Vessük pillantásunkat a cégjegyzékre
Az egyik az, ha már tudjuk, hogy méretileg vagy bevétel alapján – talán – a hatálya alá tartozunk, mit kell még figyelembe venni, ha még mindig nem vagyunk biztosak abban, hogy a jogszabály ránk is vonatkozik-e? A TEÁOR és a NACE kód szintén segítség abban, hogy meggyőződhessünk arról, hogy beleesünk-e az érintettek körébe.
A cégjegyzékben a szervezet tevékenységi kódjai közel 100%-os biztosággal megmutatják azt, hogy indulhat-e a vesszőfutásuk az idővel vagy sem. Szintén ide kapcsolódik az is, hogyha valamelyik hatóság nyilvántartásába be kellett kerülnie a szervezetnek (pl. NMHH, NÉBIH stb.), akkor már teljesen biztos lesz az is, hogy a NIS2 érvényes lesz ránk, és az első nehéz és fájó lépést is meg kell tenni, be kell jelentkezni a hatóságnál, mint NIS2 alany.
Hosszú csata ez – nem, nem háború, hiszen azt majd akkor tudjuk megnyerni, ha már leszerződtünk egy auditor céggel, akik bevizsgálják a szervezetet és megtörténik az első kötelező audit – lezárásának ideje és a paktum megkötése: 2024. június 30.-ig. De mindenekelőtt meg kell keresni azokat az információkat a cégen belül, amelyeket be kell jelenteni az SZTFH felé (pl.: információbiztonsági felelős meg- és kijelölése, szervezet által használt domain nevek összeírása, IP-címek (fix), partner és beszállítói adatok stb.)
Már elkéstünk a létszámcsökkentéssel
A másik tényező azokat fogja kellemetlenül érinteni, akik úgy döntöttek, hogy inkább a létszám-leépítés, illetve „egyéb átszervezés” mellett voksolnak, és 50 fő alatti foglalkoztatotti létszámúvá alakulnak. Költséghatékonyság szempontjából biztosan jó döntés volt, ellenben az SZTFH az utolsó kettő lezárt évi cégadatokat fogja figyelembe venni; aki így próbálja meg, hogy elkerülje a lehetetlent, annak csak idő kérdése, hogy a hatóság látókörébe kerüljön, és akkor nemcsak a bírsággal kell szembenéznie, de a megfelelőség miatt is fájni fog a feje.
Figyeljünk arra, hogy elsősorban magunkat védjük meg az esetleges incidens esetén, továbbá, ha ez bekövetkezik, akkor az esetleges hiba, mulasztás, károsodás, felelősség és egyéb esetkörökben egy letisztultabb felelősségi rendszerben lehessen kezelni a felmerült eseményeket, amely meg tudja azt mutatni, hogy kinek a hibájából, illetve hol következett be az incidens.
A cseresznye a tortán, hogy a beszállítók és partnerek listájának összeállítása és az után, hogy felmértük, milyen kockázati értékkel, lehetőségekkel rendelkeznek, akkor újraírhatjuk vagy kiegészíthetjük a már meglévő szerződéseinket, az új ügyfelek számára pedig már a (IT-, információbiztonsági-, cyber security-) biztonsági, védelmi specifikumokat is tartalmazó szerződéseket tudjuk átnyújtani.
Amikor mindezeknek eleget teszünk, és azt hisszük, már nem jöhet olyan szabályozás (invázió), amely kihatna további életünkre, akkor az AI Act is lassan (de biztosan) berobban az életünkbe, és a „lerohanás” újra kezdődik.
Forrás: IT Business
Kapcsolódó cikkek:
