Újabb idei határidők a NIS2 megfelelésben!

NIS2
NIS2

Újabb idei határidők a NIS2 megfelelésben!

Újra a nyakunkon vannak a regisztrációt követő további feladatok: az érintett cégeknek 2024. október 18-tól alkalmazniuk kell a védelmi intézkedéseket, majd 2024. december 31-ig meg kell kötniük a szerződést a kibervédelmi auditorral. 

Összefoglalónk célja, hogy felhívjuk a cégek figyelmét arra, hogy a következő hónapokban mire érdemes összpontosítaniuk:

  1. Kockázatmenedzsment keretrendszer létrehozása

    A keretrendszer létrehozásának célja, hogy az elektronikus információs rendszerek védelmével kapcsolatos feladatok, felelősségek, hatáskörök és stratégiák megfelelő keretet kapjanak a felmerülő feladatok folyamatos kezeléséhez. Ez magában foglalja a szervezeti szintű kockázatértékelés mellett az IT rendszerek biztonsági kockázatértékelését is, és a rendszerekkel kapcsolatos egyes elemek dokumentálását (pl. üzleti funkciók, érintett vagyonelemek, felelős személyek, IT rendszer szervezeti és technológiai korlátai, érintett adatkör, rendszer helye a szervezeti architektúrában stb.). A jövőbeli kockázatmenedzsment keretrendszer kialakításához fontos feladat, hogy az érintett szervezet teljeskörűen feltérképezze a jelenlegi folyamatait.
  1. Biztonsági osztályba sorolás

    A biztonsági osztályba sorolás kulcsfontosságú, hiszen ettől függ, hogy milyen erősségű védelmi intézkedéseket kell majd az adott információs rendszerhez társítani.
    A hibás besorolás túlzó vagy elégtelen védelmi intézkedés alkalmazását eredményezheti. Optimális besorolás esetén az információs rendszerek védelmére fordított kiadásoknak arányosnak kell lenniük a felmerülő kockázatokkal.
  1. Védelmi intézkedések kiválasztása

    A biztonsági besorolás alapján kell kiválasztani a megfelelő védelmi intézkedéseket. A szabályozás alapján a védelmi intézkedések száma – a besorolástól függően – 164 és 385 között mozoghat. Ugyanakkor, ha a szervezet eddig is alkalmazott ISO vagy hasonló, nemzetközileg szabványosított intézkedéseket, úgy csak a hiányzó területeket kell majd beazonosítani.
    Ebben a fázisban az érintett cégeknek akciótervet kell készíteniük, amely tartalmazza a jelenlegi hiányosságokat, fejlesztési javaslatokat és az újonnan bevezetendő védelmi intézkedéseket.
  1. Auditorral történő szerződéskötés

    Az érintett cégeknek legkésőbb 2024. december 31-ig meg kell kötniük a szerződést a kiválasztott auditorral. Olyan auditort kell választani, aki szerepel az SZTFH honlapján az auditorok listájában, valamint a cég biztonsági besorolási szintjéhez („alap”, „jelentős” vagy „magas”) is igazodnia kell, azaz annak a szintnek megfelelő tanúsítvánnyal kell az auditornak rendelkeznie.

Összegezve a soron következő házi feladatok magukban foglalják a keretrendszer kialakítását, a biztonsági osztályba sorolást, a védelmi intézkedések kiválasztását. Ezenfelül érdemes árgus szemekkel figyelni az SZTFH auditor nyilvántartását, hogy a szerződés a nyilvántartásban szereplő auditorral mielőbb megköthető legyen.

Ma már a szabályozás egyes részletei is ismertek, a hatóság pedig augusztusban megjelentette a követelménykatalógussal kapcsolatos részletes alkalmazási útmutatóját is.

Érdemes mielőbb megkezdeni a felkészülést, hiszen sok a teendő, a határidők szűkösek, a piaci kapacitás pedig korlátozott.

Miben tudunk segíteni?

A NIS2 megfelelőségi projekt az információbiztonsági támogatás mellett jogi támogatást is igényel. Irodánk jogi támogatása a teljes NIS2 megfelelési folyamatra kiterjed:

  • Általános tanácsadást nyújtunk a kiberbiztonsági jogi követelményekről
  • Rendszeres tájékoztatást adunk az új jogi fejleményekről
  • Elvégezzük az információs rendszerekkel kapcsolatos beszállítói szerződések felülvizsgálatát
  • Elvégezzük az új folyamatokra vonatkozó szabályzatok előkészítését
  • Megtartjuk a jogszabályi követelményekkel kapcsolatos tréningeket
  • Tanácsot adunk az auditor kiválasztásával kapcsolatban
  • Biztosítjuk az ellenőrzési követelménylisták (checklist-ek) koordinációját
  • Szükség esetén nemzetközi együttműködéseink hálózatán keresztül támogatást nyújtunk más uniós országok követelményeinek való megfeleléshez.

Cikk megosztása:

Facebook
Twitter
Pinterest