Compliance követelményei
Az EU 2022/2555 számú irányelvének, röviden NIS 2 bevezetésével nőttek a compliance követelményei a vállalatoknál. A NIS 2 a kibertámadások EU-n belüli fenyegetéseire reagál. Az irányelv a vállalatok és intézmények kiber- és informatikai biztonságát szabályozza. A kibertámadások ma már világszerte a vállalatok számára az egyik legnagyobb üzleti kockázatnak számítanak.
A NIS 2 felváltja az EU 2016/1148 számú irányelvét (NIS 1), és hozzájárul az Európai Unió kibervédelmének javításához, valamint a vállalatok jobb védelméhez. A NIS-2 irányelv végrehajtása növeli a kockázatkezelés és a compliance követelményeit sok vállalatnál. Ha az intézkedéseket a vállalatok nem megfelelően hajtják végre, az szankciókat vonhat maga után, mondja a gazdasági jogi iroda MTR Legal Rechtsanwälte .
Az EU 2023-ban elfogadta a NIS-2 irányelvet, és a tagállamoknak 2025-ig kell azt a nemzeti jogba ültetniük. Az irányelv hatálya alatt álló vállalatok elsősorban tevékenységük jellegétől függenek. Az irányelv további vállalatokat von be, amelyeket lényegesnek (essential) és fontosnak (important) tekintenek. Ez jelentős számú vállalat és intézmény növekedését jelenti, amelyek jogi kötelezettségeket kell, hogy teljesítsenek a Szövetségi Információtechnológiai Biztonsági Hivatalnál (BSI).
Kritikus infrastruktúrák érintettek
A kritikus infrastruktúrák, amelyek már a NIS-1 irányelv alatt álltak, mint az energia, közlekedés, egészségügy, pénzügy, vízgazdálkodás és digitális infrastruktúra, a NIS-2 irányelv miatt további ágazatok is érintettek. Ide tartoznak a nyilvános elektronikus szolgáltatások, további digitális szolgáltatások, mint a szociális platformok, szennyvíz- és hulladékgazdálkodás, postai és futárszolgáltatások, közigazgatás vagy kritikus termékek gyártói. Becslések szerint Németországban mintegy 29 000 vállalat lesz érintett ágazatokon átívelően a NIS-2 irányelv végrehajtása által. Elsősorban közepes és nagyvállalatok a kritikus ágazatokban kell megfelelő intézkedéseket tenniük a kiberbiztonság érdekében, és hatékony compliance-t kell kialakítaniuk. Kötelezően kötelesek tájékoztatni az illetékes hatóságokat a jelentős zavarokkal vagy károkkal járó biztonsági eseményekről is.
A NIS-2 irányelv felügyeleti, végrehajtási és önkéntes peer review előírásokat is tartalmaz, hogy erősítse a kölcsönös bizalmat és a kiberbiztonságot az Európai Unió teljes területén. Ez azt is jelenti, hogy a menedzsment felelősségre vonható, ha a kiberbiztonsági kockázatkezelés intézkedései nem kerülnek végrehajtásra.
Reagálás kiberbiztonsági támadásokra
A NIS-2 irányelvvel egy számítógép-biztonsági incidensreagáló hálózat kerül kialakításra, amelynek feladata az információcserén keresztül a biztonsági fenyegetések kezelése és az eseményekre való megfelelő reagálás. Ezenkívül létrehozzák az EU-s kiberválsági kapcsolattartó hálózatot is. Ez a hálózat támogatja a tagállamok közötti és az EU szervei közötti rendszeres információcserét annak érdekében, hogy nagy kiterjedésű eseményekre és válságokra tudjanak reagálni.
Még nem dőlt el, hogy Németországban pontosan hogyan ültetik át a NIS 2-t a nemzeti jogba. Ennek oka, hogy az előrehozott Bundestag választások késleltették a végrehajtást. Az azonban világos, hogy az átültetéssel a kiberbiztonság sok középvállalkozás számára is témává válik.
A vállalatoknak biztonsági intézkedéseket kell bevezetniük
A NIS 2 azzal a kihívással szembesíti őket, hogy szükséges biztonsági intézkedéseket kell bevezetni a lehetséges kibertámadások megelőzésére és a kritikus infrastruktúra védelmére. Ennek érdekében szükséges technikai és szervezeti intézkedéseket kell tenni. Ha a vállalat kibertámadás áldozata lesz, tervet kell készíteni a kár azonnali csökkentésére és a rendszerek helyreállítására. Az illetékes hatóságokat is tájékoztatni kell. Ezenkívül a vállalatoknak rendszeres teszteket kell végezniük a gyenge pontok felderítésére és megszüntetésére. A kiberbiztonságnak az ellátási láncon belül is jelen kell lennie. Ezért itt is reagálni kell a kockázatokra.
A NIS-2 irányelv végrehajtása kihívást jelent a hatékony compliance szempontjából az érintett vállalatoknál, különös tekintettel arra, hogy igazgatósági tagok és vezető szervek is személyes felelősséggel tartozhatnak, ha az előírt biztonsági intézkedéseket nem hajtják végre.
MTR Legal Rechtsanwälte támogatja a vállalatokat a hatékony compliance-rendszerek megvalósításában és biztosítja a jogszabályi követelmények teljesítését. Gazdasági jogi irodaként az MTR Legal tanácsot ad a compliance és a gazdasági büntetőjog további témáiról.
Örömmel vesszük, ha felveszi a kapcsolatot velünk!
