A NIS2-felkészülés egyik visszatérő dilemmája, hogy kötelező-e tanúsított IKT-termékeket és szolgáltatásokat használni, vagy elegendő a meglévő megoldások megfelelő dokumentálása és kockázatkezelése. Sok szervezet automatikusan úgy gondolja, hogy a NIS2 „tanúsításkényszert” hoz magával, a jogszabályi környezet azonban ennél jóval árnyaltabb.
Az európai kiberbiztonsági tanúsítás rendszere alapvetően önkéntességen alapul. Sem az uniós Cybersecurity Act, sem a jelenleg hatályos magyar végrehajtási szabályok nem írják elő általános jelleggel, hogy egy NIS2-kötelezett szervezetnek kizárólag tanúsított IKT-termékeket, szolgáltatásokat vagy folyamatokat kellene alkalmaznia. Tanúsítási kötelezettség csak akkor keletkezik, ha azt uniós vagy nemzeti jogszabály kifejezetten előírja, ilyen előírás azonban jelenleg nem létezik. A magyar kiberbiztonsági törvény ugyan tartalmaz felhatalmazást arra, hogy egyes szervezeti körök esetében a jogalkotó kötelezővé tehesse tanúsított IKT-megoldások használatát, ez a felhatalmazás eddig nem került konkrét jogszabályi tartalommal kitöltésre. Ennek következtében jelenleg egyetlen tanúsított IKT-termék vagy szolgáltatás alkalmazása sem kötelező önmagában a NIS2 megfeleléshez.
Ez azonban nem jelenti azt, hogy a tanúsított megoldásoknak ne lenne kiemelt szerepük a gyakorlatban. A tanúsítvány független, harmadik fél által kiállított bizonyíték, amely igazolja, hogy az adott IKT-termék vagy szolgáltatás megfelel egy meghatározott kiberbiztonsági követelményrendszernek. A NIS2-nek megfelelő kockázatkezelés és dokumentáció során ez jelentősen csökkenti az értelmezési vitákat az auditor, a hatóság és a szervezet között, és megkönnyíti a megfelelőség igazolását. Kiberbiztonsági szempontból a tanúsított IKT-megoldások alkalmazása további előnyökkel jár. A tanúsítvány nemcsak azt rögzíti, hogy a megoldás megfelel a követelményeknek, hanem tartalmazza a megbízhatósági szintet, az érvényességi időt és a pontos verzióra vagy szolgáltatási modellre vonatkozó adatokat. Ezek az információk érdemi segítséget nyújtanak a kockázatarányos intézkedések meghatározásához, az incidenskezelési felkészüléshez és a fenyegetettségek értékeléséhez. A tanúsított megoldások alkalmazása emellett átláthatósági és piaci előnyt is jelenthet. A tanúsítvány növeli a bizalmat a partnerek és beszállítók részéről, és összehasonlíthatóvá teszi a különböző megoldások kiberbiztonsági szintjét. Fontos azonban hangsúlyozni, hogy a tanúsítás nem jelent automatikus jogszabályi mentességet, nem váltja ki a folyamatos kockázatkezelést, és nem garantál abszolút biztonságot.
A NIS2-nek való megfelelés szempontjából ezért a tanúsított IKT-termékek és szolgáltatások alkalmazása nem kötelezettség, hanem stratégiai döntés. Olyan eszköz, amely megfelelő kockázatalapú megközelítéssel alkalmazva jelentősen erősítheti a szervezet kiberbiztonsági felkészültségét és auditálhatóságát, miközben megőrzi a rugalmasságot a technológiai döntésekben.
Készült a NIS2 Portal hivatalos forrása alapján.