A cégvezetés napjainkban olyan, mint egy végtelenített adminisztrációs akadálypálya. EPR, DRS, ESG, most pedig itt a legújabb informatikai kihívás, a NIS2.
Sokan talán legyintenek, mondván, ez csak a gigacégek „problémája”, de ne áltassuk magunkat. A szervezett kiberbűnözés ma már szinte mindenkit fenyeget a digitális térben. Zsarolóvírusok, adatszivárgások veszélyeztetik az üzletmenetet.
Éppen ezért a szabályozás a jövőben nagy eséllyel tovább szigorodhat, és ez az előírás előbb-utóbb a legtöbb gazdálkodó szervezethez el fog érni, mérettől függetlenül.
Mi az a NIS2?
A NIS2 irányelv elsődleges célja, hogy jelentősen növelje az európai gazdaság működését biztosító infrastruktúrák kibervédelmi szintjét. A hazai jogrendszerbe beépített NIS2 törvény rendkívül szigorú és pontos keretrendszert határoz meg az informatikai támadások elhárítására, illetve a megfelelő védelem kiépítésére.
A NIS2 megfelelés kemény dió. A cégeknek többek között:
- kiberbiztonsági szabályzatokat kell létrehozniuk,
- védeniük kell rendszereiket a kibertámadások ellen,
- az incidenseket kötelesek jelenteni,
- kötelező auditon részt venniük,
- és regisztrálniuk szükséges az Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) rendszerében.
A NIS2 kire vonatkozik?
Az érintettek körét illetően Magyarország szigorúan implementálta az uniós irányelvet. Leegyszerűsítve a dolgot, a NIS2 azokra a cégekre és szervezetekre vonatkozik, amelyek kritikus szerepet töltenek be a gazdaság vagy a társadalom működésében.
Ágazatokat tekintve kiemelten érintettek:
- energetikai szolgáltatók
- közlekedési szektor szereplői
- bankok és pénzügyi szolgáltatók
- egészségügy
- ivóvíz- és szennyvízszolgáltatás
- telekommunikációs cégek
- felhőszolgáltatók, adatközpontok
- IT szolgáltatók
- webhosting és domain szolgáltatók
- online piacterek
- nagyobb gyártócégek
- élelmiszeripari szereplők
- közigazgatási szervek
- postai és futárszolgálatok
Ágazaton belül akkor leszel NIS2 kötelezett, ha legalább közepes méretű vállalkozásnak számítasz. Tehát minimum 50 főt foglalkoztatsz, illetve éves árbevételed, mérlegfőösszeged eléri a 10 millió eurót (forintban).
És itt jön a csavar. Ha az alábbi ágazatokban tevékenykedsz, nem számít a vállalkozásod mérete:
- elektronikus hírközlési szolgáltatás,
- DNS-szolgáltatás,
- bizalmi szolgáltatás,
- legfelső szintű doménnév-nyilvántartó és doménnév-regisztráció
Összefoglalva, ha egy cég kritikus infrastruktúrát üzemeltet vagy fontos közszolgáltatást nyújt, nagy eséllyel érinti a NIS2. Ha kisebb vállalkozásként egy ilyen szektorban beszállítóként dolgozol, akkor közvetett módon szintén kérhetnek tőled NIS2-kompatibilis működést!
Fontos dátum: A NIS2 audit határideje 2026. június 30.
A NIS2 audit egy kötelező hatósági vizsgálat, ami felméri és igazolja az érintett vállalkozások informatikai és kiberbiztonsági megfelelőségét. A 2025. január 1. előtt már működő gazdálkodó szervezeteknek 2026. június 30-ig el kell végeztetniük az auditot egy olyan céggel, aki szerepel az SZTFH nyilvántartásában. A szerződés megkötésére 2025. augusztus 31. volt a végső határidő.
A nagyvállalati szigor begyűrűzhet a kisebbekhez is?
Ez bizony könnyen előfordulhat. Egyrészt a beszállítói láncokon keresztül a szigorítások gyorsan elérhetik a kisebb szolgáltatókat, hiszen a jelenleg érintett nagyvállalatok egyre inkább előnyben részesítik a magasabb biztonsági szintet garantáló partnereket.
Másrészt az Európai Unió jogalkotási trendjeit és a digitalizáció ütemét figyelve elképzelhető, hogy a jövőben közvetlenül is bővítik az érintettek körét.
Ahogy a kiberbűnözők egyre kifinomultabb eszközöket használnak, a jogalkotók kénytelenek lesznek a kisebb kkv-kat és mikrovállalkozásokat is bevonni a „védelmi ernyő” alá. Ma még csak (többnyire) a nagyokat kötelezi a NIS2, de később már egy egyszerű webshoptól vagy könyvelőirodától is megkövetelhetik a minősített IT-biztonságot!
A tervezés fontossága: Miért érdemes már most lépned?
A megelőzés mindig olcsóbb, mint a tűzoltás! Habár a Gerkan nem végez hivatalos NIS2 auditálást, a kisebb cégek informatikai védelméhez is megbízható szakmai segítséget adunk. Egy időben kivitelezett, önkéntes audit a következőket nyújtja:
- Elosztott költségek: Ha most felméritek a hiányosságokat, az IT-fejlesztések költségei akár évekre előre, kényelmesen beoszthatók.
- Megbízható adatvédelem: A precíz jogosultságkezelés és hálózati védelem távol tarthatja az adathalászokat.
- Nyugodt üzletmenet: A zsarolóvírusok, adatvesztés kockázata jelentősen csökken, és nem ér majd váratlanul egy hirtelen jogszabály-szigorítás.
Gondoskodj most céged biztonságáról, mielőtt a kiberbűnözők vagy az egyre szigorodó piaci elvárások, szabályozások lépéskényszerbe hoznak! Tervezz okosan, és védd meg értékes üzleti adataidat.
Kérj a Gerkantól alapos, mindenre kiterjedő kiberbiztonsági auditot!
Velünk azt kapod, amire szükséged van:
Kiberbiztonság cégeknek teljes körű tervezéssel és kivitelezéssel.
