Hogyan tovább a NIS 2 GAP elemzés után?

gaputan.webp

 

 

Tegyük fel, hogy a NIS 2 rendelet szerinti hiányosság-elemzés elkészült. Mi a következő lépés?

Hát, ha jó a gap elemzés, akkor annak ezt tartalmaznia kellene…

Azaz, a gap elemzést egy cselekvési tervvel lenne jó zárni, összeírva, hogy mik a feltárt hiányosságok.

Ezt a cselekvési tervet a cégvezetéssel egyeztetve lehet pontosítani, meghatározni a prioritásokat, végrehajtási ütemezést, erőforrásokat.

Az alábbi lépések következHETnek például a megfelelőség elérése és a biztonsági szint javítása érdekében:

  1. Eredmények áttekintése és priorizálás
  • Elemzés megbeszélése: A GAP elemzés eredményeinek prezentálása a vezetőség és érintett felek számára.
  • Hiányosságok rangsorolása: A feltárt eltérések priorizálása a kockázati szintjük alapján. Fontosabbá válnak azok az eltérések, amelyek:
    • Nagy kockázatot jelentenek az üzletmenetre vagy adatbiztonságra.
    • Jelentős jogi vagy pénzügyi következményekkel járhatnak.
    • Rövid távon javíthatók („quick win”).
  1. Cselekvési terv kidolgozása
  • Részletes tervezés: A GAP elemzés alapján részletes terv készítése szükséges a hiányosságok megszüntetésére. Ez magában foglalja a:
    • Konkrét tevékenységeket.
    • Felelősök kijelölését.
    • Ütemterv meghatározását.
    • Költségvetés becslését.
  • Fókuszterületek: Tipikus fókuszterületek lehetnek:
    • Incidenskezelési eljárások fejlesztése.
    • Biztonsági szabályzatok és protokollok frissítése.
    • Alkalmazottak képzése a kiberbiztonság és a NIS 2 előírások terén.
    • Technológiai fejlesztések, például monitoring rendszerek telepítése.
  1. Hiányosságok megszüntetése
  • Technológiai fejlesztések:
    • Olyan eszközök vagy eljárások alkalmazása, amelyek segítenek a hálózati és informatikai rendszerek védelmében (pl. tűzfalak, SIEM rendszerek, behatolás-észlelő eszközök).
    • Rendszerarchitektúra frissítése, hogy megfeleljen a NIS 2 elvárásoknak.
  • Szervezeti változtatások:
    • A szervezeten belüli kiberbiztonsági tudatosság növelése.
    • Világos és egyértelmű felelősségi körök és hatáskörök kijelölése, esetleges összeférhetetlenségek megállapítása, kezelése.
    • Adatkezelési és incidenskezelési eljárások módosítása, fejlesztése.
  • Dokumentáció és szabályzatok:
    • Szabályzatok a hálózati biztonság, incidenskezelés, adatvédelem és megfelelőség terén.
    • Naprakészre hozni minden kapcsolódó dokumentációt.
  1. Képzés és tudatosság növelése
  • Célzott képzések: képzések a munkavállalók számára az incidenskezelési protokollokról, az információbiztonsági alapelvekről és a NIS 2 előírásokról.
  • Szimulációs gyakorlatok:
    • kiberbiztonsági incidensek szimulációja a felkészültség tesztelésére.
    • az esetleges gyengeségek azonosítása, a reakcióképesség javítása.
  1. Tesztelés és ellenőrzés
  • Megfelelőség ellenőrzése: a javító intézkedések hatékonyságának rendszeresen értékelése.
    • belső auditok vagy független ellenőrzések.
    • megfelelőségi ellenőrző listák a NIS 2 kritériumai alapján.
  • Incidenskezelési tesztelés:
    • az incidenskezelési tervek rendszeres tesztelése és frissítése.
  1. Folyamatos nyomon követés és fejlesztés
  • Kockázatértékelés folytatása: Rendszeres kockázatelemzés, hogy az újonnan felmerülő fenyegetéseket kezelni lehessen.
  • Technológiai frissítések:
    • Az IT infrastruktúra folyamatos fejlesztése.
  • Jogszabályi változások követése: a NIS 2 irányelvhez kapcsolódó változások nyomon követése, és a kapcsolódó folyamatokat megfelelő módosítása.
  1. Hivatalos jelentés és hatósági kapcsolattartás
  • Jelentési kötelezettségek: felkészülés a NIS 2 irányelv által előírt incidensjelentési kötelezettségekre, kommunikációs csomagok kidolgozása.
  • Kapcsolattartás a hatóságokkal:
    • Kapcsolattartás a releváns szabályozó hatóságokkal (NKI, SZTFH, NAIH, stb.).
    • Felkészülés a kapcsolódó auditokra és ellenőrzésekre.

Nagyjából ezek a lépések biztosítják, hogy a szervezet nemcsak megfeleljen a NIS 2 rendelet előírásainak, hanem képes legyen folyamatosan fenntartani a magas szintű kiberbiztonsági állapotot.

nuce.hu