A NIS 2 irányelvre való felkészülés minden szervezetre más, egyedi, cég-specifikus, de talán a következők lehetnek a leggyakoribb lépések:

Felmérés és megfelelőség megértése: Értékelni a vállalat aktuális megfelelőségi szintjét a NIS 2 irányelvvel kapcsolatban. Ez a jogi követelmények áttekintése mellett annak megértését is jelenti, hogy mely kritikus infrastruktúrák érintettek, és milyen adatvédelmi, kiberbiztonsági intézkedések szükségesek.

1. Célkitűzések meghatározása: Kitűzni a (reális!) célokat a megfelelés érdekében, beleértve az adatbiztonságot, a kiberbiztonsági kockázatok csökkentését, és az incidenskezelés javítását.
2. Részletes kockázatelemzés készítése: Azonosítani a lehetséges sebezhetőségeket és fenyegetéseket, amelyek befolyásolhatják az IT rendszereket és az adatbiztonságot. Az elemzés segít meghatározni azokat a területeket, ahol nagyobb védelem szükséges.
3. Biztonsági protokollok és irányelvek frissítése: Gondoskodni arról, hogy a jelenlegi protokollok megfeleljenek a NIS 2 követelményeinek. Az irányelv megköveteli a magas szintű védelmi intézkedések alkalmazását, ideértve a hozzáférés-szabályozást, titkosítást, és adatbiztonságot.
4. Képzések szervezése: Érdemes oktatásokat tartani az alkalmazottak számára a NIS 2 előírásairól és az új biztonsági intézkedésekről. Az emberi tényező fontos, mert a legtöbb kibertámadás belső hibák miatt sikeres.
5. Incidenskezelési terv kidolgozása: A NIS 2 megköveteli az incidenskezelésre vonatkozó terv meglétét, ami tartalmazza a bejelentési kötelezettségeket is. Világos, érthető folyamatot kell kialakítani, amelyek segítségével azonnal reagálni lehet egy támadásra.
6. Beszállítók ellenőrzése: A NIS 2 egyik újítása, hogy az érintett beszállítóinknak is meg kell felelniük a rendeletnek. 2023. évi XXIII. trv.: 8. Alapvető követelmények, 19. § (4) „Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a (3) bekezdés szerinti követelményeknek a közreműködő esetében is teljesülniük kell.”
7. Folyamatos monitorozás és auditálás: Elő kell készíteni a rendszeres auditálás és a biztonsági rendszer folyamatos monitorozásának folyamatát. A NIS 2 megköveteli a rendszerek folyamatos felügyeletét a potenciális fenyegetések és rendellenességek észlelésére.
8. Kommunikációs protokollok kidolgozása: Biztosítani, hogy a belső és külső kommunikáció egyértelmű és gyors legyen az esetleges incidensek és események kezelése során.

nuce.hu

A NIS 2 irányelvnek való megfelelés előkészítésének költsége számos tényezőtől függ, mivel a jogszabályi megfelelés sokrétű feladatokat igényel. Az alábbiakban összefoglaljuk a legfontosabb tényezőket, amelyek befolyásolhatják a felkészítés árát:

1. Szervezet mérete és tevékenységi köre: A nagyobb szervezeteknél több adatot, eszközt és infrastruktúrát kell védeni, így a felkészítés költségei is magasabbak lehetnek. Az iparági kockázat, például a pénzügyi szektor vagy kritikus infrastruktúra esetében, különleges követelményeket támaszthat.

2. Jelenlegi IT-biztonsági érettségi szint: Ha egy szervezetnek már jól kiépített kiberbiztonsági rendszerei vannak, akkor kevesebb erőforrást kell befektetni az alapok kialakítására. Az érettségi szint megállapítása audit segítségével történik, amely feltárja a jelenlegi helyzetet és hiányosságokat.

3. Compliance követelmények és kockázatelemzés: A NIS 2 szabályozás megfelelési követelményei eltérőek lehetnek az adott szervezet kockázati profilja alapján. Egy alapos kockázatelemzés azonosítja a legfontosabb fenyegetéseket, és segít meghatározni azokat a területeket, ahol a legnagyobb szükség van fejlesztésekre.

4. Biztonsági technológiák és megoldások: A megfelelő eszközök és technológiák telepítése, például tűzfalak, behatolásérzékelő rendszerek, SIEM rendszerek, vagy akár mesterséges intelligencia alapú elemzők, jelentős költséget jelenthetnek.

5. Szabályozások és házirendek frissítése: A NIS 2 követelményeinek megfelelő új szabályzatok és eljárások kidolgozása is erőforrásokat igényel, különösen, ha a szervezetnél eddig nem voltak kifinomult belső szabályozások.

6. Személyzet képzése: A szervezet munkavállalóinak kiberbiztonsági képzése is a felkészítés része. Ez biztosítja, hogy mindenki tisztában legyen a szabályokkal, és felismerje a kockázatokat.

7. Folyamatos monitorozás és tesztelés: A megfelelés nem egyszeri feladat, folyamatos kiberbiztonsági monitoring és rendszeres sérülékenységi tesztek szükségesek. Az ilyen típusú állandó felügyelet rendszeres költségeket jelenthet, akár belső, akár külső szolgáltatót alkalmaznak.

A konkrét költségek ezért jelentősen eltérhetnek, és a felkészítés terjedelmétől függően alakulhatnak: a kisebb szervezetek számára milliós nagyságrendű, míg a nagyvállalatok számára akár sok millió forintos költségekkel is járhat a felkészülés.

nuce.hu 

A NIS 2 irányelvnek való megfelelés előkészítése fontos és összetett folyamat, amely megköveteli, hogy az adott cég rendelkezzen a szükséges szakértelemmel és tapasztalattal az információbiztonsági és kiberbiztonsági szabályozások terén.

A legfontosabb szempontok, amelyek alapján érdemes kiválasztani a megfelelő partnert:

1. Tapasztalat és referenciák: A cég korábbi munkái, referenciái, valamint az iparág-specifikus tapasztalatok sokat elárulnak a kompetenciáiról. Rá lehet kérdezni, hogy dolgoztak-e már NIS 1 vagy más biztonsági szabályozásoknak való megfeleléssel.
2. Szaktudás és minősítések: Meg kell győződni arról, hogy rendelkeznek a NIS 2 megfeleléshez szükséges tanúsítványokkal, pl. CISA, ISO/IEC 27001 vagy más információbiztonsági és kiberbiztonsági minősítésekkel, valamint naprakész információkkal és képzésekkel.
3. Személyre szabott megközelítés: A cég rugalmassága és képessége az egyedi igényekhez igazodó megoldások nyújtására kiemelten fontos. Az NIS 2 előírások eltérő hatással lehetnek különböző szervezetekre, így fontos, hogy a szolgáltató odafigyeljen a megrendelőre és jól megértse az adott vállalat igényeit és környezetét.
4. Komplett szolgáltatások és technológiai háttér: Az ideális partner képes teljes körű támogatást nyújtani az előkészületek, az auditok, a megfelelőségi dokumentációk elkészítése, valamint a kiberbiztonsági folyamatok implementálása és folyamatos felügyelete terén.
5. Compliance és jogi háttértámogatás: A NIS 2 irányelv számos jogi előírást és megfelelőségi követelményt támaszt, így érdemes olyan partnert választani, aki nemcsak a technológiai, hanem a jogi háttérben is otthonosan mozog, vagy akár jogi szakértőket is bevon.
6. Támogatás és karbantartás: Olyan céget kell keresni, aki a megfelelőség elérése után is kínál támogatást, folyamatos auditokat, és biztosítja a rendszeres frissítéseket, hogy a rendszer mindig megfeleljen a legfrissebb követelményeknek és fenyegetéseknek.
7. Erőforrás: Sok olyan tanácsadó cég jelenik most meg a hazai NIS 2 piacon, aki sok alkalmazottal rendelkezik, vagy akár audit szoftveres támogatást is nyújt, de érdemes rákérdezni a valódi terheltségükre, a kapcsolódó kapacitásaikra, előre megbecsülni a megbízóra fordított valódi figyelmet, mert az érdemi munka során ezek nagyon jelentős különbségeket tudnak eredményezni a munka minőségében és hatékonyságában.

Ezen szempontok figyelembevételével lehet találni olyan partnert, aki valóban hozzá tud járulni a hatékony és átfogó NIS 2 felkészüléshez.

nuce.hu