A NIS2 kiberbiztonsági irányelv előírásainak megfelelően Magyarországon már több mint 3000, különféle kritikus fontosságú ágazatokban tevékenykedő szervezet regisztrált a Szabályozott Tevékenységek Felügyeleti Hatóságánál, az első auditot 2025 végéig kell majd elvégezniük. A pénzügyi szektor kibervédelmének megerősítését célzó DORA rendelet pedig 2025. január 17-től kötelezően alkalmazandó a pénzintézetek és infokommunikációs (IKT)-szolgáltatók számára. Mindkét szabályozás sokrétű rendelkezéseket tartalmaz, ezért számos teendőt ró az érintett szervezetekre több különféle területen. Ezek kiterjednek az érzékeny adatok védelmére is, amiben a Kingston szakértői szerint hatékony segítséget nyújthatnak a hardveralapú titkosítási megoldások.

Nehézségek a megfelelésben

Az érintett szervezetek továbbra is kihívásokkal küzdenek a szabályozásoknak való megfelelésben. Problémát okoz például, hogy késedelmesen jelennek meg a részletszabályozások: a NIS2 kapcsán január 31-én jelent meg a rendelet a kiberbiztonsági auditok lefolytatásának rendjéről és az auditok maximális díjairól. További nehézséget jelent az előírások teljesítésében, hogy sok helyen nem áll rendelkezésre a szükséges erőforrás és szakértelem. Ráadásul nem csak kiberbiztonsági szakemberből van hiány, de ellenőrökből is, mivel jelenleg mindössze tíz auditor cég jogosult a NIS2-höz kapcsolódó auditok elvégzésére, ugyanakkor több ezer céget kellene ellenőrizni az idei év végéig.

A NIS2 hosszabb időt biztosított az implementációra, míg a DORA gyorsabb alkalmazkodást követelt meg. Ám mindkét szabályozás komoly szankciókat szab ki mulasztáskor, ami hatalmas pénzügyi nyomást helyez a vállalatokra. A NIS2 kapcsán például a kritikus fontosságú szolgáltatásokat nyújtó vállalatoknál a bírságok elérhetik a 10 millió eurót vagy az éves globális bevétel 2 százalékát, míg a fontos szolgáltatásokat nyújtó szervezeteknél ez az összeg 7 millió euró vagy az előző évi bevétel 1,4 százaléka lehet. A DORA esetében a pénzügyi intézmények akár a teljes éves világszintű forgalmuk 2 százalékáig terjedő bírságot kaphatnak, az IKT-szolgáltatók pedig az átlagos napi globális forgalmuk 1 százalékáig terjedő pénzbírsággal is sújthatók minden egyes nap, amikor megszegik a szabályokat, legfeljebb hat hónapig. Ezenfelül a vállalatvezetőkre egyéni szinten akár 1 millió eurós büntetés is kiszabható.

Kihívásból lehetőség

A nehézségekből azonban lehetőséget is kovácsolhatnak a szervezetek, ezért nem csak a bírságok elkerülése miatt érdemes mindent megtenni a szükséges intézkedések bevezetéséért a lehető legrövidebb időn belül. 

„Azok a vállalatok, amelyek képesek igazolni, hogy megfelelnek a legfrissebb kiberbiztonsági és adatvédelmi standardoknak, új lehetőségekhez juthatnak, például kormányzati szerződések és nagyobb vállalatokkal folytatott együttműködések terén. Ezek a partnerek gyakran kérnek a kisebb beszállítóiktól valamiféle igazolást a kiberbiztonsági intézkedéseikről, hogy csökkentsék a felelősségi kockázatokat” – mutat rá David Clarke, a Kingston kiberbiztonsági influencere. 

A szakember szerint a megfeleléshez a vállalatoknak ki kell dolgozniuk olyan stratégiákat, amelyek lehetővé teszik a gyors reagálást és a károk minimalizálását a potenciális biztonsági incidensek esetén. Elengedhetetlen továbbá, hogy a szervezetek olyan technológiákat és eljárásokat alkalmazzanak, amelyek garantálják az adatok és rendszerek védelmét minden területen.

FIPS-minősítés mint „aranyszabvány”

Az érzékeny adatok megóvására vonatkozó előírások teljesítéséhez a szakértő szerint érdemes hardveresen titkosított adattárolókat alkalmazni, mint például a Kingston IronKey megoldások, amelyek közül több eszköz is a National Institute of Standards and Technology „aranyszabványának” számító FIPS-minősítéssel van ellátva. Ezek az adathordozók segítenek a szenzitív információk hatékony védelmében, illetve biztosítják, hogy azok ne kerülhessenek illetéktelen kezekbe. A hardveralapú titkosítás gyorsabb és biztonságosabb, mint a szoftveralapú megoldások, mivel a titkosítási folyamatok dedikált hardveren futnak, ami csökkenti a szoftveres sebezhetőségek kihasználásának kockázatát.