A valódi cél: az érdemi kiberbiztonság.
A rendelet nem azért született, hogy az Excel-táblákban pörögjenek a pipák, hanem hogy biztonságosabbá tegye a működésünket. Dokumentációval még nem állítottunk meg kibertámadást, gondolkodásmóddal, kockázatalapú megközelítéssel viszont igen.
A szabályozás persze nem tud minden cégre, minden eshetőségre felkészülni és felkészíteni a használóját. Ki kell mondanunk: nem minden kontroll életszerű. Gondoljunk bele: egy folyamatos üzemű gyártósoron a sikertelen bejelentkezési kísérletek miatti automatikus fiókzárolás akár le is állíthatja a termelést. Rossz esetben életeket veszélyeztet, de egy jelszócsere-követelmény meg is béníthat OT-rendszereket. Az auditmegfeleléshez készített dokumentum messze nem elég – a szabályokat mindig a kockázatok mentén kell értelmezni.
Itt jön be a tanácsadók és a vezetők felelőssége.
A kockázatalapú szemlélet ugyanis nem egy hangzatos frázis, ez azt jelenti, hogy a kontrollokat az adott cég működési realitásaihoz kell szabni. A sablonok ideje lejárt, ha egy szabály nem alkalmazható, helyettesítő védelmi intézkedést kell megvalósítani – nem pedig „kipipálni”.
A kiberbiztonsági intézkedéseknek, így a NIS2-nek is csak akkor van értelme, ha nem csak az IT-részleg érti, hogy mi függhet a kiberbiztonságtól. Ha a vezető is tudja, miért fontos a kiberbiztonság, és hogyan lehet azt észszerűen megvalósítani, a kritikus helyzetekben képes lesz jól dönteni. Azokban a pillanatokban ugyanis nem a dokumentáció dönt, hanem a szemlélet.
Elfogadtatni az ügyfeleinkkel, hogy a NIS2 nem végcél, hanem lehetőség. Meg kell ismernünk a partnereink működését, cégspecifikus szabályokat kell hoznunk és edukálnunk kell. De a legfontosabb, hogy ne féljünk felülvizsgálni a szabályainkat – ha úgy tűnik, hogy valami nem működik, keressünk új megoldást, legyen szó oktatásról, jogosultságkezelésről vagy naplózásról, hiszen a kiberbiztonság csak akkor ér valamit, ha folyamatosan alkalmazkodik a valósághoz.
