Az év végére már lassan minden érintett megbarátkozott a NIS2-vel, bár egyelőre az útkeresés jellemzi a hazai cégeket. Mindenki próbálja megtalálni a helyes irányt, de valójában sok még a bizonytalanság, és sokan reménykednek abban, hogy a valóság az általuk vágyott módon alakul. Bár a „best practice”-ről korai lenne beszélni, tapasztalatokról már lehet.
A NIS2 nemcsak egy újabb jogi papír
A NIS2 hatálya alá tartozó szervezeteknek, túl az önbevalláson, már el kellett készíteniük az első GAP analízist. Utóbbi azt vizsgálja, hogy a szervezet mennyire felel meg a jogszabályban foglalt elvárásoknak, és azonosítja azokat a területeket, ahol még hiányosságok vannak, és amelyeket meg kell szüntetni.
„Ami különösen tetszik a NIS2-ben, hogy eredményorientált. Ha összevetjük a témában sokszor párhuzamként hozott GDPR-ral, egyértelműen látszik, hogy míg a GDPR sokkal inkább a jogi és elméleti megközelítés felé orientálódott, addig a NIS2, a jogi kereteken túlnyúlva, elérendő célokat tűz ki a cégek elé. A NIS2 esetében nem az számít, hogy milyen módon éred el a kitűzött célt, hanem az, hogy képes vagy-e felmutatni az elvárt eredményt. Például nem elég vásárolni egy szoftvert az eredmény eléréséhez, hanem meg kell győződni arról, hogy az adataid megfelelően vannak tárolva, és a visszaállítást is tesztelni kell. Magyarán, nem elég elméletben megfelelni, mert a gyakorlatban kell mindezt felmutatni, hitelt érdemlően igazolva” – mondta Dávid András, a RelNet alapítója.
Meglátása szerint a NIS2 filozófiáján érződik az, hogy olyanok is részt vettek a megalkotásában, akik nap mint nap szembesülnek az európai kiberbiztonság általános problémáival.
Mire mutat a legtöbb GAP analízis?
„A gyakorlati tapasztalataink alapján egy szóval össze tudnám foglalni: a menedzsmentre. A menedzsment megoldások területén nagyon sok hiányosságot látunk, legyen szó jelszómenedzsmentről vagy service desk megoldásokról. Az alapvető infrastruktúra, storage, szerverek, switchek, tűzfalak, már mindenhol ott vannak, de a folyamat- és eszközmenedzsment területén komoly elmaradásokat látunk” – osztotta meg tapasztalatait Dávid András.
A tapasztalat pedig azt mutatja, hogy a cégméret jelen esetben nem számít, a magyar piacon jelen lévő szervezetek zöme ugyanabból a sebből vérzik.
– mondta a RelNet alapítója.„A menedzsment hozzáállása többet számít, mint a cégméret vagy az iparági szegmens. Meglepő módon a nagy cégeknél is látunk lassúságot, míg a kisebb cégek sokkal gyorsabban felismerik a változások szükségességét. A menedzsment megoldások nemcsak megfelelnek a NIS2 követelményeinek, hanem értéket is teremtenek. Egy jól bevezetett IT folyamatmenedzsment rendszer akár 10-20%-kal csökkentheti a munkaerőigényt, így a NIS2 megfelelés nem csak költség, hanem befektetés is a jövőbe”– mondta a RelNet alapítója.
Két jogszabályra figyel a magyar piac
Ami pedig a piac jelenlegi érdeklődését illeti, Dávid András szerint a tavalyi és az idei évben az ügyfelektől származó megkeresések jelentős része a NIS2-vel vagy a DORA-val kapcsolatos volt. Ez azt mutatja, hogy mindenki figyelme erre a két jogszabályra és a kritériumoknak való megfelelésre irányul.
„Aki sikeres akar lenni, annak ezekre a területekre kell fókuszálnia. Az ügyfelek is ide összpontosítják energiáikat és pénzüket. Mi létrehoztunk egy saját fejlesztésű mátrixot, amely megmutatja, hogyan kapcsolódnak a termékeink a NIS2 követelményeihez. Ha egy ügyfél GAP analízise feltár valamilyen hiányosságot, akkor meg tudjuk mutatni, hogyan oldhatják meg azt az általunk kínált termékekkel. Szerencsére eddig nincs olyan kontrollpont, amihez ne tudnánk egynél több megoldást javasolni” – zárta Dávid András, aki az Infotér Konferencia NIS2 felkészülés és jogszabályi változások. Mit kell tudni? című kerekasztal-beszélgetésén is megosztja tapasztalatait.
