NIS2: ki feleljen a biztonságért?

Az érintett szervezeteknek már nincs sok idejük eldönteni, hogy ki legyen a NIS2 égisze alatt az információbiztonsági vezetőjük.
 

Előzetes becslések szerint a NIS2 (Network Information System v2) irányelv hatálya alá 2500-3000 hazai társaság kerül. Az érintett cégeknek 2024. június 30-ig kell regisztrálniuk a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZFTH). Ennek során adminisztratív és technikai jellegű cégadatok megadása mellett az információs rendszerek biztonságáért felelős személy (IBF) adatait és elérhetőségét is fel kell tüntetni. Kóczé Péter, a Grant Thornton cég digitális üzletágának vezetője segített átgondolni, hogy milyen szempontokat mérlegeljenek az érintett szervezetek.

IBF: Ki legyen a felelős?

Az SZFTH-regisztráció során az egyik kérdés az IBF kijelölése.

"Meglátásunk szerint a nemzetközi hátterű cégek számára még úgy is nehéz ez a döntés, hogy a "Kibertan-törvény" nem fogalmaz meg semmilyen konkrét elvárást és követelményt a kijelölt felelős személyével kapcsolatban, valamint kimondottan lehetővé teszi a pozíció betöltését akár külső szakértő bevonásával is"

- mondta Kóczé Péter.

Az információbiztonsági felelős kiszervezése elsőre racionális megoldásnak tűnhet akkor, amikor házon belül nem állnak rendelkezésre a pozíció betöltéséhez szükséges szakmai ismeretek vagy erőforrások. A tapasztalatok egyébként azt mutatják, hogy sok vállalatnál belső munkatársak közül regisztrálnak valakit az SZTFH űrlapján információbiztonsági felelősként.

Miért felel az IBF?

A kiberbiztonsági események rendszerint a cégek adatvagyonának megszerzésére irányulnak. Az incidensek súlyosságát tovább növeli, hogy sok esetben a lopási kísérlet következtében a szolgáltatás teljes/részleges leállásával vagy akár a teljes üzleti tevékenység felfüggesztésével is számolni kell, ami jelentős, esetenként akár katasztrofális következményekkel is járhat egy vállalatra nézve. 

"A NIS2 újdonsága abban rejlik, hogy az érintett vállalatok rá lesznek kényszerítve arra, hogy folyamatosan fejlesszék kibervédelmi képességeiket, amihez a jogszabály megkísérel egy közösségi szinten egységes sztenderdet biztosítani"

- véli Kóczé Péter. 

Az IBF egyik fontos feladata pedig az, hogy a kötelezően alkalmazandó információbiztonsági intézkedések a fenyegetettségekkel összhangban kerüljenek kialakításra, valamint a rendelkezésre álló büdzsé kereteibe is beleférjenek.  

A belső információbiztonsági felelősnek az üzlet egészét kell figyelembe vennie, amikor a fenyegetettségre adott válaszokról gondolkozik, és amikor a helyi IT-csapattal, az üzleti területek vezetőivel, a jogászokkal, a központi (külföldi) irányítással vagy éppen az SZTFH-val működik együtt.

Az IBF feladata a kiberbiztonsági események kockázatának csökkentése, valamint az azok felfedezéséig eltelt idő lerövidítése is. 

Magyar cégnek magyar NIS2

Annak ellenére, hogy a NIS2 egy EU-s irányelv, és célja egy egységes, közös kiberbiztonsági keretrendszer, illetve védelmi szint megalkotása, a tagállamok nem azonos ütemezésben és nem teljesen egységes tartalommal ültetik azt át saját jogrendjükbe.

Egy magyar leányvállalat belső információbiztonsági felelősének képben kell lennie a hazai NIS2-szabályozás specialitásaival, hogy ezeket is képviselni tudja a globális szinten menedzselt információbiztonsági irányítási rendszer kialakítása és adaptálása során.

A magyarországi illetékességű vállalatok megfelelőssége minden esetben a magyar jogszabályok, végrehajtási rendeletek és módszertani útmutatók alapján, magyar nyelven és magyar auditorok révén kerül majd minősítésre. A felkészülés így minden esetben igényli a hazai operáció aktív közreműködését.

Mi helyzet az IT-vezetővel?

Nemzetközi hátterű vállalatcsoportokban egy meglehetősen összetett felelősségi kör vár az információbiztonsági felelősökre, ezért annak teljes kiszervezése nem mindenhol bizonyulhat hatékony megoldásnak. 

Ezeknél a társaságoknál célszerűnek tűnhet a helyi megfelelősségi vezető képességeinek és erőforrásainak bővítése annak érdekében, hogy koordinálni tudja a NIS2 által támasztott új megfelelési elvárásokra való felkészülést. Ez külső tanácsadók és szakértők igény szerinti bevonásával is történhet.

Egy megfelelési vezető helyismerete, meglévő csatornái és elfogadottsága a helyi IT-csapat, a központi IT-irányítás, az üzleti területek és a menedzsment részéről olyan előnyöket jelentenek, amelyekre szükség lesz a NIS2-re hangolt információbiztonsági irányítási rendszer bevezetése során. 

Az IT meghatározó szereplője lesz a változásoknak, de a többi területhez hasonlóan sok szempontból végrehajtó szerepben marad. Emiatt sem szerencsés az IT és az információbiztonsági vezetői pozíciók összekapcsolása.

A szakmai mentorálás jó irány lehet

A NIS2 folyamatos fejlődést követel meg a vállalatoktól a kibervédelmi képességek terén. Ennek során egy hatékonyan működtethető és stabilan auditálható információbiztonsági rendszert kell kialakítaniuk. Ahhoz, hogy a megbízott vezető sikerrel járhasson, nemcsak a nemzetközi és a hazai szabályozásokat, hanem a vállalat belső folyamatait és működését is megfelelő mélységben ismernie kell. 

"Azt gondoljuk, hogy ez megnehezítheti a NIS2 felkészítés teljes körű kiszervezését, és inkább a belső kompetenciák fejlesztésének irányában tolhatja el a cégeket. A megfelelő mentorálás hozzásegítheti a megfelelési vezetőket az új követelményekhez való alkalmazkodáshoz"

- zárta gondolatait Kóczé Péter.