Hogyan lehet az, hogy egyes cégeknél a HR-vezetők és HR-menedzserek teszik meg az első lépést külső szakértők bevonására a NIS2 (Network and Information Security V2) felkészülés során? A válasz, hogy nagyon is sok keresnivalója lehet ennek a szakterületnek az információbiztonság ezen útvesztőjében. NIS2-mentoring szolgáltatásunk eddigi tapasztalatait alapul véve próbálunk választ adni a erre a kérdésre.

Az információbiztonság nem (csak) az IT belügye

A NIS2 (Network and Information Security V2) irányelv egyaránt szól az infrastruktúra és az információk védelméről.

Senkit ne tévesszen meg, hogy a hazai honosítása során a magyar NIS2-törvény végül olyan nevet kapott, amelyben már csak a kibervédelem maradt meg, a NIS2 ettől még Magyarországon is az információvédelemről szól.

A kibervédelem a kibertérből érkező támadások elhárításának művészete, míg az információvédelem a cégnél megfordult adatok kezelésének és tárolásának egy nagyon szabályozott, tudatos és professzionális eljárásrendszere. Ennek a kibervédelem is egy igen fontos eleme, azonban az annak csak egy szelete.

Az információbiztonság nem az IT-nál kezdődik, de nem is ott ér végett. Az IT természetesen egy nagyon fontos szereplője ennek, de az információbiztonság középpontjában még jelenleg az ember áll. Az az ember, akit a legtöbb jóindulat mellett is még mindig a védelem egyik leggyengébb pontjának tekinthető.

Akik a GDPR szabályain szocializálódottak

Ha mondani kellene egy jogszabályt, amelyet kifejezetten az információk védelmére alkottak meg az Európai Unióban, ma még szinte kivétel nélkül mindenkinek a GDPR jutna először eszébe. Nem csoda, hiszen az Általános Adatvédelmi Rendelettel (a GDPR-ral) 2018. május 25-óta minden olyan cégnek meg kellett ismerkednie, ahol személyes adatokat kezelnek, például alkalmazottakról vagy magánszemély ügyfelekről vezetnek nyilvántartást.

Mivel a HR-folyamatokban és eszközökben a személyes és a különleges adatok jelenléte általában jelentősen felülreprezentált a többi üzleti folyamatokhoz képest, a GDPR már évek óta jelentős hatást gyakorol a HR-részlegek mindennapjaira.

A GDPR előírások megismerése és a cég mindennapi működésébe való beillesztése a legtöbb HR-osztályon már megtörtént.

A NIS2 ugyan nem az új GDPR (erről egy korábbi cikkben olvashattál), de a GDPR-tapasztalatok birtokában  nem csoda, ha a néhol a HR-csapatok értik meg és ismerik fel elsőként az információvédelemhez kapcsolódó új előírások jelentőségét és válnak elsőként kíváncsivá az azoknak való megfelelés kihívásaira.

Szervezetben való gondolkozás

A társaságok csak úgy érthetik meg és fordíthatják le a saját helyzetükre a NIS2 követelményrendszerét, ha azt egy szervezeti egységeket feletti álló információbiztonsági irányítási rendszerként kezelik. Nagyon nehéz, de sok esetben nem is lehet az információk védelmére hozott intézkedéseket és azok működtetését kizárólag egyetlen szervezeti egységhez delegálni.

Egy korszerű és jól működő HR-csapatban sok esetben magasabb szinten jelenik meg a szervezetben való gondolkodás képessége és a szervezeti silók lebontásának igénye, mint egy hagyományos IT-részleg esetében.

Ebből kiindulva egészen logikusnak és indokoltnak tűnhet az a következmény, hogy számos esetben a NIS2-követelmények pontosabb megismerése kapcsán a HR-csapatok veszik át a kezdeményezést.

Ugyanakkor nem arról van szó, hogy a HR-részlegen dolgozó kollégák egyedül is késznek érzik magukat arra, hogy a szükséges tudással és tapasztalattal felvértezve kezdjenek neki NIS2-kihívások teljesítésének. Ehelyett inkább egy koordináló szerepet vállalnak fel az IT, a belső üzleti folyamatok felelősei és egy esetleges külső tanácsadó partner között.

És ott vannak még a képzések is

Nem lehet eléggé hangsúlyozni, hogy habár a NIS2 egy alapvetően technológia természetű követelményrendszer, nem feledkezhetünk meg az információbiztonság emberi oldaláról sem.

A munkatársak vagy a vezetők által elkövethető hibák még a leggondosabb tervezéssel kialakított, a szinte tökélyre fejlesztett folyamatok és szoftverek mellett is óriási veszélyt jelentenek az információ biztonságára, ami várhatóan a jövőben sem fog változni.

A NIS2-követelmények egyik fejezete kifejezetten a képzésekről szól, és arról, hogy folyamatosan erősíteni kell a cégek biztonságtudatosságát mind az egyén, mind a szervezet szintjén. A kollégák ezirányú folyamatos és hatékony felkészítése, az úgynevezett kiberhigéniai gyakorlatok szervezése pedig kifejezetten jó, ha a HR hatáskörébe kerül, hiszen sok esetben ők képesek leginkább egy cégben az eredményes és hatékony oktatások lebonyolítására.

Nem állítjuk, hogy minden társaság esetében a személyzeti ügyekre specializálódott csapat lenne a legideálisabb szereplő a NIS2-felkészülés koordinálására, de az szinte bizonyos, hogy egy proaktív és felkészült HR-részleg sokban tud hozzájárulni ahhoz, hogy a NIS2 komplex követelményeinek a teljesítése a meglévő szervezeti kultúrára a legkevesebb negatív hatást gyakorolja.