Az érintett vállalkozásoknak célszerű megvizsgálniuk, hogy milyen előírásoknak kell megfelelniük, majd diagnosztikát futtatniuk, feltárni az esetleges hiányosságokat, réseket. Csak ezután következik a vezetőség és a szakértők bevonása, ahol a HR szerepe ugyanolyan fontos, mint bármely más területé, sőt! Talán az egyik legfontosabb kérdés, hogy a HR mennyire felkészült a NIS2-irányelv által előírt adatvédelmi és biztonsági követelményekkel kapcsolatban, hovatovább, hogyan készíti fel a szervezetben lévő kollégákat a változások menedzselésére?
NIS2-változások a HR szemüvegén keresztül
Nemrég valaki azt mondta nekem, mindig át kell gondolni, hogy mire reagálunk a trendekből, és mi az, amit ezekből beemelünk a szervezetbe. Bennem a változások nyomán az alábbi néhány gondolat fogalmazódott meg: ha 100 HR-vezetőnek feltenném azokat a kérdéseket, hogy egy 1–10-es skálán értékelve mennyire készült fel erre a változásra, vagy mennyire készítette fel a tulajdonosokat, a vezetőket, a szakembereket és a munkatársakat, hogy érzi, mennyire proaktív abban, hogy újabb lépéseket tegyen, vagy mennyire dolgozik együtt a tulajdonosokkal, vezetőkkel területekkel, hogy támogassa ezt a változást, akkor mit mondanának?
Persze még ezer kérdésem lenne, viszont bízom benne, hogy a HR-esek többsége már dolgozik azon, hogy miként reagáljanak a változásra. Bár én az elmúlt évek során sok trend vagy változás esetén azt tapasztaltam, a HR inkább reaktív, mint proaktív, és az üzlet reagál elsőként.
Maradva a NIS2-nél, a szervezeten belüli tudást és felkészültséget, valamint a vezetők és a munkavállalók rendszeres kiberbiztonsági oktatását és az előírás követelményeinek megfelelését is biztosítani kell. Így nem kérdés, hogy a NIS2-irányelv változásai komoly kihívást jelenthetnek a vállalatok és a HR számára is, mivel a változásokban az emberi tényező felkészültsége és jelenléte elengedhetetlen.
A legtöbb szervezetben tavaly július–szeptember között zajlottak azok a folyamatok, amelyekbe a HR-is bevonódhatott. Ahol ez nem történt meg, még nem késő HR-esként felkészülni és bekapcsolódni a folyamatba. De mivel érdemes foglalkozni, és mi az, amit a HR megtehet az irányelv változásainak kezelése érdekében?
Lépések a NIS2 felé a HR támogatásával
- Fellépő képesség hiánykezelése.
A NIS2-irányelv változásainak a kommunikálása és az érintett felek oktatása kulcsfontosságú az új követelmények megértésében és betartásában.
A HR-nek rendszeres tájékoztatókat és tréningeket kell szerveznie annak érdekében, hogy minden dolgozó tisztában legyen az új szabályokkal és kötelezettségekkel.
Ezenfelül a HR-nek fontos szerepe van a szükséges képességek feltérképezésében rendszeres felmérések és kérdőívek alkalmazásával; oktatások, workshopok, szimulációk, tréningek, az érintettek részére tananyagok biztosítása. Támogatnia kell az NIS2-irányelv változásaival és követelményeivel kapcsolatos elvárások átfuttatását a szervezet egészén. Rendszeres tájékoztatókat és oktatásokat kell szerveznie, hogy a dolgozók megértsék, hogyan befolyásolja a változás őket és a munkájukat. Ehhez létrehozhat például e-learning platformokat, tudásközpontokat és kiberbiztonsági munkacsoportokat, majd ezek facilitálásában, a közös jó gyakorlatok kidolgozásában is részt vehet.
A HR ez irányú tevékenysége, olyan területeket célozhat meg, mint a kiberhelyzet-tudatosság, a valós idejű fenyegetésvadászat és a reagáló műveleti képességek, a kiberműveleti képességek, valamint a kiberképzések és -gyakorlatok.
- A folyamatokra gyakorolt hatások és eljárások felülvizsgálata.
A HR és az informatikai biztonság szoros együttműködése ez esetben is kiemelkedően fontos, hiszen a NIS2-irányelv követelményei nyomán érintettek a HR-folyamatok is, hogy csak egyet említsek, például a személyes adatok kezelése.
Ha minden igaz, ma a szervezetek nagy része HR-szempontból már ott tart, hogy a szerepeket és felelősségi köröket, a tudatossági és magatartási képzést stb. már letisztázták, és az ehhez szükséges folyamatok kockázatkezelését is számba vették. Aki nem itt tart, azt hiszem, van még mit tennie…
- A jövőre való felkészülés, avagy 2024. március és október, és mi jön azután?
A HR és az IT közös feladata lesz az új képességek és kompetenciák azonosítsa a szervezeten belüli hiányosságok feltárása, a közös fejlesztési terv kidolgozása, valamint végrehajtása. Emellett a HR-nek kiemelt figyelmet kell fordítani a biztonsági kultúra és a munkavállalók szervezeti érzékenyítésének fejlesztésére, emellett az informatikai területekkel és a kiberbiztonsági szakértőkkel együtt vészhelyzeti terveket is érdemes lesz kidolgoznia és rendszeresen felülvizsgálnia azt a hatékony a kiberbiztonsági incidensek és válságok kezelésének esetére.
- Megtartási fókusz.
Az HR-nek meg kell találnia, integrálnia és megtartania azokat az informatikai biztonsághoz és az adatvédelemhez értő szakembereket, akikre a változás menedzseléséhez szükség van illetve szükség lesz. Ezek a szakemberek segíthetnek az NIS2-irányelv követelményeinek megfelelésében és a megfelelő intézkedések meghatározásában. A szerepük kulcsfontosságú, és számolni kell azzal is, hogy itt mélyen a zsebünkbe kell majd nyúlni, hiszen a változások hatásaként ezen szakemberek iránt a kereslet igencsak megnő. Ez belső feszültségeket is okozhat, esetleg a meglévő kollégák demotiválttá válhatnak, amelynek elvándorlás lehet a következménye.
És végül egy kis self-audit: te hol állsz a képzeletbeli skálán? Ha a válaszod 10 alatt van, ideje lépned!
A vezetői módszertan, a cégméret és a NIS2 egymásra hatása
Az NIS2-irányelv változásainak hatása a vállalati vezetőkre, különösen az IT-vezetőkre mind szakmailag, mind pedig vezetői szempontból jelentős kihívásokat rejteget. A változásokat és az új követelményeket kezelő vezetők számára a feladatok sokszínűek, ám komplexek is lehetnek. Minden vezető másként élheti meg a szervezeten belül ezeket. De mindez miként tudja a HR támogatni emberileg, szakmailag, vezetőként vagy akár specialistaként?
A kis- és nagyvállalatok IT-vezetőinek meg kell érteniük és alkalmazkodniuk szükséges az új előírásokhoz, és mivel különböző a szakmai felkészültségük, így a kihívásaik is egyéni szinten változhat.
A kisvállalatok IT-vezetőinek gyakran kevés erőforrásuk van a változások kezelésére. Emiatt rugalmasnak és kreatívnak kell lenniük az új követelmények kezelése során. A nagyvállalatok IT-vezetőinek ugyan lehet több erőforrása és támogatása, akár kifinomultabb IT-infrastruktúrája és nagyobb szakmai tudása is, sőt akár több szakértőt és csapatot is foglalkoztathatnak az irányelv változásainak kezelésére, ami megkönnyítheti az új követelmények teljesítését is. Ennek ellenére szembesülhetnek technológiai és szakmai változásokkal, egyéni vagy szervezeti limitációkkal, ideértve a globális irányelveket is. De a vezetői stílus is meghatározza a NIS2-vel szembeni rezilienciát.
Azok a vezetők, akik people managerek vagy emberi kapcsolatokat menedzselnek, gyakran szembesülnek az emberekkel kapcsolatos kihívásokkal. Az NIS2-irányelv változásaihoz való alkalmazkodás során ezeknek a vezetőknek figyelembe kell venniük a munkavállalók érzelmeit, aggályait és szükségleteit is. Itt a HR tud nekik támogatást adni abban, hogy hatékony kommunikációt és kapcsolatokat építsenek az alkalmazottakkal, emellett segítsenek nekik megérteni és elfogadni az új irányelv változásait. Közben pedig eszközöket adhat ezeknek a menedzsereknek a felmerülő helyzetek kezelésére.
Azok a vezetők, akik szakmai területek vezetői szerepeit töltik be, gyakran szembesülnek a technológiai, szakmai változásokkal és kevésbé az emberekre gyakorolt hatásukkal. Az ő hozzáadott értékük a vállalaton belüli tudás és képességhiány enyhítésében lesz kulcsfontosságú. Ezeknek a vezetőknek előrelátóan fel kell készülniük az új követelményekre és technológiákra, emellett biztosítaniuk kell, hogy a tudást átadják. A HR szerepe itt az, hogy támogassa ezeket a vezetőket az új képességek és ismeretek megszerzésében. Eszközöket tudjon számukra biztosítani és segítse őket fórumokkal, tréninglehetőségekkel, kommunikációval a szervezet felkészítésében.
Szinte minden nagyobb vállalatnál találunk már agilis szemléletű vezetőket, akik az agilis működés elveire és módszertanaira támaszkodva vezetik a csapatokat és projekteket. Az agilis működéssel foglalkozó projektmenedzserek, mint például a scrum mesterek vagy agilis coachok, szintén fontos szerepet játszanak az NIS2-változások kezelésében. Nekik nagyobb hangsúlyt kell fektetniük az agilis módszertanok alkalmazására az NIS2-irányelv követelményeinek megfelelően. Azt gondolom, számukra külön kihívást jelenthet az, hogy mindig egy lépéssel előrébb kell járniuk, mint a változás. Emellett figyelmet kell fordítaniuk arra is, hogy az agilis projektcsapatok tagjai megfelelően felkészüljenek az új követelményekre, és biztosítsák, hogy azokat sikeresen integrálják a projektmenedzsment folyamatokba.
Minden vezetőnek segíthet a HR
A változás során, bármilyen típusú vezetőről legyen is szó, ha a HR-t időben bevonják, megfelelő támogatást képes adni és segíteni tudja a vezetőket a hatékony és rugalmas, ám motiváló és példaképszerepkörükben. A HR bevethet coachingot, és emberileg is segítheti őket azáltal, hogy felismeri és megérti a vezetők kihívásait, feszültségeit. Alkalmazhat szakmai képzéseket, workshopokat szervezhet az IT-vezetők számára az NIS2-irányelv változásainak kezelésére és az új követelmények megértésére. Emellett segíthetnek a vezetőknek a szükséges szakértői kapcsolatok kiépítésében és a szakmai fejlődésük támogatásában.
A HR- és az IT-vezetők szoros együttműködése, valamint az információáramlás és az intézkedések összehangolása segíteni fog, hogy a vállalat megfeleljen az új követelményeknek. Emellett biztosítsa az üzleti folytonosságot és az adatvédelem hitelességét. Átfogó stratégia kialakítására van szüksége ahhoz, hogy a cég biztonsága fennmaradjon, hogy elkerüljük a meglepetéseket.
(Fotó: Freepik, Rácz-Székely Éva)
