A NIS 2 felkészülés első lépéseként jellemzően a „GAP elemzést” szokták javasolni, de mi is ez pontosan?
A NIS 2 irányelv szerinti GAP elemzés egy módszertan, egy olyan munka amely segít azonosítani az adott szervezet jelenlegi megfelelőségi szintjét az Európai Unió új, kiberbiztonsági követelményeket meghatározó NIS 2 irányelvével szemben.
A GAP elemzés lényege, hogy feltárja az eltéréseket (angolul: gaps) a szervezet jelenlegi gyakorlatai és a rendelet által előírt követelmények között. Ez a folyamat előkészíti a szükséges megfelelőségi intézkedések végrehajtását.
Konkrét lépések a NIS 2 szerinti GAP elemzéshez:
1. Szervezet tevékenységi körének elemzése
- Eldönteni, hogy a szervezet a NIS 2 által érintett szektorok és szolgáltatások (pl. alapvető szolgáltatások, kritikus infrastruktúrák, digitális szolgáltatók) közé tartozik-e. Ehhez több helyen, például a hatósági oldalon is találunk segítséget.
- Azonosítani a releváns kritériumokat, például méret (KKV vagy nagyvállalat), tevékenységi kör, kockázati profil.
2. NIS 2 követelmények feltérképezése
- Az irányelv elvárásai:
- Kockázatkezelési elvárások: Biztonsági irányítás, incidenskezelés, kiberhigiénia.
- Szabályozási követelmények: Jelentési kötelezettségek, auditálás.
- Műszaki és szervezeti intézkedések: Például hálózati biztonság, adatszivárgás megelőzése, incidensérzékenység.
3. Jelenlegi állapot felmérése
- Meg kell vizsgálni a meglévő biztonsági és kockázatkezelési folyamatokat, technológiákat, és irányelveket.
- Fel kell mérni, hogy a meglévő szabályozások (pl. IBSZ, BCP/DRP, GDPR, ISO 27001) mennyire támogatják a NIS 2 megfelelést.
4. Eltérések (GAP-ek) azonosítása
- A fenti munkák után össze lehet vetni a meglévő állapotot a NIS 2 követelményekkel.
- Azonosítani kell a hiányosságokat mind technológiai, mind szervezeti szinten (pl. hiányzó biztonsági szabályzatok, nem megfelelő incidenskezelési folyamatok).
5. Kockázatelemzés
- Prioritás szerint kell osztályozni az azonosított eltéréseket a kockázati hatásuk és valószínűségük alapján.
- El kell dönteni, mely területek igényelnek azonnali beavatkozást.
6. Javító intézkedési terv kidolgozása
- Fontos egy részletes akcióterv (cselekvési terv, ütemterv stb.) kidolgozása a hiányosságok megszüntetésére:
- Felelősök kijelölése.
- Határidők meghatározása.
- Erőforrásigények kalkulálása.
7. Kommunikáció és tudatosság növelése
- Tájékoztatni kell az érintett vezetőket és csapatokat a GAP elemzés eredményeiről.
- Képzéseket kell indítani a NIS 2 elvárásokról és az új folyamatokról. Nem egyet, hanem feladatkörönként/szerepkörönként, döntési szintenként, érintettségek alapján.
8. Folyamatos nyomon követés
- Rendszeres ellenőrzéseket és felülvizsgálatokat kell végezni, hogy biztosítani lehessen a megfelelő előrehaladást.
- Folyamatos kockázatkezelési eljárásokat kell alkalmazni.
- Különös tekintettel kell lenni a folyamatokba beépíthető, kockázatokkal arányos kontrollokra és az automatizálhatóságra.
Eredmény
A GAP elemzés végén világos képet lehet kapni arról, hogy milyen hiányosságok vannak a jelenlegi gyakorlatok és a NIS 2 megfelelési követelmények között, valamint konkrét lépések listája készül, amelyek szükségesek ezek áthidalásához.
Kiegészítő javaslatok
- Érdemes külső tanácsadót bevonni, különösen akkor, ha a szervezet nem rendelkezik megfelelő belső szakértelemmel a NIS 2 megfelelés érdekében.
- Kombinálni lehet természetesen a GAP elemzést más auditokkal (pl. GDPR, ISO 27001), a szinergiák kihasználása érdekében.