Nem állnak túl jól a magyar vállalkozások a data governence területéhez tartozó folyamatok bevezetésében és használatában, ahogy abban sem, hogy a saját adataikat pénzzé tegyék. Ahogyan a Portfolio Conferences és a Wolters Kluwer Hungary közös szervezésében megrendezett Digital Compliance by Design&Legaltech Konferencián is elhangzott, a kiberbiztonsági jogi környezet átfogó változása is rámutat arra, hogy egyre növekszik a kibertámadások kockázata, és ezek az incidensek nemcsak a nagyvállalatokat érinthetik, hanem a kibervédelemmel kevésbé foglalkozó kkv-kat is – számol be a portfolio.hu
„Az az adat nem monetizálható, ami nincs governálva” – adta meg az alaphangot az Adatgazdaság – ott az adat, hogyan lehet jogszerűen monetizálni? c. panelbeszélgetéshez Firniksz Judit, a Wolters Kluwer Hungary által felkért tudományos tanácsadó, a PPKE Versenyjogi Kutatóközpont kutatója moderátorként, rámutatva, hogy a data governance és az ezzel kapcsolatos adatkezelési folyamatok egy olyan terület, amelyben rengeteg szakkifejezést, és azt is főleg angolul használnak, ez pedig nagyban megnehezíti a vállalkozások helyzetét abban, hogy azokat a vállalati kultúra részévé tegyék, a munkavállalók magukénak érezhessék. Márpedig nem sok választásuk van, hiszen a terület szabályozása rohamtempóban zajlik, a jogszabályoknak pedig minden cégnek meg kell felelnie.
„A folyamat a jó minőségű adatok előállításával kezdődik, és akár egy belső vállalati szótár létrehozásával, mert ennek hiányában nem tud elindulni a diskurzus, a folyamat megértése.”
(Firniksz Judit, a Wolters Kluwer Hungary által felkért tudományos tanácsadó – fotó: Stiller Ákos/Portfolio)
Abszinger Péter, a DEKRA Azure Cloud Management globális vezetője szerint egy jó data governance struktúra kiépítéséhez meg kell keresni, hogy milyen adatokra van szükség, és jó esetben az úgynevezett dark data-t is felhasználják.
Ha elkezdenek egy ilyen folyamatot egy cégnél, annak komplexitása a vállalat méretétől függ, ha több országban is működik, több alprogramból áll, és nagyon hosszú időt vehet igénybe. A végső cél, hogy egy olyan struktúra jöjjön létre, amely végén az adatok döntéshozatali szinten felhasználhatóvá válnak, egy döntéstámogató eszköz lesz a végeredmény.
(Abszinger Péter, a DEKRA Azure Cloud Management globális vezetője – fotó: Stiller Ákos/Portfolio)
Bereczki Tamás ügyvéd, a Provaris partnere kitért rá, hogy nemcsak az az adat bír értékkel, amely „governálva van”, de az is, amiről nem is tud az adott vállalat, ez a korábban említett dark data, amely az olyan, „szekrényben felejtett” digitális aktákat jelenti, amikhez jellemzően „inkább nem nyúlunk, mert abból csak baj lesz.” Bereczki szerint az adatkezelés egy olyan menedzsment folyamat, aminek lehet hozzáadott értéke a döntéshozatal szempontjából, az uniós irányelvek és jogszabályok betartása mellett a lényeg, hogy a cég jól használja fel az adatokat.
(Bereczki Tamás ügyvéd – fotó: Stiller Ákos/Portfolio)
Ződi Zsolt, a Nemzeti Közszolgálati Egyetem Eötvös József Kutatóközpontjának Legaltech projektvezetője szerint mindenféle adatkezeléssel kapcsolatos folyamat ide tartozik, évtizedek óta velünk van az adatvédelem, a személyes adatokat a cégen belül hogyan kell kezelni, tulajdonképpen ezek mind a data governence területéhez tartoznak. Rossz hír, hogy ezeknek a folyamatoknak a bevezetésében, használatában a magyar vállalkozások nem állnak túl jól, ahogy abban sem, hogy a saját adataikat pénzzé tegyék, vagyis hasznukra tudják fordítani.
(Ződi Zsolt, a Nemzeti Közszolgálati Egyetem Eötvös József Kutatóközpontjának Legaltech projektvezetője – fotó: Stiller Ákos/Portfolio)
A kiberbiztonság szabályozási környezetének változása c. panelbeszélgetésen a moderátor, Varga Gábor mesterséges intelligencia és innovációs szakértő kiemelte, hogy a vállalkozásokra záporoznak nem csak az információk, hanem a követelmények is, hiszen egyszerre kell teljesíteniük a jogi és a kiberbiztonsági szakmai megfelelést is.
(Varga Gábor mesterséges intelligencia és innovációs szakértő – fotó: Stiller Ákos/Portfolio)
Arról, hogy milyen kiberbiztonsági jogszabályok vonatkoznak az adatokra Európában és Magyarországon, Vári Csaba CIPP/E, CIPM, a Baker McKenzie ügyvédje beszélt a konferencián. A 2016-os NIS irányelv volt az első közösségi szintű szabályozás az információbiztonság területén, ezt Magyarországon a 2013. évi L. tv. implementálta, ami az állami és önkormányzati szervek elektronikus információbiztonságáról rendelkezik. A 2022-es NIS 2 irányelv már sokkal több vállalkozást érint az EU tagállamaiban, hazánkban ez a 2023. évi XXIII. tv.-ben lett implementálva (Kibertan tv.). Ez is egy kockázat alapú megközelítést alkalmaz abból a szempontból, hogy mennyire kritikusak a szervezetek információbiztonsági szempontból. Kiemelten kockázatos ágazatnak számít például az energetika, a közlekedés, az egészségügy és a gyógyszeripar.
(Vári Csaba CIPP/E, CIPM, a Baker McKenzie ügyvédje – fotó: Stiller Ákos/Portfolio)
A kritikus szervezetek rezilienciájáról szóló irányelv nagyjából egyidős a NIS 2 irányelvvel, ezt magyar jogszabály még nem implementálta, viszont a kiberbiztonsági jogszabályt a Szabályozott Tevékenységek Felügyeleti Hatóságról (SZTFH) szóló törvény szabályozza. “A kiberbiztonságban rengeteg alacsonyabb szintű jogszabály is van, és még nagyon sok újabb rendeletnek kell megszületnie a NIS 2 mentén, amelyek életképessé fogják tenni ezt a keretrendszert.”
Répás József, az Alverad Technology Focus Kiberbiztonsági KFI üzletágvezetője elmondta, hogy Magyarország már sokkal hamarabb foglalkozott az információbiztonsággal, mint más országok. Az állami és önkormányzati szervek biztonságáról szóló 2013. évi L. tv. vonatkozásában a Nemzeti Kibervédelmi Intézet folytat ellenőrzéseket, az SZTFH pedig majd az új követelményrendszer alapján fog. Lehetnek olyan cégek, akiket mindkét hatóság égisze alatt megmérettetnek, de a követelményrendszer ugyanaz lesz. „Annyiból jobb a Kibertan tv. megközelítése, hogy egyértelműen a szervezet vezetője a felelős, mivel vezetői hatáskörben van ezeknek a feladatoknak a delegálása.”
(Répás József, az Alverad Technology Focus Kiberbiztonsági KFI üzletágvezetője – fotó: Stiller Ákos/Portfolio)
Varga Zoltán, a Magyar Suzuki Zrt. HR és Jogi igazgatója szerint a közérthetőség mellett rendkívül fontos a láthatóság, amire szervezetfejlesztés szempontjából minden cégnek gondolnia kell. Egy nagy szervezetben a kollégák nem ismerik egymást, sokszor nem tudják, hogy ki, mivel foglalkozik, a láthatóság nagyon sokszor hiányzik a jogi és a compliance osztályokon, de még a kibervédelem területén is, ami hátrányt jelenthet a jogi megfelelés vonatkozásában. A kiberincidensekről elmondta, hogy hazánkban egyelőre nem igazán ismerjük azokat, nem jelentjük be őket és ha szervezetben történik is valami, a szervezeten belül sem osztjuk meg. “Szerintem a tudatosításnak az is a része, hogy a hibákat vagy a szervezeti tanulságokat megosszuk házon belül.”
(Varga Zoltán, a Magyar Suzuki Zrt. HR és Jogi igazgatója – fotó: Stiller Ákos/Portfolio)
