Eva Csomor
Vice President
Az ellátási láncokban egyre nagyobb mértékű kiberkockázatok rejlenek, amelyeknek a lehetséges hatása is egyre jelentősebb. Nem véletlen, hogy a kiberbiztonság megerősítését célzó európai új szabályozást a NIS2-t sokan az idei év egyik legfontosabb változásának tartják. A kiberkockázatok erősödését friss adatok is alátámasztják. Mindezek azt jelentik, hogy megfelelési oldalról, valamint saját érdekükben is fontos teendői vannak a vállalatoknak a kiberfenyegetések elleni védekezésben, felkészülésben.
Az EU NIS2 irányelve (Network and Information Security Directive 2), az európai kibertér biztonságának megerősítését célozza. A NIS2 előírja, hogy az érintett szervezeteknek kibervédelmi intézkedéseket kell alkalmazniuk a kockázatok csökkentésére. Kockázatkezelési keretrendszert kell kialakítaniuk, amely tartalmazza az incidensek kezelésére szolgáló terveket, az események jelentési és nyomon követési mechanizmusait, valamint a beszállítói láncok biztonságának ellenőrzését és javítását. Az incidenseket 24, illetve 72 órán belül jelenteni kell.
A szabályozás hangsúlyt helyez:
• a szervezeti felelősségre, biztosítva a kibervédelem folyamatos fejlesztését és szankciókat vezet be a nem megfelelés esetére.
• a beszállítók és partnerek biztonsági gyakorlatainak ellenőrzésére, különösen az ellátási láncokban fellépő kockázatok csökkentése érdekében.
Az irányelv szigorítja a kiberbiztonsági előírásokat a kritikus infrastruktúrákat üzemeltető és egyéb fontos szektorokban tevékenykedő vállalatok számára.
Kiemelten kritikus ágazatok: energetika, közlekedés, egészségügy, víziközmű, elektronikus hírközlési szolgáltatások (telekom és internetszolgáltatók), digitális infrastruktúra, űralapú szolgáltatások.
Egyéb kritikus ágazatok: postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, különféle gyártási ágazatok, digitális szolgáltatók, kutatóhelyek.
Az Európai Parlament 2022-ben fogadta el az irányelvet, ami 2023-ban lépett hatályba. A tagállamoknak 2024. október 17-ig kellett azt implementálniuk (elfogadniuk és kihirdetniük) a nemzeti jogba. Az aktuális legfontosabb dátumok a NIS2 kapcsán pedig az alábbiak:
2024. október 18. – Az irányelvvel összhangban lévő nemzeti szabályok hatályba léptek az EU tagállamaiban.
2024. december 31. – A NIS2 hatálya alá tartozó szervezeteknek teljes mértékben meg kell felelniük a szabályozás előírásainak. Ez a végső határidő a szervezeti megfelelés biztosítására, hogy elkerüljék az esetleges szankciókat. Következő lépésben a vállalatoknak év végéig le kell szerződniük egy auditorcéggel, amely a hatóság irányába igazolja az irányelvnek való megfelelést.
2025. december 31. – Az első független vizsgálat lefolytatásának határideje, amelyet aztán minden évben le kell folytatni, és jelentést készíteni.
A legfrissebb Europe Cyber Claims Report-unk szerint 2023-ban is nőtt a kiberbiztosítási kárigények száma az előző évhez képest, folytatva a 2016 óta tartó emelkedő trendet. A jelentésben az áll, hogy a pénzügyi szektor, valamint a kommunikációs és technológiai ágazatok, a szakmai szolgáltatások, a feldolgozóipar és az egészségügy voltak a leginkább érintettek. A gyártók továbbra is a kiberbűnözők elsődleges célpontjai maradtak. A kiberbűnözők gyakran az informatikai szolgáltatókat vették célba, és körükben nőtt a kiberbiztosítások elterjedése.
A rosszindulatú cselekményekhez kapcsolódó károk száma továbbra is messze meghaladta a nem szándékos károkozásokhoz kapcsolódókat. A zsarolóvírusokkal kapcsolatos károk az összes kárigény 25%-át tették ki, ezt követték az adatszivárgások 19%-kal, amelyek az ellátási láncokat is veszélyeztetik. A tendencia 2024 első félévében is folytatódott, hiszen a kiber-kárbejelentések már az év első hat hónapjában elérték a teljes 2023-as év kiberkárainak 70%-át. A leggyakoribb incidensek közé tartozott a social engineering, az adathalászat és a megszemélyesítés (impersonation), majd a rendszerbe való beszivárgás (infiltration), a zsarolóvírusok és az adatszivárgás.
2023-ban a szervezetek kisebb valószínűséggel fizettek váltságdíjat egy zsarolási incidens esetén, miközben általánosan erősödött kiberellenálló képességük.
A NIS2 szabályozás és a Marsh kiberkár-jelentése egyaránt rámutat az ellátási láncokban rejlő kiberkockázatok növekvő jelentőségére. A vállalatoknak nemcsak a saját rendszereik, hanem partnereik kiberbiztonságát is alaposan monitorozniuk kell. Az európai vállalkozásoknak egyrészt fel kell készülniük a NIS2 által meghatározott kötelezettségekre, másrészt pedig figyelembe kell venniük a jelentés tanulságait is a cyber biztosítási igények megfelelő kezelésére.
Miért érdemes NIS2 megfelelés kapcsán a Marsh-hoz fordulni?
A Marsh Cyber kockázatkezelési szakértői az alábbiakkal könnyítik meg a NIS2 megfelelés felé vezető útját:
• Szakértői tanácsok és útmutatás kiberkockázatainak elemzésében és számszerűsítésében.
• Segítség a NIS2 kockázatkezelési intézkedések (incidenskezelés és üzletmenet-folytonosság) előrejelzésében.
• A kiberreziliencia fokozása penetrációs tesztelés, phishing tréning és sebezhetőség kezelés segítségével.
• Saját biztosítási termékeink és eszközeink, amelyekkel át tudja hárítani kiberkockázatát.
Vice President