A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan-törvény” hatályba lépésével kezdetét vette Magyarországon is az EU új NIS2 (Network Information System v2) irányelvének átültetése a hazai jogrendbe. Az új információvédelmi követelmények minden eddiginél szélesebb kört érintenek, az előzetes becslések alapján közvetlenül 2500-3000 társaság került a hatálya alá. Az érintett cégeknek  2024. június 30-ig már csak alig két hónap áll rendelkezésükre, hogy bejelentkezzenek a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZFTH).

A regisztráció során adminisztratív és technikai jellegű cégadatok megadása mellett az információs rendszerek biztonságáért felelős személy (IBF) adatait és elérhetőségét is fel kell tüntetni.

IBF: Ki legyen a felelős?

Az SZFTH-regisztráció során az egyik legfontosabb kérdés az  IBF kijelölése. Meglátásunk szerint a nemzetközi hátterű cégek számára még úgy is nehéz ez a döntés, hogy a “Kibertan-törvény” nem fogalmaz meg semmilyen konkrét elvárást és követelményt a kijelölt felelős személyével kapcsolatban, valamint kimondottan lehetővé teszi a pozíció betöltését akár külső szakértő bevonásával is.

Az IBF kiszervezése csak részben megoldás a nemzetközi hátterű vállalatoknak

Az információbiztonsági felelős kiszervezése elsőre racionális megoldásnak tűnhet akkor, amikor házon belül nem állnak rendelkezésre a betöltéséhez szükséges szakmai ismeretek, tapasztalatok vagy erőforrások. A tapasztalataink mégis azt mutatják, sok vállalatnál ennek ellenére a belső munkatársak közül regisztrálnak az SZTFH űrlapján információbiztonsági felelőst.

Mielőtt ennek okairól írnánk, tekintsük át, hogy milyen feladatokkal és kihívásokkal találja szembe magát egy leendő belső információbiztonsági felelős egy nemzetközi hátterű magyar leányvállalat NIS2-auditra való felkészítése során.

Miért felel az IBF?

Az IBF elsődleges feladata

• a kiberbiztonsági események kockázatának csökkentése, valamint
• az azok felfedezéséig eltelt idő lerövidítése.

A kiberbiztonsági események rendszerint a cég adatvagyonának megszerzésére irányulnak. Az incidensek súlyosságát csak tovább növeli az, hogy sok esetben a lopási kísérlet következtében a szolgáltatás teljes vagy részleges leállásával, vagy akár a teljes üzleti tevékenység felfüggesztésével is számolni kell, ami minden esetben legalább jelentős, de néha akár katasztrofális következményekkel is járhat egy vállalat működésével kapcsolatban.

A kiberbiztonsági események valószínűségének csökkentése mellett az ezekből fakadó ártalmak csökkentése jelenti tulajdonképpen a vállalat védekező- és ellenállóképességét, melyet

• korlátok bevezetésével,
• szabályok alkotásával,
• eszközök bevetésével és
• képzések szervezésével

növelhet.

A NIS2 újdonsága épp abban rejlik, hogy az érintett vállalatok rá lesznek szorítva arra, hogy a fentiek mentén folyamatosan fejlesszék kibervédelmi képességeiket, amihez a jogszabály megkísérel egy közösségi szinten egységes sztenderdet is biztosítani.

Az IBF egyik fontos feladata pedig az, hogy a kötelezően alkalmazandó információbiztonsági intézkedések a fenyegetettséggel összhangban kerüljenek kialakításra, valamint a rendelkezésre álló büdzsé kereteibe is beleférjenek.

A kibervédelmi intézkedések kényszerűen lassítják  az üzletet, és a vállalat nagy részétől aktív együttműködést várhatnak el végrehajtásuk során. A belső információbiztonsági felelősnek az üzlet egészét kell figyelembe vennie, amikor a fenyegetettségre adott válaszokról gondolkozik és amikor a helyi IT-csapattal, az üzleti területek vezetőivel, a jogászokkal, a központi (külföldi) irányítással vagy éppen az SZTFH-val működik együtt.

Magyar cégnek magyar NIS2

Annak ellenére, hogy a NIS2 egy Európai Uniós irányelv és célja egy egységes, közös kiberbiztonsági keretrendszer és védelmi szint megalkotása volt, a tagállamok nem azonos ütemezésben és nem teljesen egységes tartalommal ültetik azt át saját jogrendjükbe.

Egy magyar leányvállalat belső információbiztonsági felelősének  képben kell lennie a „magyar” NIS2-szabályozás specialitásaival is, hogy a más hazai követelmény mellett ezeket is képviselni tudja a globális szinten menedzselt információbiztonsági irányítási rendszer és az ahhoz kapcsolódó szabályozások és eljárásrendek kialakítása és adaptálása során.

A magyarországi illetékességű vállalatok megfelelőssége minden esetben a magyar “Kibertan-törvény”, a magyar intézmények által kiadott végrehajtási rendeletek és módszertani útmutatók alapján, magyar nyelven és magyar auditorok révén kerülnek majd minősítésre vagy éppen elmarasztalásra nem megfelelés esetén.

A felkészülés így minden esetben igényli a hazai operáció aktív közreműködését, az szinte biztosan nem menedzselhető kizárólag külföldről, a központ által kialakított szabályzatok és rendszerelemek változatlan formában történő felhasználásával.

Kézenfekvő, de nem szerencsés az IT-team tagját delegálni megfelelőségi vezetőnek

Nemzetközi hátterű válalatcsoportokban egy meglehetősen összetett felelősségi kör vár az információbiztonsági felelősökre, ezért annak teljes kiszervezése nem mindenhol bizonyulhat hatékony megoldásnak.

Ezeknél a társaságoknál célszerűnek tűnhet a helyi megfelelősségi vezető képességeinek és erőforrásainak bővítése, annak érdekében, hogy koordinálni tudja a “Kibertan-törvény” által támasztott új megfelelési elvárásokra való felkészülést is. Ez  külső tanácsadók és szakértők igény szerinti bevonásával történhet.

Egy megfelelési vezető helyismerete, meglévő csatornái és elfogadottsága a helyi IT-csapat, a központi IT-irányítás, az üzleti területek és a menedzsment részéről olyan előnyöket jelentenek, amelyekre szükség is lesz a NIS2-információbiztonsági irányítási rendszer bevezetése során, mivel az nagy eséllyel jelentős hatással lesz a vállat jelenlegi folyamatainak nagy részére, és a szervezeti kultúrát is alakítani fogja.

Az IT meghatározó szereplője lesz a változásoknak, de a többi területhez hasonlóan sok szempontból végrehajtó szerepben marad, emiatt nem szerencsés az IT és az információbiztonsági vezetői pozíciók összekapcsolása.

Szakmai mentorálás segítheti a megfelelési vezetőket

A NIS2 folyamatos fejlődést követel meg a vállalatoktól a kibervédelmi képességek terén. Ennek során egy hatékonyan működtethető és stabilan auditálható információbiztonsági rendszert kell kialakítsanak magukra. Ahhoz, hogy a megbízott vezető sikerrel járhasson, nem csak a nemzetközi és a hazai szabályozásokat, de a vállalat belső folyamatait és működését is megfelelő mélységben ismernie kell.

Ez nehézzé teszi a NIS2-felkészítés feladatainak teljes körű kiszervezését, és inkább a belső kompetenciák fejlesztése irányában tolhatja el cégeket. A megfelelő mentorálás hozzásegítheti a megfelelési vezetőket az új követelményekhez való alkalmazkodáshoz.

A NIS2 szakmai mentorálás szolgáltatásunkat olyan megfelelési vezetőknek ajánljuk, akik vezetői szinten szeretnének  megismerkedni a hazai szabályozás által kialakított és 2025-től követelményként kezelt NIS2-információbiztonsági irányítási rendszerrel és támogató partnert keresnek az információbiztonsági felelős szerepkör belső munkatárssal való lefedéséhez.