A legtöbb vállalatnál fellélegeztek az első NIS2 audit után. A hónapokon át tartó felkészülés, a szabályzatok elkészítése, a kockázatelemzések, az eszközleltárak, a folyamatfelmérések és a vezetői egyeztetések végre célegyenesbe értek. Megérkeztek az auditorok, lezajlottak az interjúk, összegyűltek a bizonyítékok, elkészült a jelentés.

A sok munka meghozta a gyümölcsét; hisz meg kellett ismerni az előírásokat, el kellett készíteni a szükséges szabályzatokat, fel kellett mérni a kockázatokat, végre kellett hajtani a hiányosságok kezelését, majd következett az audit. A szervezet pedig – legalábbis az elképzelések szerint – megkapta a visszaigazolást arról, hogy megfelel az előírásoknak. Csakhogy a valóság nem lovagregény, és az élet igazán ritkán lehet ilyen egyszerű.

A legtöbb érintett szervezet számára az első audit nem egy történet lezárása, hanem egy új fejezet kezdete. Az auditjelentésekben ugyanis számos esetben intézkedési tervek, fejlesztési javaslatok és korrekciós feladatok jelentek meg. A dokumentumok elkészültek, a megállapítások megszülettek, a hiányosságok láthatóvá váltak. Most következik a valódi munka, ezek végrehajtása.

Valahol itt lép színre Don Quijote. Míg a megfelelés lovagja, Miguel de Cervantes hőse rendíthetetlenül küzdött a szélmalmokkal, mert óriásokat látott bennük, addig a modern vállalatok információbiztonsági vezetői, rendszergazdái és megfelelőségi szakemberei természetesen nem élnek hasonló tévképzetekben. Mégis könnyen azonosulhatnak a magányos lovag érzéseivel, hiszen a szabályozási környezet folyamatosan változik, és ezek a változások gyakrabban szárazabbak, nehezen nyomon követhetők, de egészen biztosan mindig unalmasabbak, mint a mesebeli óriások.

Új technológiák jelennek meg. Új fenyegetések bukkannak fel. A beszállítói lánc biztonsága egyre fontosabbá válik. Az auditorok tapasztalatai bővülnek, a hatósági elvárások pontosodnak, a szervezetek pedig igyekeznek lépést tartani mindezzel. Amikor egy vállalat elkészíti az audit alapján szükséges intézkedési tervet, könnyen úgy érezheti magát, mint Don Quijote a végtelen mezőn: amint egy feladatot teljesített, a horizonton máris újabb kihívások rajzolódnak ki.

Fontos megértenünk, hogy az audit nem bizonyítvány, hanem állapotfelmérés.  Valójában az audit egy adott időpillanatban vizsgálja a szervezet információbiztonsági érettségét, a szabályozási megfelelését és a bevezetett kontrollok működését. Az auditor dokumentumokat vizsgál, interjúkat készít, bizonyítékokat kér be, valamint ellenőrzi a védelmi intézkedések hatékonyságát. Az eredmény gyakran nem egyszerű „megfelelt” vagy „nem felelt meg” minősítés, hanem egy részletes helyzetkép. Olyan megállapításokkal, amelyek rámutatnak arra, hogy hol szükséges további fejlesztés. Ezekből születnek meg az intézkedési tervek.

A jól elkészített intézkedési terv nem csupán egy feladatlista. Tartalmazza a feltárt kockázatot, a szükséges intézkedést, a felelőst, a költségigényt, a határidőt és a teljesítés módját is. Célja nem a dokumentálás önmagáért, hanem a tényleges kockázatcsökkentés. És a legnehezebb rész, a valódi szélmalomharc, az a bizonyítható végrehajtás.

Az auditok egyik fontos tanulsága, hogy a szabályzat önmagában nem jelent megfelelést. Lehet kiváló hozzáférés-kezelési szabályzat, ha nincs bizonyíték arra, hogy a jogosultságokat rendszeresen felülvizsgálják. Lehet incidenskezelési folyamat, ha senki nem gyakorolta annak alkalmazását. Lehet beszállítói biztonsági követelményrendszer, ha nem történik tényleges beszállítói értékelés. Az auditorok egyre inkább a működő kontrollokat és azok bizonyítékait keresik, nem pusztán a dokumentumokat.

Éppen ezért az intézkedési tervek végrehajtása során nemcsak a fejlesztések elvégzésére kell figyelni, hanem arra is, hogy azok megfelelően dokumentáltak, visszakövethetők és igazolhatók legyenek. A következő audit során ugyanis nem az lesz a kérdés, hogy megszületett-e az intézkedési terv, hanem az, hogy az abban vállalt feladatok ténylegesen megvalósultak-e. És bizony az a két év gyorsabban eltelik, mint gondolnánk.

A NIS2 hazai szabályozási környezete szerint a kiberbiztonsági audit nem egyszeri kötelezettség, az érintett szervezeteknek ugyanis kétévente ismételten auditon kell átesniük.  Az információbiztonság világában azonban két év alatt teljes technológiai környezetek alakulhatnak át. Új felhőszolgáltatások jelennek meg, változik az infrastruktúra, új üzleti folyamatok indulnak, beszállítók cserélődnek, a kibertámadások módszerei pedig folyamatosan fejlődnek és változnak.

Mire a következő audit elérkezik, könnyen lehet, hogy a mai intézkedési tervben szereplő problémák már rég megoldódtak, helyettük azonban új kockázatok jelentek meg. Ezért a NIS2 megfelelés valójában nem auditciklusokból áll, hanem egy folyamatos fejlesztési körforgásból, ami magában foglalja a kockázatértékelést, az intézkedések végrehajtását, a működés ellenőrzését, magát az auditot, a fejlesztést, majd újra kockázatértékelést.

A szervezeteknek olyan működési modellt kell kialakítaniuk, amely nem kampányszerűen készül az auditokra, hanem napi szinten fenntartja a megfelelőséget és a biztonsági kontrollokat. Ez a szemlélet áll a modern információbiztonsági irányítási rendszerek mögött is. A valódi kihívás nem a megfelelés, hanem a fenntarthatóság A legtöbb szervezet ma már tudja, mit vár el tőle a NIS2, a nehézséget inkább az jelenti, hogyan lehet mindezt hosszú távon működtetni. Ki tartja karban a szabályzatokat? Ki követi nyomon a határidőket? Ki ellenőrzi a beszállítói követelményeket? Ki gondoskodik arról, hogy a bizonyítékok rendelkezésre álljanak a következő audit idején? Ki figyeli a változó szabályozási környezetet?

A megfelelés fenntartása sokszor nem technológiai kérdés, hanem erőforrás- és kapacitáskérdés. Ez az a pont, ahol a szervezetek könnyen úgy érezhetik, hogy újra és újra ugyanazokkal a szélmalmokkal küzdenek. Pedig valójában nem a szélmalmok változatlanok. A táj folyamatosan átalakul körülöttük, és ez nem óriásokat vizionáló téveszme, ezek a kihívások valódi problémák óriásinak tűnő árnyékai.

Don Quijote történetének egyik tanulsága, hogy a magányos harc ritkán vezet sikerre. A NIS2 világában sem az a cél, hogy a szervezetek saját erőből próbáljanak minden szabályozási változást, auditelvárást és információbiztonsági feladatot követni. A valódi cél a kiszámítható működés.

Amikor az első audit lezárult, az intézkedési tervek elkészültek, akkor a történet még nem ért véget, ellenkezőleg, a következő audit már most közeledik, még ha ma távolinak is tűnik. Azok a szervezetek lesznek előnyben, amelyek a megfelelést nem egyszeri projektként, hanem folyamatos szolgáltatásként kezelik.

Ebben nyújt támogatást az mBit Technológiai Zrt. Szakértőink nemcsak az auditokra való felkészülésben segítik ügyfeleinket, hanem az intézkedési tervek végrehajtásában, a megfelelőség fenntartásában és a folyamatos információbiztonsági működés kialakításában is. Célunk, hogy ügyfeleinknek ne kelljen Don Quijoteként harcolniuk a változó szabályozási környezettel és az egyre újabb feladatokkal. Ehelyett egy kiszámítható, megbízható és hosszú távon fenntartható információbiztonsági szolgáltatásra támaszkodhassanak, amely mellett a szélmalomharc helyét a tudatos felkészültség veszi át.

Mert a NIS2 világában a cél nem az, hogy valaki újra és újra nekirontson a szélmalmoknak. A cél az, hogy felismerje azok működését, megértse a környezet változásait, és olyan szakmai támogatásra támaszkodhasson, amely mellett a megfelelés nem hőstetté, hanem kiszámítható üzleti működéssé válik.

dr. Szabó Tünde - Információbiztonsági és megfelelőségi vezetőszakértő