Az informatikai rendszerek védelmében kétségtelenül az ember az egyik leggyengébb láncszem. De az elavult, képességeiben korlátozott, nem a célnak megfelelően konfigurált vagy akár egyenesen hiányzó IT-biztonsági megoldások szintén veszélyt jelentenek. Nemcsak az egyén vagy a vállalatok számára, hanem tágabb értelemben az Európai Unió gazdasági érdekeire is. Kezelendő ezt a problémát, az EU 2016-ban élesítette a hálózatok és információs rendszerekre vonatkozó szabályozását (Network and Information Systems, NIS), melynek újabb verziója (NIS2) új kihívásokat támaszt a vállalatoknak.
Kontinentális szabályozás
A direktíva második változata kapcsán érdemes áttekinteni, hogy kire, mire vonatkozik a 2024 első felében élessé váló keretrendszer. Az EU tagállamain keresztüli jogharmonizációs előírások miatt január 1. és június 30. között minden érintett szervezetnek fel kell vennie a kapcsolatot a Szabályozott Tevékenységek Felügyeleti Hatóságával (SZTFH), a hazai, rövid nevén Kibertan törvénnyel összhangban.
Jelentősen bővül az érintett iparágak köre a NIS2 bevezetésével. A direktíva első változatába foglalt vállalati szektorok mellett az élelmiszeripari, a postai és- futárszolgálatok, a hulladékgazdálkodással foglalkozók, a kormányzati szektor, az űripari illetve vegyszerek gyártásával és előállításával, kutatásával foglalkozó szereplőkre is vonatkozik. A felsorolt szegmensekben tevékenykedő szervezetek közül azoknak kell direkt módon felkészülniük a NIS2 bevezetésére, amelyek legalább 50 munkavállalót foglalkoztatnak, és éves nettó árbevételük és/vagy mérlegfőösszegük meghaladja a 10 millió eurót. Indirekt módon azonban a szabályozás ezen cégek minden beszállítójára is vonatkozik.
Nem ok nélkül érkezik az új szabályozás: az általános tapasztalatok szerint az érintettek jelentős része alacsony informatikai biztonsági érettségi szinttel rendelkezik. Ahhoz azonban, hogy sikeres legyen a bevezetés, általánosságban javuljon az uniós gazdaság kiberbiztonsági állapota, nem lehet ölbe tett kézzel ülni. Egyeztetni kell az érintett szervezetekben a folyamat fontos résztvevőivel, be kell vonni őket a változásokba.
Kik az érdekelt felek?
A legelső, legfontosabb és talán a legnagyobb kihívást jelentő személy a szervezet felsővezetője. Meggyőzése nélkül garantáltan esélytelen, hogy a szervezet elérje az EU-s direktívának megfelelő informatikaibiztonság-érettséget, a pozíció birtokosa kezében van tehát a kulcs. A projekt értelméről, a biztonság üzlethez adott értékéről meggyőzött vállalatvezető nem csak akarni, hanem támogatni is fogja a NIS2 bevezetését. Valójában ez lenne az elemi érdeke minden vállalatvezetőnek, hiszen amellett, hogy szervezete versenyképessé válik az alap biztonsági szint megteremtésével, a megfelelés rendszeres elmulasztása akár a tevékenység felfüggesztését is okozhatja.
A következő beveendő bástyát az informatikai üzemeltetés jelenti, amely gyakran ellenérdekelt a hasonló, feladatát látszólag még összetettebbé tevő projektek sikerében. A feladatnak megnyert üzemeltetés készséges együttműködéséhez a közös munkán keresztül vezet az út, melynek során a NIS2 bevezetést végző szakembercsapattal kidolgozható a mindkét fél számára előnyös, üzletet támogató architektúra.
Ugyancsak megkerülhetetlen a jogi terület bevonása. A különböző megfelelőségeket (compliance), az európai uniós szabályozásokban kiemelt területként kezelt ellátási láncok szerződéseinek véleményezését felügyelő részlegnek a kiberbiztonsággal együtt kell működnie. Általános tapasztalat, hogy elsősorban az utóbbinak kell közelítenie a jog irányába. Hasonló a helyzet a jogi osztállyal nem feltétlenül függésben levő adatvédelmi felelőssel (data protection officer, DPO).
Nem maradhat ki a cég alaptevékenységét képviselő vezető sem – aki jellemzően az ügyvezető igazgató. Bevonásával meghatározhatók a NIS2-re felkészülés szintjei; mely területeken kell az európai uniós és a magyar jogszabályoknak megfelelően cselekedni.
Ne kockáztassuk a büntetést!
A kiberbiztonságért az adott szervezeten belül felelős személynek is van feladata. Fel kell vennie a kapcsolatot a már említett SZTFH-val, egyeztetni a teendőkről, és jelenteni az elért eredményeket. Kellő kapacitás híján az auditra való felkészüléshez külső partnerhez kell fordulni. Az informatikai üzemeltetés tekintetében kiszervezett tevékenységeket ugyancsak be kell vonni a NIS2 bevezetésébe.
Egy szervezet informatikai biztonsági érettségi szintjét a benne dolgozók témához viszonyulása határozza meg. Elkerülhetetlen a munkavállalók megszólítása, akiknél el kell érni, hogy részesévé akarjanak válni a fejlődési folyamatnak. A saját biztonságtudatosság növeléséből nem csak a vállalat, hanem az egyén is profitál. Az iroda falain kívül, napjaink hibrid munkaszervezésében általánosnak tekinthető távmunkában dolgozva ugyanis jelentősen megnő saját felelőssége.
A NIS2-nek való megfelelés tehát csak akkor lehet sikeres, ha az érintettek bevonásával, aktív részvétele mellett zajlik. Érdemes időben elkezdeni a felkészülési folyamatot, mivel az ideális és optimális védelem kiépítése kompetencia- és erőforrásigényes feladat. Elmulasztása pedig komoly büntetést von maga után: a hatósági bírságok nem megfelelés esetén több milliárd forintra is rúghatnak.
Ez a cikk független szerkesztőségi tartalom, mely a 4iG támogatásával készült.
Részletek »
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak