmére alkottak meg az Európai Unióban, szinte kivétel nélkül mindenkinek a GDPR jutna először eszébe. Nem csoda, hiszen az Általános Adatvédelmi Rendelettel (a GDPR-ral) 2018. május 25-óta minden olyan cégnek meg kellett ismerkednie, ahol személyes adatokat kezelnek, például alkalmazottakról vagy magánszemély ügyfelekről vezetnek nyilvántartást. A Grant Thornton elemzése a témában.
