Június 30-ig több ezer hazai vállalkozásnak kell teljesítenie a NIS2 kiberbiztonsági auditot, amely azt vizsgálja, mennyire felkészültek a cégek az informatikai támadások és adatbiztonsági incidensek kezelésére. A határidő különösen szoros lehet annak a mintegy 1300 vállalkozásnak, amely csak az elmúlt hetekben értesült a kötelezettségről. A kormány ezért a szabályok rugalmasabbá tételén dolgozik, hogy könnyebb legyen auditort találni és teljesíteni az előírásokat.

Június végéig kell teljesíteni a NIS2 auditot. Forrás: Unsplash (illusztráció)

Közeleg a NIS2-határidő, több ezer vállalkozásnak kell teljesítenie a kiberbiztonsági auditot

Június 30-ig mintegy négyezer hazai vállalkozásnak kell teljesítenie a NIS2 kiberbiztonsági auditot. Tanács Zoltán tudományos és technológiai miniszter szerint a határidő különösen azoknak a cégeknek jelenthet nagy terhet, amelyek csak az elmúlt hetekben értesültek arról, hogy megfelelési kötelezettségük van. A kormány és a Szabályozott Tevékenységek Felügyeleti Hatósága egyeztetéseket folytatott a szabályok rugalmasabbá tételéről – olvasható a határidő a NIS2 oldalán.

Mi az a NIS2 audit?

A NIS2 az Európai Unió kiberbiztonsági irányelve, amelynek célja, hogy a fontos és alapvető szolgáltatásokat nyújtó vállalkozások és szervezetek jobban felkészüljenek a kibertámadásokra. Az irányelv uniós szinten egységesebb szabályokat vár el több kritikus ágazatban, például az energia, közlekedés, egészségügy, digitális infrastruktúra, pénzügyi szolgáltatások és egyes ipari területeken.

A NIS2 audit lényege, hogy egy független, nyilvántartásba vett auditor megvizsgálja. Az érintett vállalkozás informatikai rendszerei, belső folyamatai és kockázatkezelési gyakorlata megfelel-e a kiberbiztonsági követelményeknek. Ez nem egyszerű adminisztrációs feladat, hanem annak ellenőrzése, hogy a cég képes-e megelőzni, kezelni és jelenteni a kibertámadásokat vagy informatikai incidenseket.

Cikkbe ágyazott natív hirdetés · 640×250

Június 30. a kulcsdátum

A jelenlegi határidő szerint azoknak az érintett szervezeteknek, amelyek 2025. január 1-je előtt kezdték meg működésüket, legkésőbb 2026. június 30-ig kell teljesíteniük az első kiberbiztonsági auditot. Azok a cégek, amelyek 2025. január 1-je után jöttek létre, a nyilvántartásba vételüket követő két éven belül kötelesek elvégeztetni első kiberbiztonsági auditjukat.

A miniszteri közlés szerint ez mintegy négyezer hazai vállalkozást érint. Külön problémát jelenthet, hogy körülbelül 1 300 cég csak az elmúlt hetekben szembesült azzal, hogy auditkötelezettsége van. A vállalkozásoknak ezért rövid idő alatt kell auditort találniuk. Ezen felül dokumentációt készíteniük és bizonyítaniuk a megfelelést.

Miért jelent ez terhet a cégeknek?

A kiberbiztonsági audit költséges és időigényes folyamat lehet. Főleg azoknál a kkv-knál, amelyeknél korábban nem volt külön információbiztonsági csapat vagy részletes kiberbiztonsági szabályzat. A cégeknek fel kell mérniük informatikai rendszereiket, jogosultságkezelésüket, adatmentési rendjüket, incidenskezelési folyamataikat és beszállítói kockázataikat is.

A másik szűk keresztmetszet az auditori kapacitás. Az auditot csak olyan szervezet végezheti, amely szerepel az SZTFH nyilvántartásában. Ha kevés az elérhető auditor, az megemelheti az árakat és megnehezítheti a határidő teljesítését.

Változhat az auditorokra vonatkozó szabályozás

Tanács Zoltán szerint várhatóan módosulhat a kiberbiztonsági auditorokra vonatkozó szabályozás. A cél az, hogy egyszerűbbé és gyorsabbá váljon az auditorválasztás, rugalmasabb legyen az auditok megszervezése, és bővüljön azoknak a cégeknek a köre, amelyek auditot végezhetnek.

A miniszter szerint a változás erősítheti az auditorok közötti versenyt, javíthatja a kapacitások kihasználását, és rövidebb idő alatt segítheti auditorhoz az érintett vállalkozásokat. A várakozás szerint a magas és kiemelt kategóriában az árak csökkenése is bekövetkezhet.

Mit érdemes most tenniük a vállalkozásoknak?

Az érintett cégeknek elsőként azt kell tisztázniuk, hogy a NIS2-szabályozás hatálya alá tartoznak-e. Ha igen, ellenőrizniük kell, hogy van-e szerződésük nyilvántartott auditorral. Rendelkeznek-e a szükséges belső szabályzatokkal, és felkészültek-e az audit során vizsgált informatikai, szervezeti és biztonsági követelményekre. A határidő közelsége miatt különösen fontos a dokumentumok rendezése, az incidenskezelési rend áttekintése, a jogosultságok felülvizsgálata és az informatikai kockázatok gyors felmérése.

Jelen írás kizárólag tájékoztatási célt szolgál. A cikkben megjelenő információk nyilvánosak és mindenki számára elérhető adatok alapján kerültek felhasználásra. Címlapkép forrása: Unsplash (illusztráció)