Képzések

NIS2 NÉGY NÉLKÜL

Nézünk, mint a moziban, vagy tudatában vagyunk a feladatinknak?

Nincs a távolba sem ISMS a fegyvertárban?! Nem foglalkozott a szervezeted eddig eléggé a kiberbiztonsággal?! Kapjátok a pofonokat a kiberbűnözőktől?! Meg kellene úszni valahogy a kiberbiztonsági tanúsításra vonatkozó elvárásokat?! – Gratulálok, szervezeted kellően éretlen, hogy a NIS2-re való felkészítésre vonatkozó felhívással alanya legyen számos megkeresésnek, de el foglak szomorítani: Nem a NIS2 miatt kellene ezzel foglalkozni.

Az mindenkinek megvan, aki a témában olvasott már pár cikket, bejegyzést, hogy az EU tavaly decemberben elfogadta a korábbi, 2016-os Network and Information Security irányelv módosítását a NIS2-t, kötelezően magasabb felkészültséget írva elő a kiberbiztonság területén az Uniós országokban. A tagállamok neki is álltak a jogalkotásnak: Magyarországon 2023.05.15-én megjelent a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről, továbbá a 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról. Illetékes seriff a Szabályozott Tevékenységek Felügyeleti Hatóság (SZTFH), alanyai a hazai közép- és nagyvállalkozások, meghatározott ágazatokban, illetve létszám és éves árbevétel alapján.

De mit akart tőlünk a korábbi NIS?! Semmi extrát, csak megfelelő és kockázatarányos kibervédelmet írt elő bizonyos szolgáltatók részére, mint az energia, közlekedés, digitális szolgáltatások és más kiemelt, kritikus infrastruktúra. A NIS2 szélesíti a kört, bevonva ezzel számos egyéb, létfontos területet, mint a hulladékkezelés, szélesebb digitális és közösségi szolgáltatások (ICT), gyártás, fejlesztés, de nem is áll meg itt, mivel a beszállítókkal kapcsolatban is megfogalmaz elvárásokat. Ha nem vagy a NIS2 alanya most, majd leszel, ha partnerévé válsz, vagy válnál egy érintett szervezetnek.

Tudom, kemények vagyunk, mint Bud Spencer, és nem esünk hanyatt az alábbi célok elérésétől, amit a NIS2 meghatároz nekünk:

  • Információbiztonsági szabályozási rendszer
  • Kockázatelemzési gyakorlat módszertana
  • Védelmi intézkedések megvalósítása
  • Incidenskezelés folyamata, kommunikációja
  • Üzletmenet folytonosság kialakításának kockázatarányossága
  • Ellátási láncban szereplő partnerek IT biztonsági megfelelése

Állj! Ezeket csak most akarjuk elérni? Nincs szabályzatunk, kockázatelemzésünk, cselekvési tervünk baj esetére?! Akkor ugyan gáz van, de nem a rendelet, vagy az előírások, hanem az informatikai rendszereinket érintő fenyegetések miatt. Nem a NIS2, hanem az adataink biztonsága, a rendszereink megfelelő működése miatt kell kialakítanunk a biztonsági környezetet.

A hatósági megfeleléshez van azért extra feladat is, de ne ez legyen a kapkodás tárgya:

  • Önazonosítás, nyilvántartásba vételre bejelentkezés – 2024.01.01-től 06.30-ig.
  • Biztonsági osztályba sorolás – 2024.01.01-től, de nem ugrik a nyakunkba senki, hiszen a részletszabályok még nem ismertek.
  • Elektronikus információs rendszerek biztonságáért felelős személy kijelölése – 2024.01.01-től, de most komolyan, eddig nem foglalkozott vele senki?!
  • Védelmi intézkedések bevezetése biztonsági osztály függően, de mint az előbb, itt is várjuk meg a pontos elvárásokat, ha már tudjuk és van kockázatarányos védelmünk, akkor ne kapkodjunk új megoldások felé.
  • Felügyeleti díj megfizetése Hatóság felé – 2024.10.18-tól. Ez fájt, de ha kap a szervezet olyan jógyakorlatokat, értelmezhető biztonsági osztályokat, amik valóban javítják a szervezet kibervédelmét, akkor akár meg is érheti.
  • Első kiberbiztonsági audit vonatkozásában szerződéskötés auditorral (tanúsítóval?) – 2024.12.31-ig – kell valaki aki a körmünkre néz, de figyeljünk rá, hogy ne egy önbecsülésünket és korábbi intézkedéseinket porig alázó ellenőr, hanem egy racionális, kockázatarányos intézkedéseket elváró és szükség esetén arra gazdaságos javaslatot tévő partnert válasszunk.
  • Első kiberbiztonsági audit lefolytatásának határideje – 2025.12.31-ig – szabad egy táncra? A Sheriff jöhet, jönni is fog, de nem lő le azonnal.

A jelenleg még nem ismert részletszabályok és a kapkodás elkerülése miatt vegyünk egy nagy lélegzetet mielőtt a NIS2 totemoszlopa előtt rettegve várjuk a Seriff bírság formájában megjelenő bilincsét. Az előírt feladatok elvégzésére, némi extra adminisztráción kívül akkor is szükség van a számítógéppel vezérelt, adatközpontú világunkban, ha senki sem szórná tele a kockázatokra való felhívás füstjeleivel az eget. Lehet nem egy hatóság, vagy az EU, hanem a zsarolóvírusok, vagy az adatszivárgások miatti NAIH bírságok okoznák nekünk az igazán nagy fejvakarást.

Beszélgessünk!

Tegye fel kérdéseit szakértőinknek!

Tanácsadás

FORTIX Consulting Kft.
Székhely: 1114 Budapest, Magyari István utca 2.
Fsz. 4.

Iroda: 1061 Budapest, Liszt Ferenc tér 2. 4. em. 1.
hello@fortix.hu

Dr. Simon Norbert
+36 30 255 7866
norbert.simon@fortix.hu

Hírlevél
Maradjunk kapcsolatban! Naprakész iparági hírek, izgalmas cikkek, hetente.
Az év Családbarát vállalata 2023Opten A MinősítésAz év Családbarát vállalata 2023Innovatív márka 2023
Fortix facebookFortix LinkedinFortix youtube
Copyright © FORTIX Consulting Kft.