Mit is jelent pontosan a NIS 2 szerinti GAP elemzés?

nuce_gap.jpgA NIS 2 felkészülés első lépéseként jellemzően a „GAP elemzést” szokták javasolni, de mi is ez pontosan?

A NIS 2 irányelv szerinti GAP elemzés egy módszertan, egy olyan munka amely segít azonosítani az adott szervezet jelenlegi megfelelőségi szintjét az Európai Unió új, kiberbiztonsági követelményeket meghatározó NIS 2 irányelvével szemben.

A GAP elemzés lényege, hogy feltárja az eltéréseket (angolul: gaps) a szervezet jelenlegi gyakorlatai és a rendelet által előírt követelmények között. Ez a folyamat előkészíti a szükséges megfelelőségi intézkedések végrehajtását.

Konkrét lépések a NIS 2 szerinti GAP elemzéshez:

  1. Szervezet tevékenységi körének elemzése
  • Eldönteni, hogy a szervezet a NIS 2 által érintett szektorok és szolgáltatások (pl. alapvető szolgáltatások, kritikus infrastruktúrák, digitális szolgáltatók) közé tartozik-e. Ehhez több helyen, például a hatósági oldalon is találunk segítséget.
  • Azonosítani a releváns kritériumokat, például méret (KKV vagy nagyvállalat), tevékenységi kör, kockázati profil.
  1. NIS 2 követelmények feltérképezése
  • Az irányelv elvárásai:
    • Kockázatkezelési elvárások: Biztonsági irányítás, incidenskezelés, kiberhigiénia.
    • Szabályozási követelmények: Jelentési kötelezettségek, auditálás.
    • Műszaki és szervezeti intézkedések: Például hálózati biztonság, adatszivárgás megelőzése, incidensérzékenység.
  1. Jelenlegi állapot felmérése
  • Meg kell vizsgálni a meglévő biztonsági és kockázatkezelési folyamatokat, technológiákat, és irányelveket.
  • Fel kell mérni, hogy a meglévő szabályozások (pl. IBSZ, BCP/DRP, GDPR, ISO 27001) mennyire támogatják a NIS 2 megfelelést.
  1. Eltérések (GAP-ek) azonosítása
  • A fenti munkák után össze lehet vetni a meglévő állapotot a NIS 2 követelményekkel.
  • Azonosítani kell a hiányosságokat mind technológiai, mind szervezeti szinten (pl. hiányzó biztonsági szabályzatok, nem megfelelő incidenskezelési folyamatok).
  1. Kockázatelemzés
  • Prioritás szerint kell osztályozni az azonosított eltéréseket a kockázati hatásuk és valószínűségük alapján.
  • El kell dönteni, mely területek igényelnek azonnali beavatkozást.
  1. Javító intézkedési terv kidolgozása
  • Fontos egy részletes akcióterv (cselekvési terv, ütemterv stb.) kidolgozása a hiányosságok megszüntetésére:
    • Felelősök kijelölése.
    • Határidők meghatározása.
    • Erőforrásigények kalkulálása.
  1. Kommunikáció és tudatosság növelése
  • Tájékoztatni kell az érintett vezetőket és csapatokat a GAP elemzés eredményeiről.
  • Képzéseket kell indítani a NIS 2 elvárásokról és az új folyamatokról. Nem egyet, hanem feladatkörönként/szerepkörönként, döntési szintenként, érintettségek alapján.
  1. Folyamatos nyomon követés
  • Rendszeres ellenőrzéseket és felülvizsgálatokat kell végezni, hogy biztosítani lehessen a megfelelő előrehaladást.
  • Folyamatos kockázatkezelési eljárásokat kell alkalmazni.
  • Különös tekintettel kell lenni a folyamatokba beépíthető, kockázatokkal arányos kontrollokra és az automatizálhatóságra.

Eredmény

A GAP elemzés végén világos képet lehet kapni arról, hogy milyen hiányosságok vannak a jelenlegi gyakorlatok és a NIS 2 megfelelési követelmények között, valamint konkrét lépések listája készül, amelyek szükségesek ezek áthidalásához.

Kiegészítő javaslatok

  • Érdemes külső tanácsadót bevonni, különösen akkor, ha a szervezet nem rendelkezik megfelelő belső szakértelemmel a NIS 2 megfelelés érdekében.
  • Kombinálni lehet természetesen a GAP elemzést más auditokkal (pl. GDPR, ISO 27001), a szinergiák kihasználása érdekében.

 

nuce.hu