NIS2 – Keveseket érint, de sokakat formál

Az EU-ból indult NIS2 (Network Information System) 2024. elején érkezett meg Magyarországra a „Kibertan-törvény” képében, és kimondott célja a kockázatos ágazatokban működő nagyvállalatok kiberbiztonsági érettségének és ellenállóképességének növelése és rendszeres vizsgálata.  

Az új NIS2 ezért nem csak szigorúbb megfelelési követelményeket fogalmaz meg a korábbiakhoz képest, de jelentősen ki is szélesíti az érintett cégek körét, valamint egy olyan ellenőrzési és szankcionálási rendszert fogalmaz meg számukra, ami nagyban hozzájárulhat ahhoz, hogy a vállalkozások  komolyan is vegyék  az új kiberbiztonsági követelményeket.

Az információbiztonsági kockázat a beszállítókra is kiterjedhet

Amellett, hogy a NIS2 nagy hangsúlyt fektet a vállalatok működéséhez kapcsolódó információbiztonsági kockázatok azonosítására és elemzésre, konkrét lépéseket is elvár a cégektől az információbiztonsági kockázatok kezelésére.  Sok vállalat működésében jelentős szerep hárul a partneri kapcsolatokra. Az ügyfelek kiszolgálása, a szolgáltatások biztosítása náluk már elképzelhetetlen külső partnerek és beszállítók közreműködése nélkül. Emiatt a NIS2 elkerülhetetlenül hatással lesz arra is, ahogyan ezek a társaságok az ellátási láncuk biztonságáról a jövőben gondolkozni fognak. 

A magyar „Kibertan-törvény” közvetlenül közel 50 főágazatot és közel 150 alágazatot sorol fel tételesen, ahol a cégmérettől függően a menedzsmentnek foglalkoznia kell a kiberbiztonsági érettséggel, és az azokat vizsgáló kétévenkénti hatósági auditokkal. Előzetes becslések szerint nagyjából 3000 cég regisztrációjára számít az auditálással megbízott hatóság.  

Ők azok a cégek, akik a NIS2 szigorú követelményrendszerében az ellátási láncokra vonatkozó kockázatkezelés fejezettel is szembe fognak találkozni.  Az elvárt védelmi intézkedések tervezett katalógusában (19. Fejezet) a kutatás-fejlesztésben, a tervezésben, a gyártásban, a beszerzésben, a szállításban, az üzemeltetésben és a karbantartásban részt vevő alvállalkozókhoz kapcsolódóan többek között az alábbi feladatok találjuk: 

• Az ellátási láncra vonatkozó kockázatkezelés szabályzatának kialakítása 
• A kockázatok elemzésére és kezelésére vonatkozó eljárásrend bevezetése 
• Kontrollok kialakítása annak érdekében, hogy az ellátási lánccal kapcsolatos kockázatok és a lehetséges káresemények hatásai csökkenthetőek lehessenek 
• A kontrollokban adminisztratív eszközök mellett módszertanokat és eszközöket is alkalmazni kell  
• A beszállítói láncban szereplők által hordott kockázatokat rendszeres ellenőrzése 

A beszállítói lánccal kapcsolatos kockázatok felmérése, besorolása és kezelése pedig nem végezhető el teljes körűen az abban szereplők aktív közreműködése nélkül.

Így a NIS2-elvárásokkal közvetlenül érintett vállalatok mellett közvetve olyan cégek is érintettekké válhatnak, amelyek mérete vagy ágazati besorolása amúgy nem tenné azt indokolttá. 

A „Kibertan-törvény” elvárásai leszivárognak az alvállalkozókhoz is

A „Kibertan-törvényben” megfogalmazott elvárások az elsődlegesen érintett cégektől indulva lassan „leszivárognak” majd azok alvállalkozói kapcsolatain keresztül további cégekhez is, amit már gyakorlati tapasztalataink is megerősítenek.  

Tanácsadóinkhoz érkeztek már megkeresések a NIS2-jogszabállyal egyáltalán nem érintett cégektől is, akik beszállítói olyan társaságoknak, amelyek viszont érintettek. Partnereik  szeretnék alvállalkozóikat információbiztonsági szempontok alapján átvilágítani vagy nyilatkozattételre kérni a NIS2-elvárásokkal összhangban. Az ő esetükben akár kulcskérdés is lehet a vevőik által lefolytatott vizsgálatok eredménye, hiszen a jövőbeli tendereken való indulásukat is befolyásolhatják az itt szerzett „pontszámaik”. 

A NIS2 szakmai mentorálás szolgáltatásunkat pont olyan ügyvezetőknek és menedzsereknek ajánljuk, akik jelenleg nem rendelkeznek információbiztonsági irányítási rendszerrel (IBIR), de partnerei vagy beszállítói a hazai „Kibertan-törvény” hatálya alá eső vállalatoknak, ezért szeretnének eligazodni a NIS2-auditok új jogszabályi követelményeiben és szeretnék megismerni az ezzel kapcsolatban náluk is felmerülő feladatokat és kihívásokat.