2023-ban hatályba lépett a magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS2 irányelv), mely megköveteli a nagyobb szereplőktől, hogy vegyék komolyan a kiberbiztonsági kockázatokat és ültessék gyakorlatba azokat az eljárásokat, amelyekkel megelőzhetők és kezelhetők az efféle támadások.
2024. december 31-ig Magyarországon is teljesíteni kell a kibervédelmi követelményeket, így a meghatározott cégeknek 2024. június 30-ig kötelezően be kell jelentkezniük a Szabályozott Tevékenységek Felügyeleti Hatóságánál, valamint 2025 végéig ki kell jelölniük egy auditort, aki elvégzi a szervezet kiberbiztonsági átvilágítását.
A NIS2 meghatározta, hogy melyek azok a cégek, melyeknek kötelezően vállalniuk kell az előírtakat, továbbá az abban írtak a meghatározott cégeken túl érinti azokat is, akik legalább 50 főt foglalkoztatnak, vagy meghaladja a 10 millió eurót az éves nettó árbevételük vagy mérlegfőösszegük.
Az e-kereskedelem területén érintettek lehetnek azok a cégek, akik vegyszerek (pl. kozmetikumok) és élelmiszerek értékesítésével foglalkoznak és megfelelnek a középvállalkozás európai uniós kritériumainak.
Az uniós előírás elvárja, hogy az érintett szervezetek
- ellenőrizzék, hogy a beszállítóik is megfelelő kibervédelmi gyakorlatokat alkalmaznak,
- belső képzésekkel és szimulációkkal ismertessék a munkatársakkal a kibervédelmi fogalmakat, veszélyeket és kiberhigiéniai gyakorlatokat,
- azonosítsák és orvosolják az IT rendszereik biztonsági kockázatait, illetve
- bejelentsék az esetleges incidenseket.
Az uniós előírás megköveteli továbbá, hogy az érintett vállalatok alkalmazzanak bizonyos alapbiztonsági intézkedéseket a kibertámadások megelőzése érdekében.
A kiberbiztonsági kockázatkezelési intézkedések részletei az irányelv 21. cikkében olvashatóak.
Az irányelv teljes magyar nyelvű szövege itt olvasható.