Összeurópai szabályozás készteti a cégeket a biztonságosabb informatikai működésre, de a megvalósításhoz nemcsak technológia, hanem emberek is kellenek.

Az informatikai rendszerek védelmében kétségtelenül az ember az egyik leggyengébb láncszem. De az elavult, képességeiben korlátozott, nem a célnak megfelelően konfigurált vagy akár egyenesen hiányzó IT-biztonsági megoldások szintén veszélyt jelentenek. Nemcsak az egyén vagy a vállalatok számára, hanem tágabb értelemben az Európai Unió gazdasági érdekeire is. Kezelendő ezt a problémát, az EU 2016-ban élesítette a hálózatok és információs rendszerekre vonatkozó szabályozását (Network and Information Systems, NIS), melynek újabb verziója (NIS2) új kihívásokat támaszt a vállalatoknak.

Kontinentális szabályozás

A direktíva második változata kapcsán érdemes áttekinteni, hogy kire, mire vonatkozik a 2024 első felében élessé váló keretrendszer. Az EU tagállamain keresztüli jogharmonizációs előírások miatt január 1. és június 30. között minden érintett szervezetnek fel kell vennie a kapcsolatot a Szabályozott Tevékenységek Felügyeleti Hatóságával (SZTFH), a hazai, rövid nevén Kibertan törvénnyel összhangban.

Jelentősen bővül az érintett iparágak köre a NIS2 bevezetésével. A direktíva első változatába foglalt vállalati szektorok mellett az élelmiszeripari, a postai és- futárszolgálatok, a hulladékgazdálkodással foglalkozók, a kormányzati szektor, az űripari illetve vegyszerek gyártásával és előállításával, kutatásával foglalkozó szereplőkre is vonatkozik. A felsorolt szegmensekben tevékenykedő szervezetek közül azoknak kell direkt módon felkészülniük a NIS2 bevezetésére, amelyek legalább 50 munkavállalót foglalkoztatnak, és éves nettó árbevételük és/vagy mérlegfőösszegük meghaladja a 10 millió eurót. Indirekt módon azonban a szabályozás ezen cégek minden beszállítójára is vonatkozik.

Nem ok nélkül érkezik az új szabályozás: az általános tapasztalatok szerint az érintettek jelentős része alacsony informatikai biztonsági érettségi szinttel rendelkezik. Ahhoz azonban, hogy sikeres legyen a bevezetés, általánosságban javuljon az uniós gazdaság kiberbiztonsági állapota, nem lehet ölbe tett kézzel ülni. Egyeztetni kell az érintett szervezetekben a folyamat fontos résztvevőivel, be kell vonni őket a változásokba.

Kik az érdekelt felek?

A legelső, legfontosabb és talán a legnagyobb kihívást jelentő személy a szervezet felsővezetője. Meggyőzése nélkül garantáltan esélytelen, hogy a szervezet elérje az EU-s direktívának megfelelő informatikaibiztonság-érettséget, a pozíció birtokosa kezében van tehát a kulcs. A projekt értelméről, a biztonság üzlethez adott értékéről meggyőzött vállalatvezető nem csak akarni, hanem támogatni is fogja a NIS2 bevezetését. Valójában ez lenne az elemi érdeke minden vállalatvezetőnek, hiszen amellett, hogy szervezete versenyképessé válik az alap biztonsági szint megteremtésével, a megfelelés rendszeres elmulasztása akár a tevékenység felfüggesztését is okozhatja.

A következő beveendő bástyát az informatikai üzemeltetés jelenti, amely gyakran ellenérdekelt a hasonló, feladatát látszólag még összetettebbé tevő projektek sikerében. A feladatnak megnyert üzemeltetés készséges együttműködéséhez a közös munkán keresztül vezet az út, melynek során a NIS2 bevezetést végző szakembercsapattal kidolgozható a mindkét fél számára előnyös, üzletet támogató architektúra.

Ugyancsak megkerülhetetlen a jogi terület bevonása. A különböző megfelelőségeket (compliance), az európai uniós szabályozásokban kiemelt területként kezelt ellátási láncok szerződéseinek véleményezését felügyelő részlegnek a kiberbiztonsággal együtt kell működnie. Általános tapasztalat, hogy elsősorban az utóbbinak kell közelítenie a jog irányába. Hasonló a helyzet a jogi osztállyal nem feltétlenül függésben levő adatvédelmi felelőssel (data protection officer, DPO).

Nem maradhat ki a cég alaptevékenységét képviselő vezető sem – aki jellemzően az ügyvezető igazgató. Bevonásával meghatározhatók a NIS2-re felkészülés szintjei; mely területeken kell az európai uniós és a magyar jogszabályoknak megfelelően cselekedni.

Ne kockáztassuk a büntetést!

A kiberbiztonságért az adott szervezeten belül felelős személynek is van feladata. Fel kell vennie a kapcsolatot a már említett SZTFH-val, egyeztetni a teendőkről, és jelenteni az elért eredményeket. Kellő kapacitás híján az auditra való felkészüléshez külső partnerhez kell fordulni. Az informatikai üzemeltetés tekintetében kiszervezett tevékenységeket ugyancsak be kell vonni a NIS2 bevezetésébe.

Egy szervezet informatikai biztonsági érettségi szintjét a benne dolgozók témához viszonyulása határozza meg. Elkerülhetetlen a munkavállalók megszólítása, akiknél el kell érni, hogy részesévé akarjanak válni a fejlődési folyamatnak. A saját biztonságtudatosság növeléséből nem csak a vállalat, hanem az egyén is profitál. Az iroda falain kívül, napjaink hibrid munkaszervezésében általánosnak tekinthető távmunkában dolgozva ugyanis jelentősen megnő saját felelőssége.

A NIS2-nek való megfelelés tehát csak akkor lehet sikeres, ha az érintettek bevonásával, aktív részvétele mellett zajlik. Érdemes időben elkezdeni a felkészülési folyamatot, mivel az ideális és optimális védelem kiépítése kompetencia- és erőforrásigényes feladat. Elmulasztása pedig komoly büntetést von maga után: a hatósági bírságok nem megfelelés esetén több milliárd forintra is rúghatnak.

Ez a cikk független szerkesztőségi tartalom, mely a 4iG támogatásával készült.
Részletek »

 

Biztonság

Van egy cég, amelyik az Nvidiánál is nagyobbat nyert az MI-őrületen

Nem valami megnyugtató, ha belegondolunk, hogy milyen tevékenységet értékelnek ilyen sokra a befektetők.
 
A software defined network már évek óta velünk él. Csak idő kérdése volt a koncepciót kiterjesztése a WAN-okra.

a melléklet támogatója a Yettel

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.