A biztonsági besorolás az elsődleges szempont

A nyilvántartásba vett auditor cégek különböző biztonsági besorolású elektronikus információs rendszerek NIS2 megfelelőségét ellenőrizhetik. Az SZTFH nyilvántartásában látható, hogy míg kizárólag alap besorolású rendszereket jelenleg öt cég auditálhat, jelentős besorolással már csak kettő, magas besorolással pedig egyedül egy auditor foglalkozhat. Aki magas besorolású EIR-rel, EIR-ekkel rendelkezik, annak nincs sok gondolkodnivalója a választás kapcsán; egy valakit kereshet csak meg szerződéskötés ügyében. A magas besorolásúaknak két alternatíva áll rendelkezésükre, viszont amennyiben alap besorolással bírunk, lényegében minden nyilvántartott auditor cég szóba jöhet. Szóba jöhet, viszont nem biztos, hogy jó választás. Bár a magasabb biztonsági besorolással bíró auditor cégek is vállalhatnak alap besorolású ügyfeleket, rájuk már nagy valószínűséggel csak kevesebb vagy egyáltalán nem marad kapacitásuk. Így alapvetően elmondható, hogy érdemes a saját besorolási szintünknek megfelelő auditor céget választani.

Nem biztos vállalkozása EIR-jének biztonsági osztályba sorolásában? Kérje tanácsadóink segítségét!

Ne ragadjunk le a versenyeztetésnél

Előfordulhat, hogy beszerzéseink a versenyeztetésen, több árajánlat bekérésén, majd azok közül meghatározott szempontok szerinti választás alapján történnek. A NIS2 audit kapcsán azonban – elsősorban a szűkös határidőre való tekintettel – sajnos muszáj lesz szakítanunk ezekkel a bevett folyamatokkal. Az auditorok megkeresése, előzetes egyeztetések, ajánlatok bekérése és elbírálása olyan hosszú projektté nőheti ki magát, ami automatikusan kicsúsztat minket a szerződéskötés jogszabályilag meghatározott határidejéből, és így büntetést is vonhat maga után. Javasolt ezért kiválasztani egy, maximum kettő szimpatikusnak tűnő auditor céget és azonnal a szerződéskötésre térni. Árak tekintetében várhatóan úgyis auditálandó elektronikus információs rendszereink és vállalkozásunk jellemzői lesznek a mérvadóak, nem az auditor cég kiléte. 

A helyszín nem mérvadó

Aki egy kicsit is átrágta már magát a nyilvántartásba vett auditor cégek jellemzőin, láthatja, hogy mindegyik budapesti. Ennek megfelelően a választásnál érdektelen szemponttá válik a helyszín, hiszen például egy vidéki, NIS2 hatálya alá eső vállalatnál biztosan nem lehet gyakori személyes találkozóra számítani. Az érintett vállalatok nagy száma és az elérhető auditorok kis száma ugyancsak arra enged következtetni, hogy érdemes inkább felkészülni a digitális kapcsolattartásra, illetve az audithoz szükséges bizonyítékok digitális formában való előkészítésére. 

Kezdeményezzünk időben!

Az auditor cégek csak annak tudnak érdemben a segítségére lenni - már akár a NIS2-re való felkészülés során -, aki kapcsolatba lép velük. Aki nem jelentkezik, az biztosan lemarad a frissen, első kézből kapható információkról és a közös gondolkodás lehetőségéről, mellyel ebben a még tökéletesen nem szabályozott projektben ügyfél és szolgáltató oldal megpróbál elnavigálni. Bátran használjuk az SZTFH nyilvántartásában szereplő telefonos vagy e-mailes elérhetőségeket és kérjük vállalkozásunk előzetes regisztrációját, hogy amint lehetőség adódik rá, a szerződéskötésre már ne kelljen sokat várni. 

Az időzítés kulcsfontosságú

A határidő szoros, az érintett vállalkozások száma magas, az elérhető auditorok száma viszont alacsony. Ezek a tényezők mind arra engednek következtetni, hogy az időzítés az auditorokkal való szerződéskötés ügyében ugyanúgy kiemelten fontos, mint a NIS2 bármely egyéb területén. Valószínűsíthető, hogy akinek az elsők között sikerül leszerződnie valamelyik céggel, az rugalmasabban választhat majd az elérhető audit időpontok közül. Az pedig valljuk be nem mindegy, hogy mennyi időnk jut az auditra való felkészülésre.

Segítségre van szüksége a NIS2 auditra való felkészülésben? Válassza NIS2 felkészítési szolgáltatásunkat!

A szabályozás még alakulóban

Bár az auditor céggel való szerződéskötés jelenlegi határideje 2024. december 31., az auditorokra vonatkozó szabályozás egyelőre nem jött ki, még nem hatályos. Ennek következményeképpen még nincs hivatalos információ sem árakról, sem audit felépítésről, sem arról, hogy ténylegesen milyen határidőkkel kell kalkulálni az audit lefolytatása kapcsán. Az azonban már sejthető, hogy az ISO auditoknál megszokott forma itt is beválhat. Vagyis, ha nincs is teljes megfelelőség a vállalat részéről, a jegyzőkönyv felvétele után egy javítási intézkedési terv, és a javítások határidőre történő végrehajtása mellett, a büntetés elkerülhető lesz.