Kötelező informatikai audit az egészségügyben működő cégeknél
A nagyobb cégeknek be kell bizonyítaniuk, hogy felkészültek a kiberbiztonsági incidensek kezelésére, írja a Piac és Profit.
Az Európai Unió Kiberbiztonsági Ügynöksége (Enisa) tavaly listázta azokat fenyegetéseket, amelyekkel a cégeket leginkább támadták. A zsarolóprogramok a legaggasztóbbak, amikor a hackerek átveszik az irányítást valakinek az adatai felett, és váltságdíjat követelnek a hozzáférés visszaállításáért, illetve azért, hogy ne publikálják a megszerzett adatokat. Sorban utána a rosszindulatú programok következnek, ide tartoznak a vírusok, trójai programok és kémprogramok. Az emberi hibára játszanak, amikor a támadók elérik, hogy az áldozatok megnyissák a rosszindulatú dokumentumokat, fájlokat vagy e-maileket, vagy olyan webhelyekre kattintsanak, ahol jogosulatlan hozzáférést biztosítsanak céges rendszerekhez. A túlterheléses támadások is napi szereplői a híreknek, amikor megakadályozzák, hogy a felhasználók hozzáférjenek bizonyos weboldalakhoz, szolgáltatásokhoz. De egyre többször támadják az ellátási láncokat is, szervezetek és beszállítók közötti kapcsolatot célozva.
Az Európai Unió új Kiberbiztonsági irányelve, azaz a NIS2 minimumszabályokat fogalmaz meg, amiket az érintett ágazati szereplőknek be kell tartaniuk.
A cégek elsődleges feladata most a jogszabályi változások nyomon követése. Ezt követően jövőre a kötelező audithoz IT-rendszerintegrátor segítségével tudnak felkészülni, amelybe beletartozik a jelenlegi helyzet felmérése, szabályzatok frissítése, elkészítése, illetve az esetlegesen nem teljes körű biztonsági megoldások kiegészítése vagy pótlása – jellemezte a jövő évre várható IT kihívásokat Piszker György, a Kontron Hungary rendszer architect vezetője.
A kiemelt kritikusságú ágazatok között az energia, a közlekedés és a digitális infrastruktúra szolgáltatók mellett szerepel az egészségügy is, az alap kritikusságú ágazatok között pedig az orvostechnikai eszközök gyártása, valamint a kutatás.
Akkor érintett egy cég, ha 50 főnél több alkalmazottal és 10 millió euró feletti éves árbevétellel rendelkezik. Illetve amennyiben egy szervezet NIS2 hatálya alá eső szervezet beszállítója, annak szintén NIS2 minősítéssel kell rendelkeznie!
Minősítési követelmények
A szervezeteknek a NIS2 irányelvnek való megfelelés érdekében kockázatkezelési és a kockázatokkal arányos kiberbiztonsági intézkedéseket kell alkalmazni. A fókuszban többek között a kiberbiztonsági kockázatelemzés és információbiztonság, az üzletmenet folytonosság, katasztrófahelyreállítás, az ellátási láncok biztonsága, kiberhigéniai gyakorlatok, titkosítási megoldások alkalmazása, hitelesítési megoldások használata, kommunikációs csatornák (szöveg, hang, videó) biztosítása, illetve a szervezeten belüli kiberbiztonsági oktatások megtartása áll.
Ezen túl a szervezeteknek bejelentési kötelezettségük van a nemzeti hatóságok fele a súlyos működési zavart, vagy pénzügyi veszteséget okozó, illetve a jogi vagy természetes személyek számára jelentős vagyoni vagy nem vagyoni kárt okozó eseményekről.
Bírság és eltiltás
Az irányelveknek való megfelelés megsértése esetén az irányadó rendelkezések alapján a kiemelt kritikusságú ágazati szereplőkre 10 millió euró vagy az éves globális forgalmuk 2 százaléknak megfelelő bírság, míg az alap kritikusságú szervezetekre 7 millió euró vagy az éves forgalmuk 1,4 százaléknak megfelelő bírság szabható ki. Ezen túl a szervezethez felügyeleti biztos nevezhető ki, az ügyvezető eltiltható a vállalat vezetésétől, vagy felfüggeszthető a szervezet működése.
A nemzeti szabályozás várhatóan 2024. január 1-ig készül el. Az érintett szervezeteknek 2024. június 30-ig be kell jelentkezniük nyilvántartásba vételre a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SzTFH). A szabályozásnak való megfelelés várható határideje 2024. december 31. és a szervezeteknek 2025. december 31-ig a NIS2 szabályozásnak való megfelelést igazoló auditot kell lefolytatniuk – írja a Piac és Profit.
