Szolgáltatás
NIS2 felkészítés
Hatókör, besorolás, szabályzatok, incidenskezelés — a cég valós folyamataiból kiindulva. Nem sablon, nem általános checklist.
Az EU új kiberbiztonsági szabályozása 2024 októberében életbe lépett. Magyarországon a Kiberbiztonsági törvény ülteti át, a hatóság már ellenőriz. A legtöbb cégvezető, akivel beszélek, két tábor valamelyikébe tartozik: vagy biztos benne, hogy rá nem vonatkozik, vagy biztos benne, hogy rá vonatkozik. Mindkét tábor téved néha. Érdemes tisztázni, melyikben vagy, és jól látod-e.
A munka négy lépésből áll.
1. Érintett vagyok egyáltalán?
A törvény tizennyolc szektort nevez meg — energetika, egészségügy, közlekedés, élelmiszer, digitális szolgáltatások, és még sok más. Ha ezek egyikében vagy, valószínűleg érintett vagy. De ez csak a fele a történetnek. A másik fele: ha egy érintett cég beszállítója vagy, téged is elér a szabályozás, a szerződéseken keresztül. Ezt sokan nem veszik észre, amíg egy ügyfél nem küld ki egy kérdőívet a kiberbiztonsági gyakorlatokról.
Az első lépés tehát egyszerű: átnézzük, mit csinál a cég, kikkel dolgozik, és megmondjuk, hol állsz. A törvény három kategóriát ismer — alapvető, fontos, egyik sem —, és a három kategória három különböző súlyú kötelezettséget jelent.
2. Melyik rendszer milyen szintű védelmet kap?
Nem minden IT-rendszer egyforma fontos. Egy könyvelőprogram nem ugyanaz, mint egy gyártósort vezérlő szoftver. A törvény ezt szintekbe sorolja, és minden szinthez más követelmények tartoznak.
A besorolás pénzben mérhető. Egy szinttel feljebb sorolt rendszer több millió forint többletmunkát jelenthet — új auditok, új eszközök, új dokumentáció. Éppen ezért nem mindegy, hogy pontosan soroljuk-e be, vagy ráhagyásból magasabbra tesszük. Végigmegyünk a rendszereken, és ahol indokolt, az alacsonyabb besorolás mellett érvelünk. Olyan dokumentációval, amit egy ellenőrzés is elfogad.
3. Szabályzatok, amik a céghez illenek
A törvény tíz területre ír elő írott szabályzatot. Kockázatkezelés, jelszókezelés, ellátási lánc, hozzáférések, és így tovább. Letölthető sablonok vannak bőven. Ezekkel egy probléma van.
Egy ellenőrzésen az első öt perc után kiderül, hogy a sablon nem a te cégedről szól. A kérdések gyorsan konkrétak lesznek: ki kap hozzáférést az ügyféladatokhoz, mi történik, ha egy munkatárs távozik, hogyan ellenőrzitek a beszállítókat. Ha a szabályzat nem tükrözi, amit tényleg csináltok, az ellenőr ezt látni fogja. A szabályzatnak a valóságot kell leírnia — vagy a valóságot kell hozzáigazítani a szabályzathoz. Mindkettő munka, csak más jellegű.
4. Mi történik, ha baj van?
A törvény szigorú határidőket ír elő, ha incidens történik. 24 órán belül jelezni kell a hatóságnak. 72 órán belül részletes jelentés. Egy hónapon belül végleges összegzés. Ez kevés idő, ha most kell kitalálni, ki kit hív, és mit írtok a jelentésbe.
Elkészítjük az eljárásrendet — ki szól kinek, mit dokumentáltok, hogyan kommunikáltok az ügyfelekkel. Aztán egy gyakorlat: a vezetőség végigjátszik egy kitalált incidenst, mintha élesben történne. Ezen szokott kiderülni, hogy a papíron szép terv hol akad el. Általában valami váratlan helyen.
Egy átlagos projekt hat-tíz hetet vesz igénybe. Az árat az első szakasz után tudjuk kimondani, amikor már látjuk, mekkora a munka. Addig tippelni lehetne, de nem szeretem.
Ha szeretnél beszélni arról, hogy a cégedet érinti-e ez, és ha igen, mit érdemes először megnézni — írj. Egy harmincperces hívás általában elég ahhoz, hogy mindketten lássuk, van-e értelme dolgozni együtt.