NIS2: a messziről jött ember?

NIS2: a messziről jött ember?

A NIS2 a kiberbiztonság forró témája ma: örülnek neki a szállítók új piaci lehetőséget remélve; a szervezetek biztonsági szakemberei, hogy végre megkapják azt a figyelmet és vezetői támogatást, amit mindig is kértek, de eddig esetleg kockázatokkal arányosan nem kaptak meg; és a döntéshozók is próbálják kipuhatolni, hogy az egész „papírgyártással” kimozogható-e (esetleg egy kiberbiztonsági politika kiadásával?), vagy valami érdemit is tenni kell.

 

Miután vérmérséklettől függően mindenki kiörülte magát, vagy lehangolódott, egyre inkább arról kell beszélni, hogy tulajdonképpen mi változik (és mi nem), hiszen a NIS2 nem légüres térben jött létre, hanem nagyon is valós kockázatokra született jogalkotói válasz.

A NIS2 kapcsán sokszor a legfontosabb változásként a jelentős büntetési tételeket szokták említeni és a sokkal szélesebb alanyi hatályt. Így elsőre és távolról kézenfekvően merülhet fel a GDPR-ral való összevetés, hogy azt is viszonylag könnyen vette a világ, így itt is majd „magától” alakul. Azonban az IT oldaláról megközelítve fontos különbség, hogy a GDPR az adatbiztonsági kontrollokat csak rendkívül általánosan, leginkább a célok szintjén kezeli. Ezzel szemben a NIS2 jogszabályi szinten pontosan meghatározza azokat a területeket, ahol kockázatokkal arányos mértékben gondoskodni kell a kiberbiztonságról. Értő szem számára a használt nyelvezet alapján nem kérdés, hogy az előírásoknak való megfelelés a teljes IT-biztonsági szabályozói apparátust és arzenált igényelni fogja: egyfajta ISO27001 upgrade. Mivel a nap végén az összes már meglévő szabvány, jó gyakorlat, így vagy úgy kapcsolódik, a kontrollok párosíthatók. A különbség a hangsúlyokban és a struktúrában van. A kiberbiztonság kapcsán Alföldi Judit, a Tigra Kft. információbiztonsági üzletág vezetője három fontos hangsúlybeli változást emel ki:

– a kockázatok mérlegelésénél fokozottan figyelembe kell venni a tényleges támadói motivációkat, képességeket, a felkészült támadókkal is számolni kell;
– a kiberbiztonsági kockázatokat a szállítókra kiterjesztve kell értékelni.

Ami nem változik, hogy az informatikai biztonsági terület a szervezetek szintjén és országosan is erőforráshiányos területek, így a megnövekedett feladatokhoz szükséges plusz erőforrások bevonása nehéz feladat lesz, ami a megrendelőket és a szállítókat is kihívások elé állítja. A NIS2 alanyainak fel kell készülniük arra, hogy az iparági jó gyakorlathoz felfejlesszék a működésüket, kiegészítve az auditálhatósághoz szükséges adminisztráció megteremtésével és mindez az IT mellett az üzleti területek működésére is hatással lesz.

Elindulni a legnehezebb

 

Ha Ön a NIS2 által „veszélyeztetett” oldalon ül, akkor kezdje egy állapotfelméréssel a cél felállítása érdekében. Szerencsére ebben nagyon sok cég tud segíteni. „Mi, a Tigra Kft. szakemberei nagy örömmel és lelkesedéssel készülünk arra, hogy a NIS2 adta momentumot kihasználva biztonságosabbá tegyük a világot. Bízunk benne, hogy 1-2 év múlva erre az időszakra mint a jobb jövőre való felkészülés időszakára fogunk visszaemlékezni mindannyian”, mondta Alföldi Judit.

Alföldi Judit, a Tigra Kft. információbiztonsági üzletág vezetője

Arra lehet számítani, hogy a hiányzó belső erőforrásokat és speciális kompetenciákat a megrendelők fokozottan a szállítók igénybevételével próbálják meg majd lefedni. „Ez látszólag kényelmes helyzetet teremt a szállítói oldalon, ugyanakkor az auditálási kötelezettség miatt nagyobb szerepvállalást fognak a megrendelők elvárni a szállítóktól, ami nagyobb felkészültséget és felelősségvállalást fog megkövetelni”, véli az üzletágvezető. Az is valószínűsíthető, hogy a NIS2 nem fogja az IT-biztonsági költségvetéseket a sokszorosára növelni, el fog indulni egy adaptáció az új elvárásokhoz, de mindenképp szükség lesz a biztonsági kontrollok hatékonyságának fejlesztésére is. Alföldi Judit szerint „hangsúlyosabbá fog válni az ügyfelekért folyó versenyben a hatékonyság és ár-érték arány kérdése. Arra készülünk, hogy az ügyfelek a NIS2 kapcsán olyan IT-biztonsági, vagy mondjuk úgy, kiberbiztonsági megoldásszállítókat fognak keresni, akik minél több részfeladatban tudják a feladatok minél nagyobb szeletét elvinni.”