Kiberbiztonság: keveseket érint, de sokakat formál a NIS2

A kiberbiztonsági tanúsításról és felügyeletről szóló törvény („Kibertan-törvény”) közvetlenül csak a gazdaság nagyobb szereplőire fókuszál, de az ellátási láncokon keresztül a cégek egy jóval szélesebb körére fog hatást gyakorolni – írja a Grant Thornton szakmai blogja.

A kiberbiztonsági tanúsításról és  felügyeletről szóló törvény („ Kibertan-törvény”) közvetlenül csak a gazdaság nagyobb szereplőire fókuszál, de az ellátási láncokon keresztül a cégek egy jóval szélesebb körére fog  hatást gyakorolni.  

Az EU-ból indult NIS2 (Network Information System) 2024. elején érkezett meg Magyarországra a „Kibertan-törvény” képében, és kimondott célja a kockázatos ágazatokban működő nagyvállalatok kiberbiztonsági érettségének és ellenállóképességének növelése és rendszeres vizsgálata.  

Az új NIS2 ezért nem csak szigorúbb megfelelési követelményeket fogalmaz meg a korábbiakhoz képest, de jelentősen ki is szélesíti az érintett cégek körét, valamint egy olyan ellenőrzési és szankcionálási rendszert fogalmaz meg számukra, ami nagyban hozzájárulhat ahhoz, hogy a vállalkozások  komolyan is vegyék  az új kiberbiztonsági követelményeket.

Amellett, hogy a NIS2 nagy hangsúlyt fektet a vállalatok működéséhez kapcsolódó információbiztonsági kockázatok azonosítására és elemzésre, konkrét lépéseket is elvár a cégektől az információbiztonsági kockázatok kezelésére.  Sok vállalat működésében jelentős szerep hárul a partneri kapcsolatokra. Az ügyfelek kiszolgálása, a szolgáltatások biztosítása náluk már elképzelhetetlen külső partnerek és beszállítók közreműködése nélkül. Emiatt a NIS2 elkerülhetetlenül hatással lesz arra is, ahogyan ezek a társaságok az ellátási láncuk biztonságáról a jövőben gondolkozni fognak. 

A magyar „Kibertan-törvény” közvetlenül közel 50 főágazatot és közel 150 alágazatot sorol fel tételesen, ahol a cégmérettől függően a menedzsmentnek foglalkoznia kell a kiberbiztonsági érettséggel, és az azokat vizsgáló kétévenkénti hatósági auditokkal. Előzetes becslések szerint nagyjából 3000 cég regisztrációjára számít az auditálással megbízott hatóság.  

Ők azok a cégek, akik a NIS2 szigorú követelményrendszerében az ellátási láncokra vonatkozó kockázatkezelés fejezettel is szembe fognak találkozni.  Az elvárt védelmi intézkedések tervezett katalógusában (19. Fejezet) a kutatás-fejlesztésben, a tervezésben, a gyártásban, a beszerzésben, a szállításban, az üzemeltetésben és a karbantartásban részt vevő alvállalkozókhoz kapcsolódóan többek között az alábbi feladatok találjuk: 

• Az ellátási láncra vonatkozó kockázatkezelés szabályzatának kialakítása 
• A kockázatok elemzésére és kezelésére vonatkozó eljárásrend bevezetése 
• Kontrollok kialakítása annak érdekében, hogy az ellátási lánccal kapcsolatos kockázatok és a lehetséges káresemények hatásai csökkenthetőek lehessenek 
• A kontrollokban adminisztratív eszközök mellett módszertanokat és eszközöket is alkalmazni kell  
• A beszállítói láncban szereplők által hordott kockázatokat rendszeres ellenőrzése 

A beszállítói lánccal kapcsolatos kockázatok felmérése, besorolása és kezelése pedig nem végezhető el teljes körűen az abban szereplők aktív közreműködése nélkül.

Így a NIS2-elvárásokkal közvetlenül érintett vállalatok mellett közvetve olyan cégek is érintettekké válhatnak, amelyek mérete vagy ágazati besorolása amúgy nem tenné azt indokolttá. 

A teljes blogbejegyzés elolvasható itt.