A NIS2 kötelezi a tagállamokat, hogy hozzanak intézkedéseket a hálózati és információs rendszerek kiberbiztonságának javítása érdekében, építsenek nemzeti eseményértesítési rendszereket, és működjenek együtt más uniós intézményekkel a kiberbiztonság területén. A Magyarországon tevékenykedő cégeknek azon magyar jogszabályoknak kell megfelelniük, amelyek a NIS2 elvárásait a hazai jogszabályi környezetben implementálják. Az egyik legfontosabb ilyen jogszabály az idén tavasszal megjelent, kiberbiztonsági felügyeletről szóló 23. évi XXIII. törvény (Kibertan). Az érintett szervezeteknek 2024. október 18-ától kell alkalmazniuk az előírt védelmi intézkedéseket, 2025. január elsejétől pedig már várhatóak az első felügyeleti auditok.
Nem halogatható a felkészülés
A NIS2 hatálya alá a kiemelten kockázatos (energetika, közlekedés, egészségügy stb.) és a kockázatos (postai szolgálatok, hulladékgazdálkodás stb.) ágazatok közepes és nagy szervezetei tartoznak. A mikro- és kisvállalkozások csak akkor érintettek, amikor a NIS2 hatálya alá tartozó cégek beszállítóivá válnak. Mivel sok fenyegetettség az ellátási láncból ered, érthető, hogy a szabályozások előtérbe helyezik az ellátási lánc ellenállóképességét.
- Fontos, hogy a szervezet tudatában legyen saját felkészültségi szintjének, tehát a kiindulópontnak. Mind a NIS2, mind a Kibertan kitér rá, hogy az érintett szervezetek rendelkezzenek információbiztonsági irányítási rendszerrel. A gyakorlatban ez azt jelenti, hogy ha egy cég tevékenysége megfelel az ISO 27001-es szabványnak, akkor jó felkészültségi állapotban tudhatja magát. Éretleneknek tekinthetők azonban például azok a szervezetek, amelyeknek ugyan vannak bizonyos védelmi megoldásaik, de azok nem tudatosak, nem dokumentáltak, nem nyomon követettek. Előrehaladottabb érettségi állapotúak azok a vállalatok, ahol például van dedikált információbiztonsági felelős, vagy olyan informatikai vezető, aki ezt a szerepet is vállalja. Vannak aztán olyan szervezetek, amelyek már évek óta felügyelet alatt állnak, felkészültségüket rendszeresen vizsgálják, auditálják, és folyamatosan javítják kiberrezilienciájukat. Minden vállalatnak meglévő állapotából lehet előrehaladnia. Az alap, hogy a szervezetnek legyen információbiztonsági irányítási rendszere, végezzen kockázatelemzést, és abba vonja be az ellátási láncban szereplő szervezeteket. Különösen azokra a beszállítókra kell figyelmet fordítani, amelyek infokommunikációs termékekkel, folyamatokkal vagy szolgáltatásokkal támogatják a szervezetet. Az érettebbeknél jellemzően a hiányosságok felmérése és pótlása van még hátra. Az éretlen szervezeteknek azonban sokkal több tennivalójuk van, nekik már most érdemes belevágni a felkészülésbe - mutat rá Borbély Zsuzsanna, a filter:max Kft. szolgáltatási üzletágvezetője.
Lépésről lépésre a teljes megfelelésig
Aki ismeri az ISO 27001-et, könnyen eligazodik a NIS2 és a Kibertan információbiztonsági szakmai követelményei között. A filter:max szakértői több mint tíz éve dolgoznak információbiztonsági szabályozási rendszerekkel, amelyek elemeit az új jogszabályok is felölelik.
Indulásként képes felmérni a szervezet kiberbiztonsági felkészültségi állapotát. Fontos, hogy legyen a cégnek kockázatelemzése, beleértve a beszállítói láncból eredő kockázatokat, és ennek mentén, arányosan építse ki védelmi rendszerét. Nélkülözhetetlen az üzletfolytonosság-menedzsment. Fontos az incidensmenedzsment mint folyamat létrehozása, valamint annak implementálása, továbbá a jelentési kötelezettség teljesítése. - Az érintett szervezet ügyvezetője bizonyos kérdésekben személyes felelősséggel tartozik. A vállalatnál információbiztonsági tudatosító oktatásokat kell tartani, amelyeken a döntéshozóknak is részt kell venni - hangsúlyozza Borbély Zsuzsanna.
Időkorlátos vagy folyamatos együttműködés
A filter:max projektalapon vagy folyamatos együttműködés keretében tudja segíteni a szervezeteket. Ha például egy vállalatnak csak az üzletfolytonosság-menedzsment rendszere hiányzik, akkor a feladat adott időkeretben megoldható.
Más a helyzet, amikor a szervezet több hiányossággal küzd. Ilyenkor folyamatos segítségre van szüksége. - Sokszor cégen belül nincs meg az a szakértelem, amivel el tudnának jutni a jogszabályoknak való megfelelésig. Ilyenkor a megoldást a külső szakértő jelenti. Vannak olyan cégek is, amelyeknél van belső információbiztonsági szakértő, és végre is tudnák hajtani a jogszabályok által előírt lépéseket. Ahhoz azonban, hogy határidőre mindent el tudjanak végezni, szűkös a kapacitásuk. Ilyenkor is jól jön a külső segítség, amit mi szívesen megadunk - foglalja össze a filter:max által kínált tanácsadói szolgáltatásokat a szolgáltatási üzletágvezető.
Október végén a filter:max egy webinar keretében ad tájékoztatást a jogszabályokról, valamint az ezeknek való megfelelésről.
