NIS2: lépésről lépésre a megfelelőség felé

A NIS2 kibervédelmi irányelv számos szervezet számára támaszt új követelményeket. A megfelelőséghez pedig sok teendőt kell elvégezni.
 

A NIS2 irányelv kötelezi a stratégiai szempontból kritikus fontosságú ágazatokban tevékenykedő közép- és nagyvállalatokat kiberbiztonsági intézkedések végrehajtására. Ennek megfelelően a cégeknek technológiai, valamint szervezeti ellenőrzéseket kell végezniük, és létre kell hozniuk biztonsági incidensekre reagáló csapatokat. Továbbá átfogó képzést szükséges biztosítaniuk az alkalmazottak számára, miközben olyan holisztikus kockázatkezelési stratégiát kell bevezetniük, amellyel kezelhetik mind a meglévő, mind a potenciális jövőbeli fenyegetéseket.

Az érintett szervezeteknek 2024. június 30-ig kötelező elvégezniük a nyilvántartásba vétellel kapcsolatos teendőket, majd október 18-tól indul a felügyeleti és ellenőrzési tevékenység, valamint a felügyeleti díj megfizetése. A cégeknek az idei év végéig muszáj szerződést kötniük egy auditorral, aki átvilágítja a kibertevékenységüket, és a jövő év végéig le kell folytatni az első kiberbiztonsági auditot. Mulasztás esetén a bírság elérheti a 10 millió eurót vagy a teljes forgalom 2 százalékát.

Lépésről lépésre

A Micro Focus szakértői szerint a vállalati adatok átvizsgálásával és a kapcsolódó kockázatok értékelésével, osztályozásával, kezelésével érdemes kezdeni a felkészülést. Ezek után ajánlott szigorú biztonsági irányelveket bevezetni, és betartatni annak érdekében, hogy a bizalmas adatokhoz csak azok férjenek hozzá, akiknek erre valóban szükségük van. Ebben hatékony segítséget nyújthatnak a korszerű személyazonosság-kezelési rendszerek.

A hozzáféréskezelés kapcsán fontos rendbe tenni a hitelesítési eljárásokat is. Természetesen nagyobb biztonságot nyújt, ha a szervezetek többlépcsős hitelesítést használnak. Ehhez érdemes olyan technológiákat alkalmazni, amelyek egyszerűek, és nem okoznak komolyabb plusz nehézségeket a felhasználóknak. 

Ha mégis megtörténik a baj

Akkor lehet teljes a védelmi stratégia, ha a cégek arra az esetre is felkészülnek, amikor - minden intézkedés ellenére - a kiberbűnözők mégis betörnek a rendszereikbe. Ilyenkor segíthet egy olyan biztonsági információ- és eseménykezelő megoldás, amely közel valós időben elemzi a vállalati infrastruktúrában zajló tevékenységeket, majd gépi tanulásra és mesterséges intelligenciára támaszkodva azonosítja a szokatlan, gyanúra okot adó aktivitásokat. 

Csökkenti a támadási felületet és a kiberbiztonsági kockázatokat, ha a vállalatok figyelmet fordítanak az alkalmazásaikban előforduló sebezhetőségek felderítésére és javítására is.

A fentieken túl érdemes rendszeres oktatásokat tartani a munkavállalóknak, amelyeken megismerhetik az aktuális veszélyeket és a támadási stratégiákat, illetve megtanulhatják, hogyan ismerjék fel, és kerüljék ki a kiberbűnözők kifinomult trükkjeit.