NIS2 megfelelés Információbiztonsági szolgáltatások

A NIS2 10 kulcsfontosságú elemet tartalmaz, amelyeket minden vállalatnak kezelnie vagy végrehajtania kell az általuk hozott intézkedések részeként, beleértve az incidensek kezelését, az ellátási lánc biztonságát, a sebezhetőség kezelését és nyilvánosságra hozatalát, a kriptográfia használatát és adott esetben a titkosítást. Az alábbiakban összefoglaljuk, hogy milyen szempontrendszeren kell egy érintett szervezetnek végigmennie.

• IBIR – A szervezeteknek Információbiztonsági irányítási rendszert kell kialakítani.
• Kockázatelemzésen alapuló védelmi intézkedéskedéseket kell meghozni.
• Követelmény az EIR biztonsági oszályba sorolás.
• Rendszeres auditot kell eszközölni a NIS2, Kibertantv. hatálya alá tartozó szereplőknél.
• Incidens esetén jelenléti, bejelentési kötelezettséget ír elő.
• A NIS2 meghatározza, hogy a felsővezetést elszámoltathatóvá kell tenni: meghatározza a vezetői felelősségrevonást IT biztonsági mulasztás esetén.

Ki értintett a NIS2 kapcsán?

A NIS2 alapvetően 2 szempont szerint rendezi az érintett szervezeteket: tevékenységi körük/ágazati besorolásuk és nagyságuk/szervezeti méretük szerint.

A Kibetantv. III. Fejezet 7. rész 17. paragrafusa kitér az összes olyan szervezetre, akik a törvény hatálya alá tartoznak. Az itt található mellékletek tartalmazzák azokat a táblázatokat, amelyek alapján mindenki könnyen beazonosíthatja vonatkoznak e rá a NIS2 irányelv tartalmai, vagy sem. A törvény mellékletét képező táblázat ágazat, alágazat, szervezet lebontásban jelöli meg a hatályába tartozókat, amely alapján a szervezetek eldönthetik, hogy érintettek-e a törvény személyi hatálya szempontjából.

A vezető legfontosabb feladatai:

• ki kell nevezni egy olyan IBF-et (Információbiztonságért Felelős szakember), akinek feladatai között szerepel az IBIR működtetése
• meg kell határoznia/jóvá kell hagynia azokat a belső szabályokat, amelyek az elektronikus információs rendszerek felhasználóira vonatkoznak
• gondoskodnia kell a saját szervezet dolgozóinak információbiztonsági edukációjáról és ismereteik szintentartásáról
• auditorral kell szerződnie
• felügyelnie kell a harmadik feleket.

• Ismerjük szervezetünk felkészültségi szintjét. Ha nincs dedikált felelős szervezetünkben, szervezzük ki sürgősen ezt a feladatot, hiszen a legfontosabb pont, ahonnan építkeznünk kell.
• Nevezzük ki az IBF-et (lehet belsős és külsős is a törvény szerint). A határidők és a szűkös kapacitás belsős IBF mellett is indokolttá tehetik a külső segítséget.
• Legyen IBIR! Az IBIR a szervezet működését sokkal strukturáltabbá, transzparensebbé teszi és a proaktív működést szorgalmazza, nem pedig a hibaelhárítást.
• Végezzünk kockázatelemzést úgy, hogy abba bevonjuk az ellátási láncban szereplőket is (beszállítók, harmadik felek).
• Figyeljük különösen azokra a harmadik felekre, akik infokommunikációs termékekkel, folyamatokkal, vagy szolgáltatásokkal támogatják szervezetünket.
• Ha felmértük a hiányosságokat, pótoljuk, ami még hátra van.
• Építsük ki védelmi rendszerünket az előző pontokban elvégzett feladatok eredényeinek mentén.
• Számoljunk azzal, hogy kell legyen üzletfolytonosság menedzsmentünk. Ha eddig nem volt ilyen rendszerünk, akkor szervezzük ki, hogy a felkészülés folyamatában ne terheljük ezzel a szervezeten belüli belsős felelőst. Ez egy adott időkeretben megolható feladat, ne pazaroljuk belsős erőforrásainkat rá a felkészülés rövid időszakában.
• Mérjük fel, hogy megfelelő-e a jártasságunk incidensmenedzsmentben (folyamat kialakítása + annak implementálása + jelentési kötelezettség). Ha úgy véljük nem, ez külsős felek számára szintén kiszervezhető.
• Ha csak bizonyos védelmi megoldásaink vannak cégen belül, de azok nem tudatosak, nincs felelősük, nincs dokumentálás, akkor nem megfelelő a felkészültségünk.