Tegyük fel, hogy a NIS 2 rendelet szerinti hiányosság-elemzés elkészült. Mi a következő lépés?
Hát, ha jó a gap elemzés, akkor annak ezt tartalmaznia kellene…
Azaz, a gap elemzést egy cselekvési tervvel lenne jó zárni, összeírva, hogy mik a feltárt hiányosságok.
Ezt a cselekvési tervet a cégvezetéssel egyeztetve lehet pontosítani, meghatározni a prioritásokat, végrehajtási ütemezést, erőforrásokat.
Az alábbi lépések következHETnek például a megfelelőség elérése és a biztonsági szint javítása érdekében:
1. Eredmények áttekintése és priorizálás
- Elemzés megbeszélése: A GAP elemzés eredményeinek prezentálása a vezetőség és érintett felek számára.
- Hiányosságok rangsorolása: A feltárt eltérések priorizálása a kockázati szintjük alapján. Fontosabbá válnak azok az eltérések, amelyek:
- Nagy kockázatot jelentenek az üzletmenetre vagy adatbiztonságra.
- Jelentős jogi vagy pénzügyi következményekkel járhatnak.
- Rövid távon javíthatók („quick win”).
2. Cselekvési terv kidolgozása
- Részletes tervezés: A GAP elemzés alapján részletes terv készítése szükséges a hiányosságok megszüntetésére. Ez magában foglalja a:
- Konkrét tevékenységeket.
- Felelősök kijelölését.
- Ütemterv meghatározását.
- Költségvetés becslését.
- Fókuszterületek: Tipikus fókuszterületek lehetnek:
- Incidenskezelési eljárások fejlesztése.
- Biztonsági szabályzatok és protokollok frissítése.
- Alkalmazottak képzése a kiberbiztonság és a NIS 2 előírások terén.
- Technológiai fejlesztések, például monitoring rendszerek telepítése.
3. Hiányosságok megszüntetése
- Technológiai fejlesztések:
- Olyan eszközök vagy eljárások alkalmazása, amelyek segítenek a hálózati és informatikai rendszerek védelmében (pl. tűzfalak, SIEM rendszerek, behatolás-észlelő eszközök).
- Rendszerarchitektúra frissítése, hogy megfeleljen a NIS 2 elvárásoknak.
- Szervezeti változtatások:
- A szervezeten belüli kiberbiztonsági tudatosság növelése.
- Világos és egyértelmű felelősségi körök és hatáskörök kijelölése, esetleges összeférhetetlenségek megállapítása, kezelése.
- Adatkezelési és incidenskezelési eljárások módosítása, fejlesztése.
- Dokumentáció és szabályzatok:
- Szabályzatok a hálózati biztonság, incidenskezelés, adatvédelem és megfelelőség terén.
- Naprakészre hozni minden kapcsolódó dokumentációt.
4. Képzés és tudatosság növelése
- Célzott képzések: képzések a munkavállalók számára az incidenskezelési protokollokról, az információbiztonsági alapelvekről és a NIS 2 előírásokról.
- Szimulációs gyakorlatok:
- kiberbiztonsági incidensek szimulációja a felkészültség tesztelésére.
- az esetleges gyengeségek azonosítása, a reakcióképesség javítása.
5. Tesztelés és ellenőrzés
- Megfelelőség ellenőrzése: a javító intézkedések hatékonyságának rendszeresen értékelése.
- belső auditok vagy független ellenőrzések.
- megfelelőségi ellenőrző listák a NIS 2 kritériumai alapján.
- Incidenskezelési tesztelés:
- az incidenskezelési tervek rendszeres tesztelése és frissítése.
6. Folyamatos nyomon követés és fejlesztés
- Kockázatértékelés folytatása: Rendszeres kockázatelemzés, hogy az újonnan felmerülő fenyegetéseket kezelni lehessen.
- Technológiai frissítések:
- Az IT infrastruktúra folyamatos fejlesztése.
- Jogszabályi változások követése: a NIS 2 irányelvhez kapcsolódó változások nyomon követése, és a kapcsolódó folyamatokat megfelelő módosítása.
7. Hivatalos jelentés és hatósági kapcsolattartás
- Jelentési kötelezettségek: felkészülés a NIS 2 irányelv által előírt incidensjelentési kötelezettségekre, kommunikációs csomagok kidolgozása.
- Kapcsolattartás a hatóságokkal:
- Kapcsolattartás a releváns szabályozó hatóságokkal (NKI, SZTFH, NAIH, stb.).
- Felkészülés a kapcsolódó auditokra és ellenőrzésekre.
Nagyjából ezek a lépések biztosítják, hogy a szervezet nemcsak megfeleljen a NIS 2 rendelet előírásainak, hanem képes legyen folyamatosan fenntartani a magas szintű kiberbiztonsági állapotot.