Újra a nyakunkon vannak a regisztrációt követő további feladatok: az érintett cégeknek 2024. október 18-tól alkalmazniuk kell a védelmi intézkedéseket, majd 2024. december 31-ig meg kell kötniük a szerződést a kibervédelmi auditorral.
Összefoglalónk célja, hogy felhívjuk a cégek figyelmét arra, hogy a következő hónapokban mire érdemes összpontosítaniuk:
- Kockázatmenedzsment keretrendszer létrehozása
A keretrendszer létrehozásának célja, hogy az elektronikus információs rendszerek védelmével kapcsolatos feladatok, felelősségek, hatáskörök és stratégiák megfelelő keretet kapjanak a felmerülő feladatok folyamatos kezeléséhez. Ez magában foglalja a szervezeti szintű kockázatértékelés mellett az IT rendszerek biztonsági kockázatértékelését is, és a rendszerekkel kapcsolatos egyes elemek dokumentálását (pl. üzleti funkciók, érintett vagyonelemek, felelős személyek, IT rendszer szervezeti és technológiai korlátai, érintett adatkör, rendszer helye a szervezeti architektúrában stb.). A jövőbeli kockázatmenedzsment keretrendszer kialakításához fontos feladat, hogy az érintett szervezet teljeskörűen feltérképezze a jelenlegi folyamatait.
- Biztonsági osztályba sorolás
A biztonsági osztályba sorolás kulcsfontosságú, hiszen ettől függ, hogy milyen erősségű védelmi intézkedéseket kell majd az adott információs rendszerhez társítani.
A hibás besorolás túlzó vagy elégtelen védelmi intézkedés alkalmazását eredményezheti. Optimális besorolás esetén az információs rendszerek védelmére fordított kiadásoknak arányosnak kell lenniük a felmerülő kockázatokkal.
- Védelmi intézkedések kiválasztása
A biztonsági besorolás alapján kell kiválasztani a megfelelő védelmi intézkedéseket. A szabályozás alapján a védelmi intézkedések száma – a besorolástól függően – 164 és 385 között mozoghat. Ugyanakkor, ha a szervezet eddig is alkalmazott ISO vagy hasonló, nemzetközileg szabványosított intézkedéseket, úgy csak a hiányzó területeket kell majd beazonosítani.
Ebben a fázisban az érintett cégeknek akciótervet kell készíteniük, amely tartalmazza a jelenlegi hiányosságokat, fejlesztési javaslatokat és az újonnan bevezetendő védelmi intézkedéseket.
- Auditorral történő szerződéskötés
Az érintett cégeknek legkésőbb 2024. december 31-ig meg kell kötniük a szerződést a kiválasztott auditorral. Olyan auditort kell választani, aki szerepel az SZTFH honlapján az auditorok listájában, valamint a cég biztonsági besorolási szintjéhez („alap”, „jelentős” vagy „magas”) is igazodnia kell, azaz annak a szintnek megfelelő tanúsítvánnyal kell az auditornak rendelkeznie.
Összegezve a soron következő házi feladatok magukban foglalják a keretrendszer kialakítását, a biztonsági osztályba sorolást, a védelmi intézkedések kiválasztását. Ezenfelül érdemes árgus szemekkel figyelni az SZTFH auditor nyilvántartását, hogy a szerződés a nyilvántartásban szereplő auditorral mielőbb megköthető legyen.
Ma már a szabályozás egyes részletei is ismertek, a hatóság pedig augusztusban megjelentette a követelménykatalógussal kapcsolatos részletes alkalmazási útmutatóját is.
Érdemes mielőbb megkezdeni a felkészülést, hiszen sok a teendő, a határidők szűkösek, a piaci kapacitás pedig korlátozott.
Miben tudunk segíteni?
A NIS2 megfelelőségi projekt az információbiztonsági támogatás mellett jogi támogatást is igényel. Irodánk jogi támogatása a teljes NIS2 megfelelési folyamatra kiterjed:
- Általános tanácsadást nyújtunk a kiberbiztonsági jogi követelményekről
- Rendszeres tájékoztatást adunk az új jogi fejleményekről
- Elvégezzük az információs rendszerekkel kapcsolatos beszállítói szerződések felülvizsgálatát
- Elvégezzük az új folyamatokra vonatkozó szabályzatok előkészítését
- Megtartjuk a jogszabályi követelményekkel kapcsolatos tréningeket
- Tanácsot adunk az auditor kiválasztásával kapcsolatban
- Biztosítjuk az ellenőrzési követelménylisták (checklist-ek) koordinációját
- Szükség esetén nemzetközi együttműködéseink hálózatán keresztül támogatást nyújtunk más uniós országok követelményeinek való megfeleléshez.