Mit jelent valójában a NIS2 az IT vezetők számára? NIS2 célja, kihívásai, értelme…
Mi is az a NIS2?*
A NIS2 irányelv sok vállalat számára új kihívásokat jelent, ugyanakkor kiváló lehetőséget is nyújt az IT biztonság és a szervezeti működés átgondolására és megerősítésére. Nem pusztán egy jogszabályi követelményről van szó, hanem egy olyan értékteremtő folyamatról, amely elősegíti a digitális kockázatok tudatos kezelését, a vállalat hosszú távú ellenállóképességének növelését, és a versenyképesség javítását a gyorsan változó IT környezetben.
Ebben a cikkben szakértői szemmel vizsgáljuk meg a NIS2 céljait, kihívásait és gyakorlati jelentőségét.
Szakértői gondolatok a NIS2 kapcsán
NIS2 megfelelőség kapcsán IT-s szakemberek részéről széles spektrumot felölelő reakciókkal találkoztam. Kezdve az érdektelenség-tagadáson át a nagy reményeket tápláló „most végre elkezdhetünk valamit jól csinálni” vágyig.
A legtöbb álláspontban viszont egy közös pontot látok; nem sikerült lefordítani, hogy mi is a célja ennek az egésznek, milyen „jutalom” is vár minket az út végén. Ez onnan is látszik, hogy az üzleti terület és a cégmenedzsment sem feltétlenül látja ezt egyértelműen. Pedig a NIS2 több puszta jogszabálynál – lehetőséget ad arra, hogy a szervezet átláthatóbban és tudatosabban kezelje a digitális kockázatokat, valamint növelje az információbiztonsági szintjét.
A szervezeti kultúra és a NIS2 kapcsolata
Az, hogy az IT-s / kiberbiztonsági rizikókat érdemben be tudjuk csatornázni a céges kockázatmenedzsment funkcióba, feltételez egy alapvető céges kultúrát. Nem gondolom és nem érzem hatékonynak, hogy az IT, mint nem termelő funkció legyen az úttörője a cégnél ennek. Gondoljunk bele, hogy egy ilyen helyzetben az IT vagy saját magán belül elkezdi egy ilyen új működésmód bevezetését - és természetesen más csoportoktól „best effort” közreműködést várhat-, vagy az IT vezető úgymond cégen belüli evangelista módjára a teljes céges kultúra részévé teszi ezt a működési módot.
Az első lehetőség egy „magányos farkas” üzemmód, és a sok befektetett munka eredményét nem mindig értékelik megfelelően. Sajnos még akkor sem, ha érdemleges információs értékkel is bírna az üzleti döntéshozók számára. Az utóbbi lehetőség viszont küldetéstudatot, cégen belüli kapcsolatokat és érdekérvényesítést és kitartást kíván mindenkivel és minden egyes megbeszéléssel szemben.
Fontos látni, hogy nincs egyetlen jó út: a szervezet érettsége és kultúrája határozza meg, melyik megközelítés lehet eredményesebb. Vannak cégek, ahol az IT vezető valódi belső nagykövetként léphet fel, máshol a kockázatkezelés más szervezeti egységen keresztül tud csak megvalósulni.
Kulcsfontosságú IT biztonsági területek a NIS2-ben
Az IT-n belül több olyan kulcsfontosságú terület is van – például a monitoring vagy a hozzáférés-kezelés –, ahol el kell érnünk egy bizonyos érettségi szintet ahhoz, hogy megfeleljünk a NIS2 előírásainak. Cége válogatja, hogy mennyi befektetést igényel egy – egy terület. Ezek a területek többek közt a következők lehetnek:
- Monitoring – a hálózatok és rendszerek folyamatos megfigyelése a biztonsági események korai felismerése érdekében.
- Változásmenedzsment – a rendszerek és konfigurációk tervezett módosításainak szabályozása és nyomon követése, hogy elkerüljük a hibákat és a sebezhetőségeket.
- Sérülékenységmenedzsment / patching – a rendszerek ismert sebezhetőségeinek feltérképezése és folyamatos javítása a frissítések telepítésével.
- Naplózás és eseménykezelés – az események és műveletek részletes rögzítése, elemzése és archiválása a visszakereshetőség és auditálhatóság érdekében.
- Eszköznyilvántartás és alapkonfiguráció – az IT eszközök pontos nyilvántartása és biztonsági beállításainak egységes kezelése.
- Hozzáférés-kezelés – az engedélyezett hozzáférések szabályozása, jogosultságok kezelése és azonosítási mechanizmusok alkalmazása.
- Incidenskezelés – a biztonsági események gyors felismerése, kivizsgálása és hatékony kezelése a károk minimalizálása érdekében.
- Kockázatelemzés és kockázatkezelés – a kiberbiztonsági kockázatok folyamatos azonosítása, értékelése és kezelése a megfelelő védelmi intézkedések kialakításához.
- Biztonsági tudatosság és képzés – a munkatársak rendszeres oktatása és érzékenyítése a kiberfenyegetésekkel és helyes biztonsági gyakorlatokkal kapcsolatban.
- Incidens utáni helyreállítás és üzletmenet-folytonosság – olyan tervek és folyamatok kidolgozása, amelyek biztosítják a kritikus rendszerek gyors visszaállítását és a vállalat működésének zavartalanságát.
- Biztonsági irányelvek és szabályzatok – a szervezet biztonsági szabályzatainak és eljárásainak megalkotása és naprakészen tartása.
Kockázatalapú megközelítés és szervezeti szereplők
A NIS2 megfelelés kialakítását kockázatalapra helyezném: az elvárt intézkedéseknek arányban kell állniuk az adott vállalat kockázati kitettségével és méretével.
Ezt a céges kockázatvállalási hajlandóságot először is jó lenne megtudni... ha lehet. Ennek is „középről” kellene jönnie. Ez az a szint, ahol a stratégiai és operatív megfontolások találkoznak – nem túl távoli a felsővezetéstől, de közel van a napi működéshez is.
Fontos szereplőt emelnék be a képletbe, aki hatékony segítője lehet az IT vezetésnek, az audit felkészítést végző konzulenst vagy az információbiztonsági felelőst (IBF). Az IBF felelős azért, hogy a cég kiberbiztonsági ellenállóképessége növekedjen, és hogy az audit során minden követelmény teljesüljön. Egy megoldás kapcsán nekik kellene tudni, mi az a szint amit el kell érni, és ők tudnak segíteni abban is, hogy melyik megoldási opció hogyan felel ennek meg. Vagyis minden egyes technológiai megoldás beszerzése előtt célszerű átgondolni:
- hogy a megfelelő minőségű és mennyiségű emberi munkát hozzá tudjuk-e rendelni, illetve,
- a megoldás úgy illeszkedik-e a céges szabályozási környezetbe, hogy elegendő színvonalat elérve az elvárt gyakorlati funkciókat, és a megfelelést biztosítani tudja.
Ez különösen fontos olyan vállalatoknál, ahol az kiberbiztonsági kapacitás korlátozott, és minden egyes új eszköz vagy szolgáltatás bevezetése hosszú távú működési kötelezettségeket is jelent. Ha jól sikerül a „segítőket” kiválasztani és mozgatni, akkor a technológia, az emberek és a folyamatok hármasának összehangolásával – és egy hozzáértő felkészítő partner támogatásával – a szervezet testreszabott, hatékony védelmi rendszert alakíthat ki, amely nemcsak a NIS2 auditon felel meg, hanem hosszú távon is növeli a vállalat IT biztonsági, kiberbiztonsági szintjét.
*További információk NIS2 kapcsán
Bővebben a NIS2 irányelvről ezekben a szakmai hírekben olvashat a THEIT honlapján:
- Új kulcsfontosságú rendeletek jelentek meg a NIS2 irányelv kapcsán
- Készüljön fel a NIS2-re: 4 hasznos videó a THEIT YouTube csatornáján
- NIS2, az idei év mumusa az IT szakmában?
Vállalatunk, a THE IT Solutions Zrt., elkötelezett abban, hogy naprakészen kövesse és elemezze a NIS2-höz kapcsolódó legújabb fejleményeket és híreket. Célunk, hogy időben reagáljunk, és támogassuk Önt és szervezetét a legfrissebb IT biztonsági kihívások kezelésében, legyen szó akár NIS2 tanácsadásról, IT hálózatbiztonsági tervezésről vagy üzemeltetésről. Mint NIS2 irányelv alá tartozó szakértők, készen állunk, hogy elméleti és gyakorlati segítséget nyújtsunk Önnek.
Ha kérdései vannak a NIS2 irányelvvel kapcsolatban, vagy IT biztonsági van szüksége, keressen minket a nis2@theit.hu email címen, szakértő hálózatbiztonsági csapatunk örömmel áll az Ön és vállalata rendelkezésére.
A szakmai cikk szerzője Debrei Gábor, a THE IT Solutions Zrt. pre-sales mérnöke volt.