Kicsit úgy vagyunk a jelenlegi szabályozásokkal, mint a Római Birodalom légióival: egyszer elér minket, talán le is rohannak minket, nekünk meg túl kell élni valahogyan, és meg kell tudni oldani az együttélést. Valahol a NIS2 is ilyen, elkészült, mind az Európai Uniós, mind a hazai szabályozás (bár cikkünk 2024 májusi megjelenésekor még várjuk a végleges kiegészítő szabályozásokat), ki is hirdették, és ha már első sokk után magunkhoz tértünk és megtörtént a (mentális) lerohanás, akkor próbálunk vele együtt élni, és versenyt futni az idővel, hogy mindennek meg tudjunk felelni.
Kire vonatkozik az NIS2 szabályozás?
Az olvasás fázisán túljutva elmondhatjuk: maga a szabályozás nem könnyű olvasmány. Főleg akkor, ha megpróbáljuk beazonosítani magunkat, és elhelyezni az érintetti körbe. Ehhez a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) a prezentációi és előadásai nagyban segítséget nyújtanak a szervezeteknek.
Két dologról ellenben kevés szó esik. Az egyik az, ha már tudjuk, hogy méretileg vagy bevétel alapján – talán – a hatálya alá tartozunk, mit kell még figyelembe venni, ha még mindig nem vagyunk biztosak abban, hogy a jogszabály ránk is vonatkozik-e? A TEÁOR és a NACE kód szintén segítség abban, hogy meggyőződhessünk arról, hogy beleesünk-e az érintettek körébe.
A cégjegyzékben a szervezet tevékenységi kódjai közel 100%-os biztossággal megmutatják azt, hogy indulhat-e a vesszőfutásuk az idővel vagy sem. Szintén ide kapcsolódik az is, hogyha valamelyik hatóság nyilvántartásába be kellett kerülnie a szervezetnek (pl.: NMHH, NÉBIH, stb.), akkor már teljesen biztos lesz az is, hogy a NIS2 érvényes lesz ránk, és az első nehéz és fájó lépést is meg kell tenni, be kell jelentkezni a hatóságnál, mint NIS2 alany.
Információk a cégen belül
Hosszú csata ez – nem, nem háború, hiszen azt majd akkor tudjuk megnyerni, ha már leszerződtünk egy auditor céggel, akik bevizsgálják a szervezetet és megtörténik az első kötelező audit -, lezárásának ideje és a paktum megkötése: 2024. június 30-ig. De mindenekelőtt meg kell keresni azokat az információkat a cégen belül, amiket be kell jelenteni az SZTFH felé (pl.: információbiztonsági felelős meg- és kijelölése, szervezet által használt domain nevek összeírása, IP címek (fix), partner és beszállítói adatok, stb.).
További nehézségek
A másik tényező azokat fogja kellemetlenül érinteni, akik úgy döntöttek, hogy inkább a létszámleépítés, illetve „egyéb átszervezés” mellett voksoltak, és 50 fő alatti foglalkoztatotti létszámúvá alakultak. Költséghatékonyság szempontjából biztosan jó döntés volt, ellenben az SZTFH az utolsó kettő lezárt évi cégadatokat fogja figyelembe venni, aki így próbálja meg azt, hogy elkerülje a lehetetlent, annak csak idő kérdése, hogy a hatóság látókörébe kerüljön, és akkor nem csak a bírsággal kell szembenéznie, de a megfelelősség miatt is fájni fog a feje.
Figyelve arra, hogy elsősorban magunkat védjük meg az esetleges incidens esetén, továbbá, ha ez bekövetkezik, akkor az esetleges hiba, mulasztás, károsodás, felelősség és egyéb esetkörökben egy letisztultabb felelősségi rendszeren lehessen kezelni a felmerült eseményeket, amely meg tudja azt mutatni, hogy kinek a hibájából, illetve hol következett be az incidens.
A cseresznye a tortán, a beszállítók és partnerek listájának összeállítása után, azt követően, hogy felmértük, hogy milyen kockázati értékkel, lehetőségekkel rendelkeznek, újraírhatjuk vagy kiegészíthetjük a már meglévő szerződéseinket, az új ügyfelek számára pedig már a (IT-, információbiztonsági-, cyber security-) biztonsági, védelmi specifikumokat is tartalmazó szerződéseket tudjuk átnyújtani.
Amikor mindezeknek eleget teszünk, és azt hisszük, hogy már nem jöhet olyan szabályozás (vagy invázió), ami kihatna a további életünkre, akkor az AI Act is lassan (de biztosan) berobban az életünkbe, és a „lerohanás” újra kezdődik…