ComputerTrends magazin 2024.04.10.
A ComputerTrends magazin 2024. április 10-én megjelent lapszáma.
A ComputerTrends magazin 2024. április 10-én megjelent lapszáma.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
KÓCZÉ PÉTER,<br />
Grant Thornton Magyarország,<br />
Digitális üzletág vezető<br />
BIZTONSÁG<br />
Grant Thornton: NIS2 –<br />
Keveseket érint, de sokakat formál<br />
A kiberbiztonsági tanúsításról és felügyeletről szóló törvény („Kibertan-törvény”)<br />
közvetlenül csak a gazdaság nagyobb szereplőire fókuszál, de az ellátási láncokon<br />
keresztül a cégek egy jóval szélesebb körére fog hatást gyakorolni.<br />
Az EU-ból indult NIS2 (Network<br />
Information System) 2024.<br />
elején érkezett meg Magyarországra<br />
a „Kibertan-törvény” képében,<br />
és kimondott célja a kockázatos ágazatokban<br />
működő nagyvállalatok kiberbiztonsági<br />
érettségének és ellenálló<br />
képességének növelése és rendszeres<br />
vizsgálata.<br />
Az új NIS2 ezért nem csak szigorúbb<br />
megfelelési követelményeket fogalmaz<br />
meg a korábbiakhoz képest, de jelentősen<br />
ki is szélesíti az érintett cégek<br />
körét, valamint egy olyan ellenőrzési<br />
és szankcionálási rendszert fogalmaz<br />
meg számukra, ami nagyban hozzájárulhat<br />
ahhoz, hogy a vállalkozások<br />
komolyan is vegyék az új kiberbiztonsági<br />
követelményeket.<br />
Az információbiztonsági<br />
kockázat a beszállítókra<br />
is kiterjedhet<br />
Amellett, hogy a NIS2 nagy hangsúlyt<br />
fektet a vállalatok működéséhez<br />
kapcsolódó információbiztonsági<br />
kockázatok azonosítására és elemzésre,<br />
konkrét lépéseket is elvár a<br />
cégektől az információbiztonsági<br />
kockázatok kezelésére. Sok vállalat<br />
működésében jelentős szerep hárul a<br />
partneri kapcsolatokra. Az ügyfelek<br />
kiszolgálása, a szolgáltatások biztosítása<br />
náluk már elképzelhetetlen külső<br />
partnerek és beszállítók közreműködése<br />
nélkül. Emiatt a NIS2 elkerülhetetlenül<br />
hatással lesz arra is, ahogyan<br />
ezek a társaságok az ellátási láncuk<br />
biztonságáról a jövőben gondolkozni<br />
fognak.<br />
A magyar „Kibertan-törvény” közvetlenül<br />
közel 50 főágazatot és közel 150<br />
alágazatot sorol fel tételesen, ahol<br />
a cégmérettől függően a menedzsmentnek<br />
foglalkoznia kell a kiberbiztonsági<br />
érettséggel, és az azokat<br />
vizsgáló kétévenkénti hatósági auditokkal.<br />
Előzetes becslések szerint nagyjából<br />
3000 cég regisztrációjára számít az<br />
auditálással megbízott hatóság.<br />
Ők azok a cégek, akik a NIS2 szigorú<br />
követelményrendszerében az ellátási<br />
láncokra vonatkozó kockázatkezelés<br />
fejezettel is szembe fognak találkozni.<br />
Az elvárt védelmi intézkedések tervezett<br />
katalógusában (19. Fejezet) a<br />
kutatás-fejlesztésben, a tervezésben,<br />
a gyártásban, a beszerzésben, a szállításban,<br />
az üzemeltetésben és a karbantartásban<br />
részt vevő alvállalkozókhoz<br />
kapcsolódóan többek között az alábbi<br />
feladatok találjuk:<br />
– Az ellátási láncra vonatkozó<br />
kockázatkezelés szabályzatának<br />
kialakítása<br />
– A kockázatok elemzésére és<br />
kezelésére vonatkozó eljárásrend<br />
bevezetése<br />
– Kontrollok kialakítása annak<br />
érdekében, hogy az ellátási lánccal<br />
kapcsolatos kockázatok és a<br />
lehetséges káresemények hatásai<br />
csökkenthetőek lehessenek<br />
– A kontrollokban adminisztratív<br />
eszközök mellett módszertanokat és<br />
eszközöket is alkalmazni kell<br />
– A beszállítói láncban szereplők által<br />
hordott kockázatokat rendszeres<br />
ellenőrzése<br />
A beszállítói lánccal kapcsolatos<br />
kockázatok felmérése, besorolása és<br />
kezelése pedig nem végezhető el teljes<br />
körűen az abban szereplők aktív közreműködése<br />
nélkül.<br />
Így a NIS2-elvárásokkal közvetlenül<br />
érintett vállalatok mellett közvetve olyan<br />
cégek is érintettekké válhatnak, amelyek<br />
mérete vagy ágazati besorolása amúgy<br />
nem tenné azt indokolttá.<br />
A „Kibertan-törvény”<br />
elvárásai leszivárognak az<br />
alvállalkozókhoz is<br />
A „Kibertan-törvényben” megfogalmazott<br />
elvárások az elsődlegesen érintett<br />
cégektől indulva lassan „leszivárognak”<br />
majd azok alvállalkozói kapcsolatain<br />
keresztül további cégekhez is, amit<br />
már gyakorlati tapasztalataink is<br />
megerősítenek.<br />
Tanácsadóinkhoz érkeztek már<br />
megkeresések a NIS2-jogszabállyal<br />
egyáltalán nem érintett cégektől is,<br />
akik beszállítói olyan társaságoknak,<br />
amelyek viszont érintettek. Partnereik<br />
szeretnék alvállalkozóikat információbiztonsági<br />
szempontok alapján átvilágítani<br />
vagy nyilatkozattételre kérni a NIS2-<br />
elvárásokkal összhangban. Az ő<br />
esetükben akár kulcskérdés is lehet<br />
a vevőik által lefolytatott vizsgálatok<br />
eredménye, hiszen a jövőbeli tendereken<br />
való indulásukat is befolyásolhatják az itt<br />
szerzett „pontszámaik”.<br />
A NIS2 szakmai mentorálás szolgáltatásunkat<br />
pont olyan ügyvezetőknek és<br />
menedzsereknek ajánljuk, akik jelenleg<br />
nem rendelkeznek információbiztonsági<br />
irányítási rendszerrel (IBIR),<br />
de partnerei vagy beszállítói a hazai<br />
„Kibertan-törvény” hatálya alá eső<br />
vállalatoknak, ezért szeretnének<br />
eligazodni a NIS2-auditok új jogszabályi<br />
követelményeiben és szeretnék megismerni<br />
az ezzel kapcsolatban náluk is<br />
felmerülő feladatokat és kihívásokat.<br />
30 | <strong>ComputerTrends</strong> | 2024. április