A NIS2 láthatatlan buktatói

Hacsak nem voltál az elmúlt hónapokban teljesen offline, pontosan látod, hogy a NIS2 nem egyszerűen egy új szabályozás. Sokkal inkább egy új működési logika, ami nem azt mondja meg, mit kell kipipálnod, hanem azt várja el, hogy bizonyítsd: a szervezeted képes kontroll alatt tartani a digitális kockázatait. Ez önmagában még nem lenne probléma. A gond ott kezdődik, hogy a legtöbb vállalat továbbra is a jogszabály szövegéből próbál működési modellt építeni, miközben a jogszabály szándékosan nem ad működési modellt.

A NIS2 ugyanis nem egy checklist. Nem tartalmaz kész kontrollrendszert, nem ír le konkrét folyamatokat, és nem mondja meg, pontosan hogyan kell egy szervezetnek működnie. A szabályozás kereteket ad, de a kitöltést a szervezetekre bízza. És pontosan itt nyílik meg az a rés, ahol a legtöbb cég félrecsúszik. Mikor nincs konkrét útmutatás, a cégek elkezdenek saját értelmezést gyártani.

A magyar piacon sokan még mindig úgy gondolják, hogy ha „értelmesen” implementálják a követelményeket, az elegendő lesz. Csakhogy a NIS2 világában nem az számít, te mit tartasz ésszerűnek. Az számít, hogy a hatóság mit tart elfogadhatónak.

Vannak olyan dokumentumok, amik papíron nem kötelezőek. A gyakorlatban viszont pontosan ezek írhatják le azt, hogyan néz ki egy „helyes” működés. Az auditorok ezekből dolgoznak, a hatóság ezekhez méri a megfelelést, és ezek mentén válik értelmezhetővé, hogy egy szervezet valóban kontroll alatt tartja-e a rendszereit, vagy csak formálisan teljesít. Egy audit során ez a különbség dönt arról, hogy megfeleltél vagy sem.

Ez különösen látványosan jelenik meg a beszállítói kapcsolatoknál. A legtöbb cégnek vannak szerződései, amik üzletileg és jogilag rendezettek, de kiberbiztonsági szempontból üresek. Az iránymutatások viszont egyértelművé teszik, hogy ez már nem elegendő. A beszállítói szerződéseknek tartalmazniuk kell a biztonsági elvárásokat, az incidenskezelés szabályait, a hozzáférések kontrollját és az ellenőrizhetőséget. A beszállító nem külső szereplő, hanem a saját kockázati felületed része.

Hasonló a helyzet az otthoni munkavégzéssel is. Sok szervezet úgy tekint rá, mint HR vagy kényelmi kérdésre, miközben a NIS2 szempontjából ez egy teljes értékű biztonsági környezet. Az iránymutatások nem elégszenek meg azzal, hogy van egy szabályzat vagy VPN-hozzáférés. Azt várják el, hogy az otthoni munkavégzés ugyanazokat a kontrollokat teljesítse, mint a belső hálózat: szabályozott eszközhasználatot, nyomon követhető hozzáféréseket, védett kommunikációt és auditálható működést.

Közben egy új kockázati terület is egyre hangsúlyosabbá válik: a mesterséges intelligencia használata. A legtöbb cég már használ valamilyen AI-alapú megoldást, de ezek tipikusan nincsenek nyilvántartva, nem részei a biztonsági architektúrának, és nem kezelik őket rendszerként. Az iránymutatások viszont kimondják, hogy ezek az eszközök is elektronikus információs rendszernek minősülhetnek, tehát ugyanúgy besorolás és kontroll alá tartoznak. Ez a gyakorlatban azt jelenti, hogy a „shadow AI” nemcsak technológiai, hanem compliance kockázat is lett.

Ugyanez jelenik meg az oktatás, továbbképzés területén is. A NIS2 nem egy évente kipipált tréninget vár, hanem rendszeres, szerepkörhöz igazított képzést, aminek hatása dokumentált és visszakövethető. Itt nem az a kérdés, hogy tartottál-e képzést, hanem az, hogy bizonyítani tudod-e: a szervezeted tudatosan működik. Ez a különbség papíron aprónak tűnik, de az audit során kritikus.

Talán a legösszetettebb terület mégis a munkavállalói eszközök ellenőrzése, ahol a kiberbiztonság, az adatvédelem és a munkajog találkozik. Sok szervezet inkább nem nyúl hozzá, mert tart a jogi következményektől, mások ellenőriznek, de nem megfelelő keretek között. Az iránymutatások ebben is konkrét kapaszkodót adnak: mit lehet vizsgálni, milyen feltételekkel, és hogyan kell dokumentálni az ellenőrzést ahhoz, hogy az egyszerre legyen jogszerű és auditálható.

Nem arról van szó, hogy van-e szabályzatod, hanem arról, hogy a szervezet működése mennyire kontrollált, átlátható és bizonyítható. És ez már nem technológiai részletkérdés, hanem üzleti kockázat.

Az iránymutatások értelmezése, a kontrollok kialakítása és az auditálható működés fenntartása nem oldható meg eseti jelleggel vagy mellék feladatként. Ez egy külön szakterület.

A HANGANOV -nál pontosan ezekre problémákban tudunk segíteni. Nem kizárólag dokumentációs megfelelésben gondolkodunk, hanem működési modellben. Az iránymutatások mentén kialakított rendszerek nemcsak auditálhatók, hanem a napi működés részeként is fenntarthatók, így a megfelelés nem külön teherként jelenik meg, hanem beépül a szervezet működésébe. A szervezet működésének része lesz a kockázatkezelés, a kontrollok működtetése és a megfelelés fenntartása.

Többet szeretne tudni?
Kérjen ajánlatot!

Küldjön nekünk üzenetet vagy kérjen ajánlatot gyorsan pár kattintással! Ajánlatkérésnél kérjük, hogy adja meg telefonszámát is, hogy mielőbb fel tudjuk venni Önnel a kapcsolatot az ajánlat részletes tartalmának egyeztetése céljából!

Ajánlatkérés - ajanlat@hanganov.hu