Skip to main content

Cikk

NIS2 a kiberkár-adatok tükrében

2024. október 18-án az EU tagállamaiban, így Magyarországon is hatályba léptek a nemzeti jogrendbe átültetett NIS2 szabályozások. Fontos kiberbiztonsági teendői vannak az irányelv hatálya alá tartozó szektorok vállalatainak, amelyeket egy friss kiberkár jelentésben olvasható adatok is alátámasztanak.

Az ellátási láncokban egyre nagyobb mértékű kiberkockázatok rejlenek, amelyeknek a lehetséges hatása is egyre jelentősebb. Nem véletlen, hogy a kiberbiztonság megerősítését célzó európai új szabályozást a NIS2-t sokan az idei év egyik legfontosabb változásának tartják. A kiberkockázatok erősödését friss adatok is alátámasztják. Mindezek azt jelentik, hogy megfelelési oldalról, valamint saját érdekükben is fontos teendői vannak a vállalatoknak a kiberfenyegetések elleni védekezésben, felkészülésben.

 

NIS2 szabályozás röviden

Az EU NIS2 irányelve (Network and Information Security Directive 2), az európai kibertér biztonságának megerősítését célozza. A NIS2 előírja, hogy az érintett szervezeteknek kibervédelmi intézkedéseket kell alkalmazniuk a kockázatok csökkentésére. Kockázatkezelési keretrendszert kell kialakítaniuk, amely tartalmazza az incidensek kezelésére szolgáló terveket, az események jelentési és nyomon követési mechanizmusait, valamint a beszállítói láncok biztonságának ellenőrzését és javítását. Az incidenseket 24, illetve 72 órán belül jelenteni kell.

A szabályozás hangsúlyt helyez:

• a szervezeti felelősségre, biztosítva a kibervédelem folyamatos fejlesztését és szankciókat vezet be a nem megfelelés esetére.

• a beszállítók és partnerek biztonsági gyakorlatainak ellenőrzésére, különösen az ellátási láncokban fellépő kockázatok csökkentése érdekében.

Az irányelv szigorítja a kiberbiztonsági előírásokat a kritikus infrastruktúrákat üzemeltető és egyéb fontos szektorokban tevékenykedő vállalatok számára.

Kiemelten kritikus ágazatok: energetika, közlekedés, egészségügy, víziközmű, elektronikus hírközlési szolgáltatások (telekom és internetszolgáltatók), digitális infrastruktúra, űralapú szolgáltatások.

Egyéb kritikus ágazatok: postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, különféle gyártási ágazatok, digitális szolgáltatók, kutatóhelyek.

 

Melyek a következő teendők?

Az Európai Parlament 2022-ben fogadta el az irányelvet, ami 2023-ban lépett hatályba. A tagállamoknak 2024. október 17-ig kellett azt implementálniuk (elfogadniuk és kihirdetniük) a nemzeti jogba. Az aktuális legfontosabb dátumok a NIS2 kapcsán pedig az alábbiak:

2024. október 18. – Az irányelvvel összhangban lévő nemzeti szabályok hatályba léptek az EU tagállamaiban.

2024. december 31. – A NIS2 hatálya alá tartozó szervezeteknek teljes mértékben meg kell felelniük a szabályozás előírásainak. Ez a végső határidő a szervezeti megfelelés biztosítására, hogy elkerüljék az esetleges szankciókat. Következő lépésben a vállalatoknak év végéig le kell szerződniük egy auditorcéggel, amely a hatóság irányába igazolja az irányelvnek való megfelelést. 

2025. december 31. – Az első független vizsgálat lefolytatásának határideje, amelyet aztán minden évben le kell folytatni, és jelentést készíteni.

 

Mit mutatnak az adatok? - Marsh Europe Cyber Claims Report

A legfrissebb Europe Cyber Claims Report-unk szerint 2023-ban is nőtt a kiberbiztosítási kárigények száma az előző évhez képest, folytatva a 2016 óta tartó emelkedő trendet. A jelentésben az áll, hogy a pénzügyi szektor, valamint a kommunikációs és technológiai ágazatok, a szakmai szolgáltatások, a feldolgozóipar és az egészségügy voltak a leginkább érintettek. A gyártók továbbra is a kiberbűnözők elsődleges célpontjai maradtak. A kiberbűnözők gyakran az informatikai szolgáltatókat vették célba, és körükben nőtt a kiberbiztosítások elterjedése.

A rosszindulatú cselekményekhez kapcsolódó károk száma továbbra is messze meghaladta a nem  szándékos károkozásokhoz kapcsolódókat. A zsarolóvírusokkal kapcsolatos károk az összes kárigény 25%-át tették ki, ezt követték az adatszivárgások 19%-kal, amelyek az ellátási láncokat is veszélyeztetik. A tendencia 2024 első félévében is folytatódott, hiszen a kiber-kárbejelentések már az év első hat hónapjában elérték a teljes 2023-as év kiberkárainak 70%-át. A leggyakoribb incidensek közé tartozott a social engineering, az adathalászat és a megszemélyesítés (impersonation), majd a rendszerbe való beszivárgás (infiltration), a zsarolóvírusok és az adatszivárgás.

2023-ban a szervezetek kisebb valószínűséggel fizettek váltságdíjat egy zsarolási incidens esetén, miközben általánosan erősödött kiberellenálló képességük. 

 

Akárhonnan nézzük: fel kell készülni!

A NIS2 szabályozás és a Marsh kiberkár-jelentése egyaránt rámutat az ellátási láncokban rejlő kiberkockázatok növekvő jelentőségére. A vállalatoknak nemcsak a saját rendszereik, hanem partnereik kiberbiztonságát is alaposan monitorozniuk kell. Az európai vállalkozásoknak egyrészt fel kell készülniük a NIS2 által meghatározott kötelezettségekre, másrészt pedig figyelembe kell venniük a jelentés tanulságait is a cyber biztosítási igények megfelelő kezelésére.

Miért érdemes NIS2 megfelelés kapcsán a Marsh-hoz fordulni?

A Marsh Cyber kockázatkezelési szakértői az alábbiakkal könnyítik meg a NIS2 megfelelés felé vezető útját:

• Szakértői tanácsok és útmutatás kiberkockázatainak elemzésében és számszerűsítésében.

• Segítség a NIS2 kockázatkezelési intézkedések (incidenskezelés és üzletmenet-folytonosság) előrejelzésében.

• A kiberreziliencia fokozása penetrációs tesztelés, phishing tréning és sebezhetőség kezelés segítségével.

• Saját biztosítási termékeink és eszközeink, amelyekkel át tudja hárítani kiberkockázatát.

 

Jelentés letöltése

Kollégáink

Eva Orban

Eva Csomor

Vice President