NIS2 megfelelés – Ne pánikprojekt legyen, hanem működő kiberbiztonsági rendszer
A NIS2 irányelvnek való megfelelés sok szervezetnél „EU-s kötelező körként” jelenik meg, pedig valójában ennél jóval több: egy olyan kiberbiztonsági megfelelési keretrendszert követel meg, amelynek célja, hogy a szervezetek ellenállóbbak legyenek a kibertámadásokkal szemben, és ne csak incidens után kezdjenek kapkodni. A NIS2 egyik legfontosabb üzenete, hogy a kiberbiztonság többé nem kizárólag IT-kérdés, hanem vezetői felelősség, amely kockázatkezelést, folyamatkontrollt, beszállítói lánc felügyeletet és incidenskezelési felkészültséget is jelent.
A felkészülés első lépése mindig az, hogy tisztázd, a szervezet érintett-e, és ha igen, milyen kötelezettségi körbe tartozik (alapvető vagy fontos szervezet). Ezt követi a rendszerek és informatikai vagyonok áttekintése, a kockázatok felmérése, a szükséges védelmi intézkedések kialakítása, majd a megfelelés auditálható bizonyítékainak felépítése. A NIS2 megfelelésben tipikus fókuszpont az információbiztonsági szabályozás, a jogosultságkezelés, az incidenskezelés, az üzletmenet-folytonosság, illetve a beszállítók kiberkockázatainak kezelése.
NIS2 témájú cikkeiben részletesen bemutatjuk a kötelezettségi besorolás gyakorlati értelmezését, a kockázatkezelési és dokumentációs keretrendszer felépítését, az incidens-bejelentési és reakciófolyamatokat, valamint az audit- és hatósági felkészülés legjobb gyakorlatait.