A NIS2 a board asztalára teszi a kiberkockázatot: stratégiát, kijelölt felelősöket és számonkérhető vezetői döntéseket vár el.
Ha érintett vagy, már látod: a NIS2 nem „IT-szabályzat projekt”, hanem vállalatirányítási kérdés. A cél nem az, hogy papíron szép legyen, hanem hogy a kiberkockázat kezelése ugyanúgy működjön, mint bármely más üzleti kockázaté: átláthatóan, eldönthetően, mérhetően.
Ki, miért felelős?
A 7/2024. MK rendelet szerinti elvárásoknál is ez a lényeg: legyen felelőse, legyen folyamata, legyen bizonyítéka.
Tehát: ha érintett vagy ne egy „szabálykönyvet” hozz létre, hanem a menedzsment alkosson egy működő folyamatot, ahol minden szereplőnek megvan a feladata, felelőssége.
Egy gyakorlati példa a felelősségek megosztására:
Board / ügyvezetés: meghatározza a kockázati étvágyat: mi az a kiesés/veszteség, ami már nem fér bele, jóváhagyja a kiberbiztonsági stratégiát és költségkeretet, kijelöli a felelős szerepköröket, és számon kéri a teljesítést. Nem technológiáról dönt, hanem *üzleti kockázatról*.
Felsővezetés (CIO/CTO/CISO): lefordítja a stratégiát végrehajtható programra: kontrollok, ütemterv, erőforrás, prioritás. Gondoskodik róla, hogy az incidenskezelés, beszállítói kockázat, változáskezelés és üzemeltetés összeérjen, és ne silókban működjön.
Kockázat/megfelelőség (risk, DPO, belső kontroll): kialakítja a kockázati nyilvántartást, módszertant, bizonyítékolást; felügyeli a kontrollok működését és a hiányosságok kezelését. Ők tartják egyben a „bizonyíthatóságot”: mi van meg, mi nincs, miért.
Középvezetők / szolgáltatástulajdonosok: a napi működésben érvényesítik a kontrollokat (jogosultságok, mentések, változtatások, beszállítók), és incidensnél ők az első döntési szint. Náluk dől el, hogy a folyamat él-e vagy csak dokumentum.
Operatív csapatok (IT/üzemeltetés/fejlesztés): végrehajtás és mérés: patching, sérülékenységkezelés, naplózás, riasztások kezelése, mentés-visszaállítás teszt, hardening, hozzáférések. Ők adják az adatot és a bizonyítékot.
Hogyan csináld jól, hogy ne legyen teher
Összeszedtünk néhány gondolatot saját eszköztárunkból, amik segíthetik az audit sikerét és a napi biztonságmenedzsmentet is
- Tedd le a kiberkockázati térképet a vezetés elé. 5–10 top kockázat üzleti hatással (kiesés, bevétel, bírság, reputáció). Ne eszközlistát vigyél, hanem döntési anyagot.
- Rögzíts felelősséget RACI-val. Ki dönt, ki végrehajt, kit kell bevonni, kit értesíteni – és legyen incidens-eszkalációs út is, névvel és helyettessel.
- Válassz kevés, de nagy hatású kontrollt. MFA, mentés–visszaállítás *tesztelve*, patch- és sérülékenységmenedzsment, jogosultságok rendszeres felülvizsgálata, naplózás/riasztás, endpoint védelem, beszállítói minimumok, tudatosság.
- Incidenskezelés = forgatókönyv + gyakorlat. Playbookok (pl. ransomware, adatlopás, szolgáltatás-kiesés), kommunikációs sablonok, eszkaláció. Évente legalább egy asztali gyakorlat vezetői részvétellel.
- Beszállítói lánc: bizonyítékot kérj, ne ígéretet. SLA, incidens-értesítési kötelezettség, audit/tanúsítvány, alvállalkozók átláthatósága. Tudd, hol fut a kritikus adat és folyamat.
- Mérj egyszerűen és rendszeresen. 10 KPI elég: MFA lefedettség, kritikus patch átfutás, mentés sikeresség és visszaállítási idő, hozzáférés-felülvizsgálat arány, riasztások kezelési ideje, phishing teszt eredmény. Trend kell, nem dashboard-cirkusz.
- Kösd üzleti célhoz. A NIS2 szemléletváltásból kézzelfogható nyereség lesz: kevesebb kiesés, gyorsabb helyreállás, stabilabb üzem, jobb ügyfélbizalom – és sokszor könnyebb beszállítói/partneri tárgyalások.
Ritmus és rendszeresség
A megfelelés akkor lesz „élő”, ha ritmust adsz neki: például havi kockázati review a top kockázatokról, negyedéves kontroll-ellenőrzés, éves incidensgyakorlat.
Mitől lehet még könnyebb?
Mi is dolgozunk egy saját megközelítésen miközben elkészülünk. Hamarosan megosztjuk, hogyan fordítjuk át ezt működő, bizonyítható kontrollokra úgy, hogy a szervezet ne terhet, hanem értéket érezzen belőle. Jövünk még a további részletekkel!
Nekünk a felkészülésben sokat segített a Nemzeti Kibervédelmi Intézet katalógusa, megosztjuk veletek is, hátha még nem késő:
https://nki.gov.hu/it-biztonsag/kiadvanyok/segedletek/eir-utmutato/
Következő bejegyzésünkben a legfontosabb és egyben leggyengébb láncszemmel: az emberi tényezővel foglalkozunk.
Ha beszállítóként, vagy ügyfélként addig is kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!
András
