A NIS2 és a beszállítói lánc: amikor a megfelelés a partnereken is múlik

A NIS2 első ránézésre csak a nagyvállalatokra tartozik, a beszállítói láncokon keresztül azonban jóval szélesebb kört formál át. Miért éri meg a közvetlenül nem érintett kkv-knak is lépniük – és hogyan tehetik ezt megfizethetően?

 

A NIS2 kapcsán a hazai kis- és középvállalkozások körében gyakori a vélekedés, hogy a szabályozás „a nagyoknak szól”. A NIS2 hazai átültetése valóban elsősorban a nagyobb, kritikus ágazatokban működő szervezeteket kötelezi közvetlenül – a hatása azonban egy olyan csatornán keresztül terjed tovább, amelyet sok cég alulértékel: a beszállítói láncon.

 

A NIS2 egyik lényegi eleme, hogy a hatálya alá tartozó vállalatoknak nemcsak a saját rendszereikért kell felelniük, hanem a közvetlen beszállítóikkal és szolgáltatóikkal kapcsolatos kiberbiztonsági kockázatokért is. Ez a szabályozás egyik tételesen nevesített kockázatkezelési intézkedése. Egy érintett nagyvállalatnak fel kell mérnie és nyilvántartania, milyen kockázatot hordoznak a rendszereihez vagy adataihoz hozzáférő beszállítói és szolgáltatói – ez a felmérés pedig nem végezhető el a partnerek közreműködése nélkül.

Így a követelmények fokozatosan végigfutnak a láncon. Az érintett cégek egyre gyakrabban várnak el információbiztonsági megfelelést a partnereiktől is: szerződéses feltételként, auditálási jogként vagy a NIS2-nek való megfelelésről szóló nyilatkozat formájában. A gyakorlatban ez már jól látszik – rendszeresen fordulnak tanácsadóhoz olyan cégek, amelyek maguk nem esnek a törvény hatálya alá, mégis igazolniuk kell, hogyan kezelik a kiberbiztonságot, mert egy fontos ügyfelük ezt kéri tőlük.

 

Ez elsősorban az IT-szolgáltatókat, szoftverfejlesztőket, felhőszolgáltatókat és üzemeltetőket érinti, de bármely beszállító érintetté válhat, aki egy szabályozott partner ellátási láncában dolgozik. Számukra a kiberbiztonság már nem csupán szakmai kérdés, hanem üzleti feltétel – és egyben versenyelőny. A bizonyíthatóan felkészült céget választják; amelyik nem tud megfelelni az elvárásoknak, könnyen kieshet a tenderekből és a beszállítói körből.

 

A jó hír, hogy egy alapszintű kiberbiztonsági kontrollrendszer kiépítése nem igényel több milliós beruházást. Néhány lépés, amivel egy közvetve érintett kkv is jó helyzetbe kerülhet:

  • Érdemes felmérni, mely rendszerekhez és adatokhoz fér hozzá a cég a partnereinél, illetve mit üzemeltet a számukra.
  • Célszerű alapvető szabályzatokat és eljárásokat kialakítani a hozzáférés-kezelésre, a jelszóhasználatra és az incidensek kezelésére.
  • Ajánlott a többfaktoros hitelesítés bevezetése és egy rendszeres frissítési rutin fenntartása.
  • Hasznos előre felkészülni arra, hogy a partnerek kiberbiztonsági kérdőívet küldenek vagy nyilatkozatot kérnek – ezeket célszerű előre összeállítani.
  • Ahol van rá mód, egy meglévő keretrendszer (például az ISO/IEC 27001) komoly előnyt jelent a megfelelésben.

A NIS2 lényege nem az egyszeri megfelelés, hanem a rutinszerűen, biztonságtudatosan működő szervezet. Ebbe egyre több hazai cég lép majd be – nem azért, mert a hatóság közvetlenül kötelezi rá, hanem mert az üzleti partnerei elvárják. Az időben cselekvő cégek számára ez nem teher, hanem előny lesz.