NIS 2 – négy nélkül
NIS2 négy nélkül
Nézünk, mint a moziban, vagy tudatában vagyunk a feladatinknak?
Nincs a távolba sem ISMS a fegyvertárban?! Nem foglalkozott a szervezeted eddig eléggé a kiberbiztonsággal?! Kapjátok a pofonokat a kiberbűnözőktől?! Meg kellene úszni valahogy a kiberbiztonsági tanúsításra vonatkozó elvárásokat?! – Gratulálok, szervezeted kellően éretlen, hogy a NIS2-re való felkészítésre vonatkozó felhívással alanya legyen számos megkeresésnek, de el foglak szomorítani: Nem a NIS2 miatt kellene ezzel foglalkozni.
Az mindenkinek megvan, aki a témában olvasott már pár cikket, bejegyzést, hogy az EU tavaly decemberben elfogadta a korábbi, 2016-os Network and Information Security irányelv módosítását a NIS2-t, kötelezően magasabb felkészültséget írva elő a kiberbiztonság területén az Uniós országokban. A tagállamok neki is álltak a jogalkotásnak: Magyarországon 2023.05.15-én megjelent a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről, továbbá a 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról. Illetékes seriff a Szabályozott Tevékenységek Felügyeleti Hatóság (SZTFH), alanyai a hazai közép- és nagyvállalkozások, meghatározott ágazatokban, illetve létszám és éves árbevétel alapján.
De mit akart tőlünk a korábbi NIS?! Semmi extrát, csak megfelelő és kockázatarányos kibervédelmet írt elő bizonyos szolgáltatók részére, mint az energia, közlekedés, digitális szolgáltatások és más kiemelt, kritikus infrastruktúra. A NIS2 szélesíti a kört, bevonva ezzel számos egyéb, létfontos területet, mint a hulladékkezelés, szélesebb digitális és közösségi szolgáltatások (ICT), gyártás, fejlesztés, de nem is áll meg itt, mivel a beszállítókkal kapcsolatban is megfogalmaz elvárásokat. Ha nem vagy a NIS2 alanya most, majd leszel, ha partnerévé válsz, vagy válnál egy érintett szervezetnek.
Tudom, kemények vagyunk, mint Bud Spencer, és nem esünk hanyatt az alábbi célok elérésétől, amit a NIS2 meghatároz nekünk:
- Információbiztonsági szabályozási rendszer
- Kockázatelemzési gyakorlat módszertana
- Védelmi intézkedések megvalósítása
- Incidenskezelés folyamata, kommunikációja
- Üzletmenet folytonosság kialakításának kockázatarányossága
- Ellátási láncban szereplő partnerek IT biztonsági megfelelése
Állj! Ezeket csak most akarjuk elérni? Nincs szabályzatunk, kockázatelemzésünk, cselekvési tervünk baj esetére?! Akkor ugyan gáz van, de nem a rendelet, vagy az előírások, hanem az informatikai rendszereinket érintő fenyegetések miatt. Nem a NIS2, hanem az adataink biztonsága, a rendszereink megfelelő működése miatt kell kialakítanunk a biztonsági környezetet.
A hatósági megfeleléshez van azért extra feladat is, de ne ez legyen a kapkodás tárgya:
- Önazonosítás, nyilvántartásba vételre bejelentkezés – 2024.01.01-től 06.30-ig.
- Biztonsági osztályba sorolás – 2024.01.01-től, de nem ugrik a nyakunkba senki, hiszen a részletszabályok még nem ismertek.
- Elektronikus információs rendszerek biztonságáért felelős személy kijelölése – 2024.01.01-től, de most komolyan, eddig nem foglalkozott vele senki?!
- Védelmi intézkedések bevezetése biztonsági osztály függően, de mint az előbb, itt is várjuk meg a pontos elvárásokat, ha már tudjuk és van kockázatarányos védelmünk, akkor ne kapkodjunk új megoldások felé.
- Felügyeleti díj megfizetése Hatóság felé – 2024.10.18-tól. Ez fájt, de ha kap a szervezet olyan jógyakorlatokat, értelmezhető biztonsági osztályokat, amik valóban javítják a szervezet kibervédelmét, akkor akár meg is érheti.
- Első kiberbiztonsági audit vonatkozásában szerződéskötés auditorral (tanúsítóval?) – 2024.12.31-ig – kell valaki aki a körmünkre néz, de figyeljünk rá, hogy ne egy önbecsülésünket és korábbi intézkedéseinket porig alázó ellenőr, hanem egy racionális, kockázatarányos intézkedéseket elváró és szükség esetén arra gazdaságos javaslatot tévő partnert válasszunk.
- Első kiberbiztonsági audit lefolytatásának határideje – 2025.12.31-ig – szabad egy táncra? A Sheriff jöhet, jönni is fog, de nem lő le azonnal.
A jelenleg még nem ismert részletszabályok és a kapkodás elkerülése miatt vegyünk egy nagy lélegzetet mielőtt a NIS2 totemoszlopa előtt rettegve várjuk a Seriff bírság formájában megjelenő bilincsét. Az előírt feladatok elvégzésére, némi extra adminisztráción kívül akkor is szükség van a számítógéppel vezérelt, adatközpontú világunkban, ha senki sem szórná tele a kockázatokra való felhívás füstjeleivel az eget. Lehet nem egy hatóság, vagy az EU, hanem a zsarolóvírusok, vagy az adatszivárgások miatti NAIH bírságok okoznák nekünk az igazán nagy fejvakarást.
Szerzők:
Szabó Zoltán, szakértő tanácsadó
Panyi Zsolt, vezető tanácsadó
Iratkozzon fel hírlevelünkre!
Forrás: Az MIT Museum engedélyével
