A magyarországi és európai piacon is kezd elterjedni a kibertámadások egy új válfaja: az ellátási láncon belüli kiberbiztonsági incidens, azaz amikor egy vállalkozás beszállítóját éri támadás, és ezáltal válik közvetlenül érintetté a beszállítóval online kapcsolatban álló cég.
Az Európai Unió Kiberbiztonsági Ügynöksége szerint az utóbbi 3 évben megnégyszereződtek a váltságdíj-követelések, és számos ágazatot érintenek a közigazgatástól egészen a pénzügy szektorig. Súlyos kiberincidensek történtek az ellátási láncban 2021-2022-ben például a magyar IKEA áruházaknál, európai olajcégeknél, a kormánynak és a Telekomnak is beszállító Netlocknál, a lakosság széles körének is szolgáltató Takarékbanknál vagy a Toyota Motornál.
Látható, hogy a fenti, feltételezhetően fejlett informatikai kibervédelemmel rendelkező szervezetek (és beszállítóik) is ki vannak téve a kiberfenyegetéseknek. Ezt igazolja a BlueVoyant 2022 decemberében közzétett jelentése, mely alapján egyértelműen kijelenthető, hogy a vállalatok többségét komolyan érintik az ellátási láncban jelentkező biztonsági incidensek, de sok esetben mégsem teszik meg a szükséges védelmi lépéseket.
A megkérdezett cégek 98%-át érintették hátrányosan az ilyen jellegű incidensek, ennek ellenére csupán kétharmaduk vizsgálja át legalább évente kétszer a beszállítói által használt kiberbiztonsági intézkedéseket.
A BlueVoyant tanulmánya alapján a digitális ellátási lánchoz kapcsolódó külső beszállítók a leginkább kockázatosak a teljes ellátási láncon belül. A hálózati hozzáférésükön keresztül ugyanis közvetlenül veszélyeztetik a cég kiberbiztonságát. A biztonsági cég kutatása alapján minden eddiginél több vállalkozás számolt be arról, hogy az ellátási láncukban bekövetkezett kiberbiztonsági zavarok negatívan érintették a működésüket. A felmérésben résztvevő válaszadók 40%-a bízik abban, hogy a beszállítója maga is gondoskodik a megfelelő biztonságról.
A megkérdezett vállalatok számára a legnagyobb kihívást "a szabályozási követelményeknek való megfelelés, a beszállítókkal biztonsági területen történő együttműködés, valamint annak a vállalati szintű megértése jelenti, hogy a beszállítókat is a szervezet kibervédelmének részeként kezeljék".
Az eredmények még nyugtalanítóbbak a közép- és kelet-európai régiókban annak ellenére, hogy a kibertámadásokat elszenvedő cégek aránya itt sem tér el a globális 98%-os értéktől. A nagyobb probléma, hogy csupán 5%-uk alkalmaz folyamatos felügyeletet, amíg 66% semmilyen módon nem monitorozza szállítóit.
Az Európai Tanács számára is világossá vált, hogy a korábbi szabályozások nem nyújtanak megfelelő védelmet, ezért 2022 novemberében elfogadták a NIS2 rendelettervezetet. Az új szabályozás célja az uniós hivatalok, intézmények, ügynökségek és szervek kibervédelmének minőségi biztosítása. A módosítás szükségessé vált, mivel a régiós adatok szerint Kelet- és Közép-Európában csupán a megkérdezettek 21%-ának fontos az ellátási lánc megfelelő védelmének kialakítása. Az NIS2 szabályozással jelentős mértékben megnőtt a változtatásokra kényszerített szervezetek száma, mivel a nem kritikus szolgáltatást nyújtó KKV-kat leszámítva minden állami és magánszervezetre érvényes.
Az űrlap kitöltése semmiféle kötelezettséggel nem jár.