A kiberbiztonság szerepe felértékelődött az utóbbi években, hiszen időről időre előfordul, hogy nemcsak cégektől, hanem nemzeti kormányoktól, állami intézményektől is ellopnak érzékeny adatokat a hackerek. Az Európai Unió erre vonatozó irányelve (NIS2) fontos rendelkezéseket tartalmaz, osztotta meg a Szállítmányozás 2024 konferencia hallgatóságával online kapcsolaton Manuel Coelho Dias, a Marsh Risk Advisory menedzsere.
Mi is az a NIS irányelv? Az egyre kifinomultabb és egyre gyakoribb kibertámadások miatt elkerülhetetlenné vált a meglévőknél szigorúbb szabályok bevezetése. Éppen ezért kiemelten fontossá vált megerősíteni a biztonsági követelményeket, megőrizni az ellátási láncok biztonságát és szigorítani a jelentési kötelezettségeket. Az Európai Uniónak és ennek következtében a magyar jogalkotásnak is megfelelő és arányos technikai és szervezési intézkedéseket kellett hoznia a kockázatok kezelésére. A NIS2 kiberbiztonsági direktívát az EU tagállamainak 2024. október 17-ig kellett átültetniük a saját jogrendszerükbe.
„A direktíva előzménye a NIS1-es irányelv volt, de mindezidáig mindössze 6 uniós tagállamnak sikerült ezt megoldania. Portugália, Spanyolország, de Magyarország sem tartozik azok közé az országok közé, amelyek ezt megtették volna, tehát nem egy egyszerű folyamatról van szó” – jegyezte meg Manuel Coelho Dias. Kit érint mindez? Minden olyan vállalatot, amely több mint 50 alkalmazottal rendelkezik, és amelynek éves forgalma 10–50 millió euró között van. Természetesen aki nem teljesíti a NIS2 előírásokat, az komoly szankcióknak néz elébe.
A NIS2 lényeges és fontos területeket nevez meg. A kritikus szektorok közé tartozik a közlekedés, valamint a légi, a vízi és a vasúti fuvarozás, illetve szállítmányozás. A közúti szállítás valamiért nem került az irányelv hatálya alá. „Ennek ellenére előállhat olyan helyzet, hogy amikor a tagállamok átültetik a szabályozást, akkor mégiscsak belefoglalják a közúti szállítást a jogszabályrendszerbe. Nem kizárt, hogy Magyarországon is ez fog történni” – hívta fel a figyelmet a szakember. Hozzátette: vannak olyan iparágak is, mint például az energiaipar, a csomagküldő szolgálatok, a postai szolgáltatások vagy a szennyvíz- és vízkezelés, ahol szintén érvényben van a NIS2 szabályozás.
Mit ír elő ez az irányelv? Először is elvárja, hogy legyen egy olyan központi irányítás a vállalatnál, amely az internetes és a kiberbiztonságot kezeli. „Nem elég tehát, hogy létezik egy szervezeti egység, hanem dokumentálni kell mindent, hogy például milyen kockázatkezelési megoldásokat alkalmaznak. Ez azért is fontos, mert minél több a digitális megoldás, annál nagyobb a kockázat” – hangsúlyozta az előadó. Egy nagyon formális keretet kell tehát létrehozni, amely az irányelv összes pillérének, előírásának megfelel.
Fontos ugyanakkor megjegyezni, hogy nem mindenben fogalmaz egy-értelműen a NIS2. Vannak ugyan ajánlások, hogy milyen szabványoknak kell megfelelni, de természetesen a vállalat felelőssége az egész keretrendszert összerakni, felmérni a kockázatokat. Miután ezek megvannak, akkor számszerűsíteni kell őket. Nagyon fontos pillére továbbá ennek az irányelvnek az IT-biztonság kidolgozása.
„A legfontosabb cél növelni egy szervezet vagy vállalat ellenállóképességét a kibertámadásokkal szemben. Éppen ezért figyelni kell arra, hogy mindazokat a döntéseket, amelyeket meghozunk a kockázatelemzés során, azokat később monitorozni kell, hogy mennyire valósultak meg a gyakorlatban” – húzta alá a szakember. Az ellátási lánc kezelése az egyik legbonyolultabb kérdés, hiszen digitális szempontból egy egyre összehuzalozottabb világban élünk. Éppen ezért a logisztika terén ez a kérdés még hangsúlyosabb.
Nem szabad megfeledkezni a partnerekről és a beszállítókról sem. Nyilvánvaló, hogy ha egy nagyobb vállalat kiberbiztonsági intézkedéseket foganatosít, akkor azokat a beszállítókon is számon kell kérnie. Ennek tényét dokumentálni és időről időre vizsgálni kell, hogy mi valósul meg a lefektetett intézkedésekből. Nyilvánvaló ugyanakkor, hogy bármilyen kiberbiztonsági lépés alkalmazása előtt érdemes költséghatékonysági elemzést végezni, mert ha nincs meg valamire a keret, akkor nem érdemes rá elkölteni rengeteg pénzt. „Mi abban támogatjuk az ügyfeleinket, hogy minél sikeresebben tudjanak megfelelni ezeknek az elvárásoknak” – zárta előadását Manuel Coelho Dias.