A NIS2 projekt nem a szabályzatoknál kezdődik, hanem a rendrakásnál. A NIS2 felkészülés legnagyobb titka az, hogy nem ott kezdődik, ahol a legtöbben elindulnak. Nem a policy-knél, nem a szabályzatoknál, és nem az auditor kiválasztásánál. A megfelelés ott kezdődik, hogy rendbe teszed a scope-ot, a felelősségeket, a nyilvántartásokat és a bizonyíthatóságot. Ha ezt az első 1–4 hetet jól megcsinálod, akkor a további munka már nem kapkodás lesz, hanem kontrollált rendszerépítés. És innen kezdve a NIS2 nem egy ijesztő „compliance mumus”, hanem egy nagyon is menedzselhető projekt.
A megfelelés előkészítése 1–4 hét alatt – scope, felelősségek, leltárak és bizonyíthatóság
A NIS2-ről ma már mindenhol hallani, mégis sok cégnél ugyanaz történik: valaki kimondja, hogy „jön a NIS2”, erre a szervezet reflexből elkezd szabályzatokat gyártani, vagy az IT-t megkéri, hogy „rakjon rendet”. Aztán eltelik pár hét, rengeteg energiát beleölnek, de amikor elkezdenének auditálható működést építeni, hirtelen kiderül: még azt sem tisztázták rendesen, mi tartozik bele a hatályba, kik a felelősök, és hol vannak az alapnyilvántartások.
Pedig a NIS2 megfelelés előkészítése valójában nem a szabályzatoknál kezdődik, hanem a működés „alapjainak rendbetételénél”. Ezt úgy képzeld el, mint egy házépítést: ha nincs alapozás, hiába szép a tető. NIS2-nél ez az alapozás a scope, a felelősségek, a leltárak, és a legfontosabb: a bizonyíthatóság.
Ebben a cikkben egy olyan, a gyakorlatban bevált lépéssort mutatok meg neked, amit tipikusan 1–4 hét alatt össze lehet rakni, és amivel a szervezet valóban jó startpozícióba kerül. Nem a papírok miatt, hanem azért, mert így elkerülöd azt a klasszikus hibát, hogy később mindent újra kell gondolni.
A NIS2 megfelelés előkészítése: miért ezen bukik el sok projekt?
Azért, mert a NIS2 audit nem arról szól, hogy „van-e egy dokumentum”, hanem arról, hogy auditálhatóan működik-e a rendszer. És ehhez két dolog kell:
- tudni kell, mit auditálnak (scope),
- és azt is, hogy mivel tudod bizonyítani a működést (evidencia).
Ha ez a két elem nincs rendben, akkor hiába írsz szabályzatot, az auditnál úgyis kijön, hogy nincs alátámasztható működés.
1) Érintettség és besorolás tisztázása – compliance „go/no-go”
A NIS2 felkészülés legelső lépése mindig az, hogy tisztázzátok: érintettek vagytok-e, és ha igen, milyen szinten. Amíg ez nincs meg, addig minden további munka olyan, mint sötétben lövöldözni. Lehet, hogy eltalálod a célt, de nem érdemes erre alapozni.
A tisztázáshoz szükségetek lesz a legalapvetőbb cégadatokra, például a TEÁOR besorolásra, létszámra, árbevételre és telephelyi struktúrára. Ugyanilyen fontos, hogy pontosan értsétek, milyen szolgáltatásokat nyújtotok, és ezek közül mi számíthat kritikusnak vagy szabályozás szempontjából relevánsnak.
Ennek a lépésnek a kimenete az kell legyen, hogy egyértelműen meg tudjátok mondani: a NIS2 hatály alá estek-e, és el tudjátok indítani a hazai megfelelési logika szerinti biztonsági osztályba sorolás előkészítését.
2) Vezetői döntés és belső felelősök kijelölése – mert ez nem IT-feladat
A NIS2 egyik legfontosabb üzenete, hogy a kiberbiztonság nem IT-projekt, hanem vezetői felelősségű megfelelési rendszer. Éppen ezért a második lépésnek arról kell szólnia, hogy a vezetés formálisan és ténylegesen is felvállalja a projektet.
A gyakorlatban ehhez minimum kell egy vezetői sponsor (ügyvezető vagy igazgató), aki nem csak jóváhagy, hanem erőforrást is ad. Kell egy projektvezető is, aki végigviszi a felkészülést, és ez lehet compliance oldalról, IT oldalról vagy akár COO szintről is. Ha termelés van, akkor IT felelős mellé OT felelős is szükséges, mert a NIS2 valós kockázatainak jelentős része az OT rendszereknél él.
Emellett nagyon érdemes már az elején bevonni a jogot és beszerzést a beszállítói kontrollok miatt, valamint a HR-t az oktatás, beléptetés és kiléptetés folyamatok kezelése miatt. Ennek a lépésnek az eredménye legyen egy jóváhagyott felelősségi rend, például egy RACI mátrix formájában, mert ez fogja megelőzni a klasszikus „mindenki azt hitte, hogy más csinálja” helyzeteket.
3) EIR scope meghatározása – mit kell auditálni?
Ez a lépés a NIS2 felkészülés egyik legkritikusabb pontja. Egyszerűen azért, mert a scope nélkül nem tudod meghatározni sem azt, hogy mire írsz szabályzatot, sem azt, hogy hol kell kontrollt építened, sem azt, hogy milyen bizonyítékokat kell gyűjtened.
Itt kell összeállítani az Elektronikus Információs Rendszerek (EIR) listáját, és ez sokkal több, mint egy szerverlista. Ide tipikusan beletartoznak a kulcs üzleti rendszerek, például ERP, CRM, számlázás, továbbá az e-mail és identitás/jogosultság kezelés, a szerverek, munkaállomások, hálózati infrastruktúra, felhőszolgáltatások, mentési rendszerek, és ahol releváns, az OT/SCADA rendszerek is.
A scope meghatározás során érdemes külön ránézni a függőségekre is, vagyis arra, hogy melyik rendszer kiesése állítja meg a működést. A másik kulcsterület az adatkezelés: hol van személyes adat, hol van üzleti titok, hol van kritikus adat. Ennek a lépésnek a kimenete egy scope dokumentum és egy EIR nyilvántartás, amely később auditon gyakorlatilag alapanyagként szolgál.
4) Eszköz- és hozzáférés-leltár – az audit alapja
Ha van terület, ahol a NIS2 projektek a leggyakrabban elvéreznek, akkor az a leltár. Sok cég úgy gondolja, hogy „nálunk ez úgyis megvan az IT-nál”. Aztán kiderül, hogy valójában nincs egyetlen naprakész, összefüggő nyilvántartás sem.
Pedig az auditor nagyon hamar el fog jutni ide. Nem azért, mert szeret listákat nézegetni, hanem mert az alapkontrollok (jogosultságkezelés, patching, monitoring, incidenskezelés, beszállítói hozzáférések) nem kezelhetők leltár nélkül.
Minimum érdemes összerakni egy hardver eszközleltárt (szerverek, laptopok, hálózati eszközök), egy szoftverleltárt (licencek, verziók, kritikus alkalmazások), a külsős hozzáférések listáját – külön figyelemmel a beszállítókra –, az admin jogosultságok listáját (ki admin és miért), valamint a távoli hozzáférések nyilvántartását (VPN, TeamViewer, RDP stb.). Ez nem szépítés. Ez túlélés. NIS2 auditon ez lesz az egyik első „valóságteszt”.
5) Gap assessment – gyors állapotfelmérés 2–5 nap alatt
A gap analysis sok cégnél azért nem készül el, mert mindenki attól fél, hogy ebből majd egy 80 oldalas tanulmány lesz. Pedig a felkészülés elején nem erre van szükséged. A gyors állapotfelmérés célja az, hogy kiderüljön, mi van már meg – akár részben is –, mi hiányzik teljesen, mi auditkritikus 2026-ig, és mik azok a gyors intézkedések, amikkel csökkenteni lehet a kockázatot. Ennek az outputja egy gap lista és egy intézkedési backlog priorizálással. Ezt tekintheted a NIS2 projekt „kiberbiztonsági teendőlistájának”, csak épp auditlogikával összerakva.
6) Bizonyíthatóság előkészítése – evidenciamappa, különben nem lesz audit
A NIS2 audit nem véleményeket kér, hanem bizonyítékokat. Ezért már az elején érdemes létrehozni egy központi evidenciamappát, például „NIS2 megfelelés / Evidenciák” néven. Ebben legyenek almenük olyan témák szerint, mint jogosultságok, mentések, incidensek, oktatás, beszállítók és naplózás. Azért fontos ezt már az elején felépíteni, mert a jó bizonyíték nem utólag születik. A jó bizonyíték a működés mellékterméke. Ha viszont nincs meg a helye és a rendszere, akkor szétszóródik, elvész, és audit előtt már csak kapkodás marad.
Tipikus evidenciák, amiket már az elején érdemes gyűjteni: mentések megléte és restore teszt nyoma, patching és naplózás működési nyomai, belépés–kilépés dokumentáltsága, hozzáférés-jóváhagyások. Ezek azok az elemek, amelyek a NIS2 audit során a leggyorsabban döntik el, hogy valóban működik-e a rendszer.
7) Auditor és ütemezés előkészítése – mert az auditor-kapacitás valós probléma
A NIS2 megfelelés nagyon gyorsan auditor-kapacitás problémává tud válni, egyszerűen azért, mert sok szervezetnek egyszerre kell auditálódnia. Ezért érdemes már az elején tisztázni az auditor kiválasztásának kritériumait, például iparági tapasztalatot, OT ismeretet és rendelkezésre álló kapacitást. Ugyanilyen fontos a belső ütemterv összeállítása, legalább mérföldkövekkel, valamint az erőforrás-terv: ki mennyi időt tud ténylegesen erre szánni. A NIS2 projekt ugyanis nem fog „magától” megtörténni, és ha nem tervezel rá időt, akkor a napi működés le fogja győzni.