h i r d e t é s

Esetenként ötmillió forint is lehet a bírság, ha nem ügyelünk a kiberbiztonságra

Olvasási idő
1perc
Eddig olvastam
a- a+

Esetenként ötmillió forint is lehet a bírság, ha nem ügyelünk a kiberbiztonságra

2019. május 15. - 12:56

A GDPR mellett kevesebb figyelem hárul az egy éve hatályba lépett uniós kiberbiztonsági irányelvre, amely a hálózatok, infrastruktúrák védelmével kapcsolatban ír elő kötelezettségeket bizonyos szolgáltatóknak. 

Illusztráció: pixbay.com

Az EY tapasztalatai szerint eddig kevés érintett cég felel meg az előírásoknak. A felkészülés elmulasztása jelentős összegű bírsággal járhat.

Egy éve, 2018 májusában mindenki GDPR lázban égett. Ugyanabban a hónapban, május 10-én egy másik, adatbiztonságot érintő uniós szintű szabályozás is életbe lépett (a 2016/1148. számú, úgynevezett NIS direktíva). Az irányelv egyrészt a társadalom működése szempontjából kritikus alapvető szolgáltatásokat nyújtó szereplők – például az energiaszektor, közlekedés, egészségügy, pénzügyi tranzakciók – infrastruktúrájára vonatkozik. Másrészt alkalmazni kell egyes digitális szolgáltatókra – online keresőmotorokra, felhőalapú számítástechnikai szolgáltatásokra és az online piacterekre – is.

Az érintett szolgáltatók megfelelő védelmi szintet kell biztosítsanak az általuk használt hálózati és információs rendszereket fenyegető kockázatok kezeléséhez. A szolgáltatás folytonossága érdekében intézkedéseket kell tenniük az érintett rendszereket érő támadások megelőzésére és azok hatásainak csökkentésére. Ha ilyen esemény történik, azt haladéktalanul be kell jelentsék az illetékes hatóságnak. A kötelezettség elmulasztása esetén, mint például egy biztonsági esemény be nem jelentése, a bírság elérheti az 5 millió forintot – bár ez viszonylag szerény összeg az Egyesült Királysághoz képest, ahol a felső határ 17 millió font. Egy-egy incidens – ha az a személyes adatok megsértésével jár – kettős, a GDPR és a NIS szabályozás szerinti szankciókat is eredményezhet.

A szabályozás a digitális szolgáltatókat alvállalkozóik működéséért is felelőssé teszi

 – hívja fel a figyelmet Zala Mihály, az EY technológiai tanácsadással foglalkozó vezetője. „A kibervédelmi funkciókat kiszervező digitális szolgáltatóknak így felül kell vizsgálniuk ezzel kapcsolatos szerződéseiket, felelősségi rendelkezéseiket és IT-biztonsági szabályozásaikat is.”

Magyarországon a bejelentésköteles szolgáltatást nyújtókra vonatkozó hatósági felügyelet illetékessége megváltozott – hívja fel a figyelmet az EY. Korábban a BM Országos Katasztrófavédelmi Főigazgatóság látta el a felügyeletet, de jelenleg – a 270/2018-as kormányrendelet alapján – a Nemzeti Elektronikus Információbiztonsági Hatóság kapta ezt a feladatot. A biztonsági eseményekről a Nemzetbiztonsági Szakszolgálat eseménykezelő központja vezet nyilvántartást, és szakmai támogatást is nyújt az incidensek kezeléséhez.