NIS2 előttem

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. (Kibertan.) törvény már elindította a folyamatot, a kijelölt felügyeleti hatóságnál (SZTFH) elindult a munka. A megjelent és a közeljövőben várható jogszabályok pedig bízzunk benne, megfelelően végrehajthatóak lesznek a szervezetek számára. Már megnyílt a lehetőség a nyilvántartásba vételre, melyet önazonosítás után 2024.06.30-ig kell megtenni, és fel lehet készülni a felügyeleti díj megfizetésére is, mely a szervezet előző évi árbevételének 0,015%-a (max. 10 M Ft). Ennek határideje 2024.10.18. Reméljük hamarosan látható lesz az auditot lefolytatni képes vállalkozások köre, mert a nyilvántartásba vételtől számított 120 napon belül szerződést kell kötni egy kiberbiztonsági auditot végző céggel és nem utolsósorban találni valakit, aki erre képes felkészíteni a szervezetet, amennyiben erre nincs belső erőforrás. De a fentiek elsősorban csak adminisztratív terhet jelentenek, a kiberkockázatok csökkentésére nem sok hatásuk van, pedig az lesz, ami igazán számít. Ugyan mindenki pontosan szeretné látni, hogy az irányelv három szintű biztonsági osztályba sorolásának folyamata hogyan kerül kialakításra, hogyan kapcsolódik majd a hatályos végrehajtási rendelethez (41/2015), de a várakozásban már az is előrelépés, ha egyáltalán el tudja helyezni magát a szervezet valamilyen skálán, ha tudja milyen környezetekben kell a biztonsági osztályokat meghatározni.

Az irányelv szélesíti a korábbi NIS1 érintettjeinek körét, meghatároz fő alapelveket melyet érvényesíteni kell az információbiztonságot érintő folyamatokban, de ha mélyebben megnézzük, nem látunk olyan elemet, mely ne jelenne meg más kiberbiztonsági keretrendszerekben, szabványokban, sőt jógyakorlatokban, legyen az üzletmenet folytonosság biztosítása, biztonságtudatosítás, vagy az ellátási lánc biztonságának növelése. Fel kell készülni a feladatokra, de nem a NIS2 miatt jó, ha van egy megbízott, aki összefogja a feladatokat – nevezzük IBF-nek, vagy CISO-nak – és nem a NIS2 miatt kell, hogy megjelenjenek valahol a kiberbiztonsági kockázatok és azok értékelései. Ezt figyelembe véve, az adminisztrációs teendők mellett, már a pontos szabályozás megjelenése előtt előre lehet lépni számos kérdésben, mint a kockázatelemzés, a szabályozás vagy az információbiztonsághoz kapcsolódó irányítási rendszer és kontrolljainak megjelenése a működésben.

Többen tekintenek az irányelvre úgy, mint valami nagy és hatalmas tehertételre, de nem ez a jó hozzáállás. Értelmezhető az támogatásként is. Egy adminisztratív eszköz, mely segíti a szervezetet a kiberbiztonsági kockázatok jelentős csökkentésében, jóval olcsóbban, mint egy zsarolóvírus-támadás költsége, vagy hosszútávú szolgáltatás kiesés hatása. Elsősorban figyelni kell arra, hogy az irányelvben meghatározott elvárások kockázatarányosan kerüljenek kialakításra, teljesítésre. Mindenki egyben szeretne túlesni megfeleléshez kapcsolódó feladatokon, letudni az egészet valamilyen szolgáltatás, sőt eszköz vásárlásával, de maradni kell inkább a realitás talaján. Kiemelten figyelni kell a fájó, egyértelmű hiányosságokra, a szervezet által végzett szolgáltatásokhoz közvetlenül kapcsolódó elemekre, a problémák feltárására és a pontos kimenetek megfogalmazására. Ez nem napok alatt, nem projektfeladatokkal, hanem rendszeres és értő kommunikációval, a szervezet folyamatainak ismeretével és a szakterületek együttműködésével valósítható meg. Ez utóbbiakat sem csak a NIS2 miatt kell elérni, hanem a szervezet fejlődéséhez, zavartalan és biztonságos működéshez szükséges.