NIS2 irányelv — Amit a DPO-knak tudniuk kell

A NIS2 két kategóriájú szervezetre vonatkozik: alapvető szervezetekre és fontos szervezetekre. Az alapvető szervezetek közé tartoznak az energia, közlekedés, banki szolgáltatások, pénzügyi piaci infrastruktúra, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatás menedzsment és közigazgatás ágazatai. A fontos szervezetek közé tartoznak a postai szolgáltatások, hulladékgazdálkodás, feldolgozóipar, élelmiszer-termelés, vegyipar és digitális szolgáltatók. A méretküszöbök egyértelműek: ezekben az ágazatokban az 50+ alkalmazottal vagy 10+ millió EUR éves árbevétellel rendelkező szervezetek automatikusan a hatálya alá esnek. Bizonyos szervezetek azonban mérettől függetlenül a hatály alá tartoznak — mint például a DNS-szolgáltatók, TLD-nyilvántartók és nyilvános elektronikus hírközlési hálózatok szolgáltatói. DPO-k számára ez azt jelenti, hogy számos meglévő ügyfelüknek a GDPR-követelmények mellett immár NIS2 kötelezettségei is lehetnek. Annak proaktív feltárása, hogy mely ügyfelek esnek a NIS2 hatálya alá, értékes stratégiai tanácsadóvá pozicionálja Önt, nem csupán megfelelőségi ellenőrré.

A NIS2 megköveteli az érintett szervezetektől, hogy átfogó kiberbiztonsági kockázatkezelési intézkedéseket vezessenek be. Ezek közé tartozik: kockázatelemzés és információsrendszer-biztonsági szabályzatok, incidenskezelési eljárások, üzletfolytonossági és válságkezelési tervek, ellátási lánc biztonsága, biztonság a hálózati és információs rendszerek beszerzése és fejlesztése során, a kiberbiztonsági intézkedések hatékonyságának értékelésére vonatkozó szabályzatok, alapvető kiberhigiéniai gyakorlatok és képzés, titkosítási szabályzatok, humánerőforrás-biztonság, hozzáférés-kezelés és eszközgazdálkodás. A szervezeteknek a jelentős incidenseket is be kell jelenteniük a nemzeti hatóságuknak: 24 órán belül korai figyelmeztetést, 72 órán belül teljes értesítést és egy hónapon belül zárójelentést kell benyújtaniuk. Ez a háromszintű bejelentési kötelezettség szigorúbb, mint a GDPR 72 órás adatvédelmi incidens bejelentése, és jól felkészített incidenskezelési eljárásokat igényel. A NIS2 biztonsági intézkedések és a GDPR 32. cikke (az adatkezelés biztonsága) közötti átfedés jelentős. Azok a DPO-k, akik már tanácsot adnak ügyfeleiknek a GDPR szerinti technikai és szervezeti intézkedésekről, jó pozícióban vannak e tanácsadás NIS2-megfelelőségre való kiterjesztéséhez.

A NIS2 legjelentősebb változása a vezetőség személyes felelőssége. A 20. cikk előírja, hogy a vezető testületek hagyják jóvá és felügyeljék a kiberbiztonsági intézkedések végrehajtását. Kiberbiztonsági képzésen is részt kell venniük. Ami fontos: a vezető testületek személyesen felelhetnek a jogsértésekért. A NIS2 szerinti bírságok jelentősek: alapvető szervezeteknél legfeljebb 10 millió EUR vagy a globális éves árbevétel 2%-a, fontos szervezeteknél legfeljebb 7 millió EUR vagy a globális árbevétel 1,4%-a. Ezek a GDPR-bírságokon felül — nem helyettük — szabhatók ki. Ez a személyes felelősségi szempont az, ami sürgősséget kelt a vezetőségben. DPO-ként ezt felhasználhatja költségvetés és figyelem biztosítására olyan megfelelőségi projekteknél, amelyeket egyébként háttérbe szorítanának. Azok a vezetők, akik korábban a GDPR-t költségtényezőnek tekintették, hirtelen nagyon érdeklődnek a megfelelőség iránt, amikor személyes vagyonuk forog kockán.

Külső DPO-ként Ön már mély ismeretekkel rendelkezik ügyfelei adatkezelési környezetéről, biztonsági intézkedéseiről és szervezeti felépítéséről. Ez teszi Önt a NIS2 megfelelőség természetes tanácsadójává — nem kell a nulláról indulnia. Kezdje a GDPR és NIS2 követelmények közötti átfedés feltérképezésével. Számos technikai és szervezeti intézkedés, amellyel ügyfelei már rendelkeznek a GDPR kapcsán (titkosítás, hozzáférés-szabályozás, incidenskezelési eljárások), közvetlenül teljesíti a NIS2 követelményeit. Dokumentálja ezt az átfedést, hogy megmutassa az ügyfeleknek, nem a nulláról indulnak. Kínáljon NIS2 készültségi értékeléseket kiegészítő szolgáltatásként. Egy strukturált ellenőrzőlista, amely lefedi az összes NIS2 kötelezettséget és a meglévő intézkedésekkel összeveti azokat, azonnali értéket nyújt és folyamatos megfelelőség-monitorozásra pozicionálja Önt. Használjon olyan eszközt, amely a GDPR-t és a NIS2-t egységes vezérlőpulton támogatja. Külön rendszerek fenntartása a GDPR-megfelelőséghez és a NIS2-felkészüléshez megduplázza a munkaterhelést és megnehezíti a szinergiák azonosítását. A Trustee.eu mindkettőt egyetlen nézetben kombinálja, így átfogó tanácsot adhat.