Ma már keresve is nehezen találnánk olyan vállalatot, amely az üzleti tevékenység részeként keletkező, ahhoz nélkülözhetetlen adatokat – közöttük a partnerek és az ügyfelek adatait – nem informatikai rendszerekben kezeli. Az értékes és érzékeny adatok biztonsága üzleti és társadalmi érdek, védelmüket ezért a kritikus fontosságú ágazatokban a kiberbiztonsági tanúsításról és felügyeletről szóló törvények is előírják, amelyek a vonatkozó uniós irányelvet, a NIS2-t ültették át a hazai jogrendbe.

Kibervédelmének erősítésére azonban minden más vállalatnak is folyamatosan törekednie kell – és nem csupán azért, mert az általános hatályú uniós rendelet, a GDPR értelmében az adatbiztonság sérülése és a biztonsági incidensek nem megfelelő kezelése nagy összegű bírságot vonhat maga után.

A tanúsítás folyamata azonban, különösen a mintavétel, a bizonyítékgyűjtés szakaszában – amikor az auditor a helyszínen készít interjúkat és vesz fel adatokat – plusz terhet ró az alkalmazottakra, ezért sok vállalat odázgat, a törvényben előírt auditokat az utolsó pillanatra hagyja, és vonakodik attól, hogy a kötelező minimumom felül további tanúsításokba fogjon.

Pedig érdemes lenne egyszerre több auditot is vállalniuk. A különböző tanúsítások között ugyanis vannak átfedések – különösen a folyamatok bemutatását és a vizsgálat során elvárt auditbizonyítékokat illetően –, ezért előnyösen integrálhatók. Ha élnek a párhuzamosítás lehetőségével, a vállalatok a szervezeti és az informatikai oldalra egyaránt kiterjedő, átfogó képet kapnak információbiztonsági állapotukról, rövidebb átfutással, és összességében kisebb ráfordítás mellett.