NIS2: kinek és mire kell figyelnie?
Az EU új kiberbiztonsági irányelve a hazai cégek széles körét érinti. Összeszedtük, hogyan derítsd ki, vonatkozik-e rád, és mi az első teendő.
A NIS2 irányelv jelentősen kibővíti a korábbi szabályozás hatókörét: ma már számos ágazat közepes és nagy szervezeteit lefedi — energia, egészségügy, gyártás, közlekedés, digitális szolgáltatások, közigazgatás —, valamint a kulcsbeszállítóikat is.
Mit ír elő a gyakorlatban?
A technikai intézkedéseken túl a NIS2 dokumentált kockázatkezelést, határidőn belüli incidensbejelentést, ellátásilánc-biztonságot és — fontos újdonságként — vezetői szintű felelősséget vár el. A megfelelés nem egyszeri projekt: fenn kell tartani és bizonyíthatónak kell lennie.
Milyen határidőkre kell figyelni?
A tagállamoknak a NIS2-t nemzeti jogba kellett ültetniük, a hatálya alá tartozó szervezeteknek pedig regisztrálniuk kell az illetékes hatóságnál, és igazolniuk a biztonsági intézkedések meglétét. A késlekedés kockázata kettős: egyrészt bírság, másrészt — ami gyakran súlyosabb — egy valós incidens, amelyre a szervezet felkészületlen.
Hogyan kezdj neki?
A legjobb kiindulópont egy őszinte helyzetfelmérés: mely rendszerek kritikusak, hol vannak a mentések, ki fér hozzá mihez, és mi történik egy incidens esetén. Ebből áll össze a hiánylista, amelyet prioritás szerint, lépésenként dolgozunk le — nem egyszerre, hanem fenntartható ütemben.
A megfelelés nem a papírmunkáról szól, hanem arról, hogy egy valós támadás esetén a cég gyorsan és bizonyíthatóan tud reagálni. A jól felépített NIS2-megfelelés mellékterméke egy stabilabb, kiszámíthatóbb IT.
- Ellenőrizd, alapvető vagy fontos szervezet vagy-e.
- Kezdd egy hiányelemzéssel az elvárásokhoz képest.
- Kezeld a megfelelést folyamatos, dokumentált feladatként.