NIS2 – Keveseket érint, de sokakat formál
A kiberbiztonsági tanúsításról és felügyeletről szóló törvény („ Kibertan-törvény”) közvetlenül csak a gazdaság nagyobb szereplőire fókuszál, de az ellátási láncokon keresztül a cégek egy jóval szélesebb körére fog hatást gyakorolni.
Az EU-ból indult NIS2 (Network Information System) 2024. elején érkezett meg Magyarországra a „Kibertan-törvény” képében, és kimondott célja a kockázatos ágazatokban működő nagyvállalatok kiberbiztonsági érettségének és ellenállóképességének növelése és rendszeres vizsgálata.
Az új NIS2 ezért nem csak szigorúbb megfelelési követelményeket fogalmaz meg a korábbiakhoz képest, de jelentősen ki is szélesíti az érintett cégek körét, valamint egy olyan ellenőrzési és szankcionálási rendszert fogalmaz meg számukra, ami nagyban hozzájárulhat ahhoz, hogy a vállalkozások komolyan is vegyék az új kiberbiztonsági követelményeket.
Az információbiztonsági kockázat a beszállítókra is kiterjedhet
Amellett, hogy a NIS2 nagy hangsúlyt fektet a vállalatok működéséhez kapcsolódó információbiztonsági kockázatok azonosítására és elemzésre, konkrét lépéseket is elvár a cégektől az információbiztonsági kockázatok kezelésére. Sok vállalat működésében jelentős szerep hárul a partneri kapcsolatokra. Az ügyfelek kiszolgálása, a szolgáltatások biztosítása náluk már elképzelhetetlen külső partnerek és beszállítók közreműködése nélkül. Emiatt a NIS2 elkerülhetetlenül hatással lesz arra is, ahogyan ezek a társaságok az ellátási láncuk biztonságáról a jövőben gondolkozni fognak.
A magyar „Kibertan-törvény” közvetlenül közel 50 főágazatot és közel 150 alágazatot sorol fel tételesen, ahol a cégmérettől függően a menedzsmentnek foglalkoznia kell a kiberbiztonsági érettséggel, és az azokat vizsgáló kétévenkénti hatósági auditokkal. Előzetes becslések szerint nagyjából 3000 cég regisztrációjára számít az auditálással megbízott hatóság.
Ők azok a cégek, akik a NIS2 szigorú követelményrendszerében az ellátási láncokra vonatkozó kockázatkezelés fejezettel is szembe fognak találkozni. Az elvárt védelmi intézkedések tervezett katalógusában (19. Fejezet) a kutatás-fejlesztésben, a tervezésben, a gyártásban, a beszerzésben, a szállításban, az üzemeltetésben és a karbantartásban részt vevő alvállalkozókhoz kapcsolódóan többek között az alábbi feladatok találjuk:
- Az ellátási láncra vonatkozó kockázatkezelés szabályzatának kialakítása
- A kockázatok elemzésére és kezelésére vonatkozó eljárásrend bevezetése
- Kontrollok kialakítása annak érdekében, hogy az ellátási lánccal kapcsolatos kockázatok és a lehetséges káresemények hatásai csökkenthetőek lehessenek
- A kontrollokban adminisztratív eszközök mellett módszertanokat és eszközöket is alkalmazni kell
- A beszállítói láncban szereplők által hordott kockázatokat rendszeres ellenőrzése
A beszállítói lánccal kapcsolatos kockázatok felmérése, besorolása és kezelése pedig nem végezhető el teljes körűen az abban szereplők aktív közreműködése nélkül.
Így a NIS2-elvárásokkal közvetlenül érintett vállalatok mellett közvetve olyan cégek is érintettekké válhatnak, amelyek mérete vagy ágazati besorolása amúgy nem tenné azt indokolttá.
A „Kibertan-törvény” elvárásai leszivárognak az alvállalkozókhoz is
A „Kibertan-törvényben” megfogalmazott elvárások az elsődlegesen érintett cégektől indulva lassan „leszivárognak” majd azok alvállalkozói kapcsolatain keresztül további cégekhez is, amit már gyakorlati tapasztalataink is megerősítenek.
Tanácsadóinkhoz érkeztek már megkeresések a NIS2-jogszabállyal egyáltalán nem érintett cégektől is, akik beszállítói olyan társaságoknak, amelyek viszont érintettek. Partnereik szeretnék alvállalkozóikat információbiztonsági szempontok alapján átvilágítani vagy nyilatkozattételre kérni a NIS2-elvárásokkal összhangban. Az ő esetükben akár kulcskérdés is lehet a vevőik által lefolytatott vizsgálatok eredménye, hiszen a jövőbeli tendereken való indulásukat is befolyásolhatják az itt szerzett „pontszámaik”.
A NIS2 szakmai mentorálás szolgáltatásunkat pont olyan ügyvezetőknek és menedzsereknek ajánljuk, akik jelenleg nem rendelkeznek információbiztonsági irányítási rendszerrel (IBIR), de partnerei vagy beszállítói a hazai „Kibertan-törvény” hatálya alá eső vállalatoknak, ezért szeretnének eligazodni a NIS2-auditok új jogszabályi követelményeiben és szeretnék megismerni az ezzel kapcsolatban náluk is felmerülő feladatokat és kihívásokat.
Kapcsolódó cikkeink
Új törvény szabályozza a kiberbiztonságot
A Parlament tegnap elfogadta a kiberbiztonsági szabályozás új keretrendszerét, a…
Tovább olvasom >KPMG: A karácsony 12 (kiber)fenyegetése
Az ünnepek előtti készülődést sokféleképpen töltik az emberek. Van, aki hal…
Tovább olvasom >Kiberbiztonsági tanúsítványt szerzett az LG
Az LG Electronics (LG) a közelmúltban megszerezte a globális tesztelő…
Tovább olvasom >További cikkeink
Master Good, Nestlé Hungária, Tesco Magyarország az idei győztes sorrend
A Trade magazin idén másodszor hirdette meg a Karácsonyi tv-reklámok…
Tovább olvasom >Átadásra kerültek a CO-OP Star idei Ezüstfenyő és Ezüstcsillag díjai
Ahogy minden évben karácsony előtt, úgy idén is, december közepén…
Tovább olvasom >Fogyó cégszámok, tartós félmilliós határ
2024-ben a társas vállalkozások száma várhatóan 12 ezerrel csökken, miközben…
Tovább olvasom >