A NIS 2 irányelvre való felkészülés minden szervezetre más, egyedi, cég-specifikus, de talán a következők lehetnek a leggyakoribb lépések:
- Felmérés és megfelelőség megértése: Értékelni a vállalat aktuális megfelelőségi szintjét a NIS 2 irányelvvel kapcsolatban. Ez a jogi követelmények áttekintése mellett annak megértését is jelenti, hogy mely kritikus infrastruktúrák érintettek, és milyen adatvédelmi, kiberbiztonsági intézkedések szükségesek.
- Célkitűzések meghatározása: Kitűzni a (reális!) célokat a megfelelés érdekében, beleértve az adatbiztonságot, a kiberbiztonsági kockázatok csökkentését, és az incidenskezelés javítását.
- Részletes kockázatelemzés készítése: Azonosítani a lehetséges sebezhetőségeket és fenyegetéseket, amelyek befolyásolhatják az IT rendszereket és az adatbiztonságot. Az elemzés segít meghatározni azokat a területeket, ahol nagyobb védelem szükséges.
- Biztonsági protokollok és irányelvek frissítése: Gondoskodni arról, hogy a jelenlegi protokollok megfeleljenek a NIS 2 követelményeinek. Az irányelv megköveteli a magas szintű védelmi intézkedések alkalmazását, ideértve a hozzáférés-szabályozást, titkosítást, és adatbiztonságot.
- Képzések szervezése: Érdemes oktatásokat tartani az alkalmazottak számára a NIS 2 előírásairól és az új biztonsági intézkedésekről. Az emberi tényező fontos, mert a legtöbb kibertámadás belső hibák miatt sikeres.
- Incidenskezelési terv kidolgozása: A NIS 2 megköveteli az incidenskezelésre vonatkozó terv meglétét, ami tartalmazza a bejelentési kötelezettségeket is. Világos, érthető folyamatot kell kialakítani, amelyek segítségével azonnal reagálni lehet egy támadásra.
- Beszállítók ellenőrzése: A NIS 2 egyik újítása, hogy az érintett beszállítóinknak is meg kell felelniük a rendeletnek. 2023. évi XXIII. trv.: 8. Alapvető követelmények, 19. § (4) „Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a (3) bekezdés szerinti követelményeknek a közreműködő esetében is teljesülniük kell.”
- Folyamatos monitorozás és auditálás: Elő kell készíteni a rendszeres auditálás és a biztonsági rendszer folyamatos monitorozásának folyamatát. A NIS 2 megköveteli a rendszerek folyamatos felügyeletét a potenciális fenyegetések és rendellenességek észlelésére.
- Kommunikációs protokollok kidolgozása: Biztosítani, hogy a belső és külső kommunikáció egyértelmű és gyors legyen az esetleges incidensek és események kezelése során.