A NIS2 uniós irányelv legfőbb célja, hogy egységes keretet teremtsen a kiberbiztonsági előírásoknak az Európai Unióban, és ezáltal minden érintett cég (például távközlési szolgáltatók, pénzintézetek, közszolgáltatók, de akár kisebb nagyobb KKV cégek is) komolyan és mérhetően foglalkozzon az IT-biztonsággal. A gyakorlatban azonban még sok a bizonytalanság és a megválaszolatlan kérdés, ami komoly terhet ró a rendszergazdákra. Ők azok, akiknek a feladata, hogy a napi üzemeltetés mellett már most elkezdjék bevezetni a szükséges új kontrollokat, pedig a hivatalos követelmények kidolgozása – pláne azok gyakorlati útmutatói – sokszor még mindig hiányosak vagy képlékenyek. Hol akadnak el a folyamatok? A legnagyobb kihívást jelenleg az jelenti, hogy a NIS2-t hazai szinten szabályozó törvények és rendeletek csak fokozatosan válnak publikussá. Így a rendszergazdák, illetve az IT-csapatok többnyire homályos megfogalmazások és megjelenés előtt álló előírások alapján kénytelenek dolgozni. Sok cégnél már feltették a kérdést: „Miért kellene most átépíteni a rendszereinket, ha néhány hónap múlva valószínűleg újra változnak az elvárások?” A határidők ráadásul rendkívül szorosak. Miközben az EU és a hazai szabályozók előírják, hogy 2024 végéig szerződni kellett volna az auditorokkal, valójában csak nemrég jelentek meg a kiberbiztonsági audit menetét és díját meghatározó rendeletek, és még mindig akadnak hiányzó részletszabályok. Így szinte lehetetlenné válik a pontos tervezés: a rendszergazdák folyton azon gondolkodnak, hogyan lehetne megfelelni egy olyan keretrendszernek, amelynek több eleme még nincs is véglegesítve. Miért ennyire fontos a rendszeres audit? Egy külső, független audit átvilágítja a cég rendszereit, és segít rávilágítani olyan sebezhetőségekre, amelyek a mindennapi üzemeltetésben gyakran rejtve maradnak. Gondoljunk csak bele: ha egy vállalatnál már évek óta nem aktualizálták a biztonsági protokollokat, vagy ha a kollégák „tűzoltás jelleggel” végeznek szoftverfrissítéseket, akkor az audit során hamar kiderülhet, hol vannak komoly javítanivalók. Az auditorok által felállított objektív helyzetkép később abban is irányt mutat, hogy milyen beavatkozásokkal érhető el a NIS2 megfelelés, ráadásul hosszabb távon tényleges költségmegtakarítást is jelenthet a kialakult stabil, biztonságos működés. Ha szeretnél előre felkészülni a kötelező ellenőrzésekre, akár egy ingyenes rendszerauditot is kérhetsz. Ez már az első lépés lehet a teljes átvilágítás és a NIS2-nek való megfelelés felé, ha nem is érinti cégedet a NIS2 akkor még inkább érdemes egy ilyen informatikai rendszeraudiot kérnek, hiszen segít tisztábban látni a céges IT-környezet aktuális állapotát, nem csak biztonsági szempontokból de akár hatékonysági szempontokat is figyelembe véve. A rendszergazdák nehéz helyzete A vállalatok jelentős részénél a rendszergazdák felelnek azért, hogy a céges hálózat, az adatbázisok és a szoftverek megfelelően működjenek, biztonságosak maradjanak. A mindennapi üzemeltetés mellett azonban a NIS2 miatt egyre több feladat hárul rájuk: szabályzatokat kell átdolgozni, új biztonsági kontrollokat kell bevezetni, sőt, gyakran a vállalat vezetőségének is be kell mutatni, hogy miért fontos a kiberbiztonságba időt és pénzt fektetni. Mindezt úgy, hogy a konkrét követelmények folyamatosan változnak, ezért sokan kényszerülnek a „várjuk ki a végét” megközelítésre. Sajnos az is előfordulhat, hogy a vállalatok az utolsó pillanatra hagyják az átállást, és amikor a hatóságok már számon kérik a NIS2 előírásait, nehéz lesz gyorsan pótolni a lemaradást. Nem csoda, ha sok rendszergazda túlterheltnek érzi magát, hiszen a határidők várhatóan többször is csúsznak, a megfeleléshez viszont mégis rövidnek tűnik az idő. Kivezető út a káoszból A legfontosabb, hogy senki ne várjon addig, amíg „végleges verzió” címszóval megjelenik minden szabályozás. Érdemes minél előbb megkezdeni a saját belső folyamatok, jogosultságkezelések, naplózási rendszerek és biztonsági mentések felülvizsgálatát. Ha a vállalatnál már felkészült környezet és naprakész dokumentáció áll rendelkezésre, akkor jóval könnyebb lesz alkalmazkodni az új előírásokhoz. Ezenkívül a külső szakértői segítség igénybevétele is rengeteg terhet levehet a rendszergazdák válláról. A NIS2 elsősorban valóban a vállalatok biztonságát szolgálja, de a cél csak akkor érhető el, ha a felkészülés nem pusztán „pipa a megfelelő rubrikákban”, hanem valódi szemléletváltással is jár. A rendszergazdáknak tehát már most kulcsszerepük van abban, hogy a cég tudatosan készüljön a várható ellenőrzésekre.Érdekel, hogyan optimalizálhatod céged IT rendszereit?Üdvözöllek, Horváth Zoltán vagyok a BUSINESS-IT csapatából. Több mint 18 éve dolgozom az IT területén, és szenvedélyesen hiszek az IT adta lehetőségekben, különösen az automatizálásban, amely segíti a hatékonyságnövelést. Célom, hogy megismerjem céged speciális igényeit, feltárjam rejtett lehetőségeit és támogassalak abban, hogy Informatikai rendszereid biztonságosabbak és hatékonyabbak legyenek, miközben csökkentjük az üzemeltetési költségeket. Szeretnék felajánlani egy rövid, 25 perces megbeszélést, ahol átbeszélhetjük, hogyan teheted még jobbá céged IT működését. Függetlenül attól, hogy a jövőben együtt dolgozunk-e, már ezen a találkozón is olyan hasznos információkkal gazdagodhatsz, amelyeket azonnal alkalmazhatsz. Mikor lenne alkalmas számodra egy rövid eszmecsere velem? Csak add meg neved és telefonszámod, és hamarosan felhívunk, hogy időpontot egyeztessünk.

← Vissza a bloghoz Kérdése van? Írjon nekünk!