A korábbi, NIS 2 irányelvet (a továbbiakban: irányelv) bemutató cikkeink után a cikksorozatunk következő részében néhány praktikus tanácsot kívánunk adni a megfelelésre való felkészüléshez. Mint ismert, az irányelv magyar jogba való átültetésének végső határideje 2024. október 17-e, azonban még nincsenek hírek arról, hogy az irányelv követelményei melyik jogszabályba lesznek bevonva. Teljesen új jogszabály megalkotása kérdéses, hiszen ez a NIS irányelvnél sem történt meg.

Nem ajánlott megvárni a magyar jogba való átültetést, hiszen egy alacsony kiberbiztonsági érettségi szintű szervezetnek hosszú utat kell megtennie a teljes megfeleléshez. 

A GRC projekt tapasztalataink alapján az alábbi felkészülési lépéseket javasoljuk:

1. Irányelv hatálya alá való tartozás vizsgálata: a szervezeteknek először is meg kell vizsgálniuk, hogy az irányelv hatálya alá tartoznak-e. Ezt egyszerűen meg lehet állapítani, hiszen az irányelv I. melléklete tartalmazza a kiemelten kritikus ágazatokat. Akinek az ágazata itt fel van sorolva, az alapvető szervezetként az irányelv hatálya alá tartozik. Az irányelv II. melléklete az egyéb kritikus ágazatokat sorolja fel, amely szereplői a fontos szervezetek lesznek.
2. Gap assessment felmérés végrehajtása: a gap assessment felmérés célja a meghatározott baseline-tól, követelményektől való eltérés(ek) megállapítása és a jelenlegi helyzet feltérképezése. A NIS 2-nek való megfelelésnél viszont nem egyszerű meghatározni a baseline-t, hiszen még nincsenek ezzel kapcsolatos magyar jogszabályok, amelyek pontos követelményeket fogalmaznak meg. Az irányelv taxatív módon felsorolja az általa elvárt kiberbiztonsági kockázatkezelési intézkedéseket, de ezek csak témakörök és nem konkrét követelmények. Hogyan lehet ezt feloldani? Röviden a szabványosítással és a jelenlegi jogszabályok ismeretével. Az ajánlásaink azonban kettéválnak az alapvető és fontos szervezetek tekintetében.
   a.) Az alapvető szervezetek gyakorlatilag lefedik a létfontosságú rendszerelem kategóriát, ebből az következik, hogy nekik a rájuk irányadó nemzeti jogszabálynak való megfelelést kell felmérniük, amelyek alapján egyébként is működniük kell: 2012. évi CLXVI. Törvény (Lrtv.), 2013. évi L. törvény (Ibtv.), ami gyakorlatban az 41/2015. (VII. 15.) BM rendelet (Vhr.). Ez gyakorlatban a Vhr.-ben található kontrollok felmérését jelenti, praktikusan a hatóságok által kiadott osztályba sorolási „OVI” táblával történhet. Ennek a körnek valószínűleg nem tartogat sok újdonságot az új szabályozás.
   b.) Az irányelv az általa elvárt kiberbiztonsági kockázatkezelési intézkedések konvergens, egymáshoz közelítő – vagyis hasonló – megvalósítása érdekében ösztönzi a releváns európai és nemzetközi szabványok és műszaki előírások alkalmazását. Ez alapján azt javaslom, hogy a gap assessment baseline-jaként a felkészülő fontos szervezetek alkalmazzák az ISO 27001:2022 szabványt. Könnyű mellette érvelni: azon túl, hogy ez a terület nemzetközileg legnagyobb mértékben elismert szabványa, lefedi az irányelv követelményeit. Erről magunk is meggyőződhetünk a szabvány Operational Capabilities listája és a szabvány A mellékletének átolvasása alapján.
3. Kockázatelemzés végrehajtása és baseline meghatározása: azon túl, hogy az irányelv elvárja, egy kockázatelemzés végrehajtását is javasoljuk. A kockázatelemzés során – a control assessment lépésben - fel lehet használni a gap assessment eredményeit és fel lehet tárni a szervezet működését fenyegető tényezőket. Természetesen meg kell határozni a kockázatkezelési intézkedéseket is és intézkedési tervet kell létrehozni. Az intézkedéseknél már erősen ajánlott figyelembe venni a baseline-ként meghatározott követelményt, mint elérendő célt. Természetesen a kockázatokkal arányosan, figyelembe véve a szervezet méretét, lehetőségeit és egyéb tényezőit.
4. Projektek indítása a baseline eléréséhez: a szervezet védelme és a követelmények teljesítése érdekében a feltárt kockázatokat meg kell szüntetni. Ajánlott összegyűjteni az összefüggő kockázatokat és ezeket együtt, projektekben kezelni.
5. Fenntartható folyamatok kialakítása, szerepkörök meghatározása: a felkészülés hosszú folyamat és ha a szervezet elérte a kitűzött céljait, akkor sem lehet hátradőlni, hiszen fenn kell tartani az elért állapotot és folyamatosan fejleszteni kell a működést, lekövetni a változásokat. Ehhez fenntartható kiberbiztonsági folyamatokat kell kialakítani és szerepköröket kell kijelölni, mind a kontrollok üzemeltetésére, mind a kockázatok nyomon követésére és az átfogó kiberbiztonsági irányítására vonatkozóan.