null

NIS2 audit kisokos: Tippek, követelmények és az ellenőrzési folyamat

2025/ 03/03

Az 1/2025. (I. 31.) SZTFH rendelet megjelenésével a NIS2 irányelv hatálya alá tartozó szervezetek végre pontos képet kaphattak az idei évben esedékes első NIS2 audit díjairól. A szabályozás azonban nemcsak a költségekre tér ki, hanem részletes információkat ad magának az auditnak az elvárt menetéről, az auditor cégek által kötelezően alkalmazandó módszertanról is. Hogy melyek a leghasznosabb tudnivalók a rendeletből a NIS2 kötelezett cégek számára? Cikkünkben ezekre a kérdésekre adunk választ.

Alkalmazott vizsgálati módszerek

A NIS2 audit alkalmával, illetve azt megelőzően különböző típusú vizsgálatokra számíthatunk egy jellemzően néhány hetes ellenőrzési folyamat részeként. Ezek a vizsgálati típusok lehetnek:

Dokumentumvizsgálat

Ennek keretében az auditorok áttekintik a szervezet rendelkezésére álló szabályzatokat, eljárásrendeket, nyilvántartásokat és egyéb szabályozó dokumentumokat. A vizsgálathoz szükséges dokumentációk listáját, az úgynevezett evidencia listát általában előzetesen meghatározzák, és a szervezet feladata, hogy azokat az auditor cég számára elérhetővé tegye.

Segítségre van szüksége a dokumentáció összeállításában? Tekintse meg Dokumentációs szolgáltatási csomagjainkat!

Interjú

Az ellenőrzés részeként személyes vagy online interjúkra is sor kerülhet. Ezek során az auditor cég, az IBF jelenlétében, a NIS2 megfelelőségben érintett szereplők bármelyikével egyeztethet annak érdekében, hogy megerősítést nyerjen bizonyos kérdésekben, vagy további releváns információkhoz jusson.

Teszt

A tesztelési folyamat célja annak megállapítása, hogy a NIS2 követelményei a gyakorlatban is maradéktalanul teljesülnek-e. Ennek érdekében az auditorok a szervezet munkatársainak bevonásával célzott - jellemzően helyszíni - vizsgálatokat végeznek és bizonyítékokat gyűjtenek a követelmények teljesülésének igazolásra.

Az eljárás menete

Biztonsági osztályba sorolás felülvizsgálata

A NIS2 audit során az auditor cég elsőként szakmai szemmel felülvizsgálja az érintett szervezetek által saját hatáskörben meghatározott elektronikus információs rendszerek (EIR) biztonsági osztályba sorolását. Ennek ellenőrzésére a rendelet 1. mellékletében szereplő nyilvántartási táblázat kitöltését használja, így megállapítva, hogy az egyes EIR-ek megfelelő besorolást kaptak-e.

Fontos kiemelni, hogy ha az auditor eltérést tapasztal, és szakmai véleménye szerint egy adott EIR más biztonsági osztályba tartozna, javaslatot tesz a módosításra. Ennek ellenére azonban a vizsgálatot a szervezet által meghatározott és annak vezetője által jóváhagyott biztonsági osztály alapján végzi el.

Éppen ezért kulcsfontosságú, hogy az EIR-ek meghatározása és besorolása átgondolt, szakmailag megalapozott döntés eredménye legyen – oly módon, hogy az a vállalat számára se legyen hátrányos.

Nem biztos vállalkozása EIR-jének biztonsági osztályba sorolásában? Kérje tanácsadóink segítségét!

Alkalmazható követelménycsoportok meghatározása

Az audit első szakaszában meghatározásra kerülnek azok a védelmi intézkedések és követelmények, amelyek a szervezetre alkalmazhatók, amelyek nem alkalmazhatók vagy amelyek esetlegesen helyettesítő intézkedésként működnek. Ezeket két fő kategóriába sorolhatjuk: szervezet szintű követelmények, amelyek a teljes vállalatra vonatkoznak, valamint EIR-specifikus követelmények, amelyek egy adott elektronikus információs rendszerre érvényesek. Az így kategorizált védelmi intézkedések típusuk szerint lehetnek továbbá Támogató vagy Biztosító intézkedések, mely típusnak az értékelés során alkalmazott pontozási rendszerben lesz jelentősége.

A rendelkezésre álló követelmények csoportosításait az alábbi ábra szemlélteti:

A megfelelőségi vizsgálat kizárólag a szervezet által alkalmazhatóként megjelölt követelményekre, illetve az auditor cég által jogosnak és megfelelőnek ítélt helyettesítő intézkedésekre vonatkozóan történik.

Követelmények értékelési módszerei

Az alkalmazható követelmények értékelése egy az 1/2025. (I. 31.) SZTFH rendelet 6. mellékleteként szereplő táblázatban előírt módszerekkel történik. A melléklet egyaránt rögzíti, hogy mely vizsgálati módszert kell alkalmaznia az auditor cégnek az adott követelmény vonatkozásában, illetve, hogy melyek azok a védelmi intézkedések, melyek nem zárhatók ki az értékelésből – vagyis, kötelezően ellenőrizendők.

Általánosságban elmondható, hogy a szervezet szintű követelményeknél elsősorban dokumentumvizsgálatra, illetve azt megerősítő interjúkra számíthatunk. Az EIR szintű követelményeknél ezzel szemben már több esetben megjelenik a teszt is mint kötelezően alkalmazandó vizsgálati módszer. A fiókkezelést, naplózási folyamatunkat, az EIR mentéseit és helyreállításait, a monitorozó eljárásunkat például biztosan a gyakorlatban is be kell tudnunk mutatni az auditon, míg a különböző szabályzatok és eljárásrendek ellenőrzése dokumentumvizsgálat formájában is elegendő lehet.

Értékelésből nem kihagyható elemek

A vonatkozó rendelet egyértelműen meghatározza, hogy az auditor cégnek mely követelménycsoportokat kötelező vizsgálnia, így ezek semmiképpen sem maradhatnak ki az értékelésből.

Az alábbi területekre különös figyelmet kell fordítanunk a NIS2 audit során – ezek esetleg elsőre nem jutnának eszünkbe, mégis alapvető fontosságúak, mivel az ellenőrzés elkerülhetetlen részei:

Kockázatmenedzsment és kockázatelemzés, a beszállítói láncra kiterjesztve is
Sikertelen bejelentkezési kísérletekre alkalmazott védelmi beállítások
Biztonságtudatossági képzés és hamisítás elleni képzés
Naplózási rendszer (események és kötelező tartalmuk) helyes működése, naplózási adatok visszakereshetősége és kezelése
EIR alapbeállítások és konfigurációk leírása és kezelése
Üzletmenet-folytonossági (BCP) terv és annak gyakorlati tesztelése
Az adathordozókhoz való hozzáférés szabályozottsága
Személyek munkaviszonyának megszűnése alkalmával használt védelmi módszerek
Támogatással nem rendelkező rendszerelemek listája és hozzájuk kapcsolódó védelmi intézkedések
Kriptográfiai kulcs előállítása és kezelése

Egy átfogó, a kötelező elemeket teljeskörűen tartalmazó ellenőrzőlista nagy segítséget jelenthet a megfelelőség biztosítása során, hogy minden minimálisan elvárt követelmény teljesüljön.

Ön már szerződött auditor céggel a NIS2 auditra? Válassza a Veritan Kft.-t a kiberbiztonsági audit lefolytatására!

Hogyan teljesíthetünk sikeresen az ellenőrzésen?

Sokan felteszik a kérdést: mennyire kell tökéletesen megfelelni az audit során ahhoz, hogy sikerrel zárjuk azt? A vonatkozó rendelet erre pontos választ ad.

A megfelelőséget két kulcsfontosságú mutató alapján határozzák meg:

SZEKI (szervezet ellenálló-képességi index) – ez a szervezet-specifikus védelmi intézkedések vizsgálata során kerül meghatározásra.
VMI (védelmi megfelelési index) – az EIR szintű védelmi intézkedések vizsgálatának eredménye.

Az értékelés során bonyolult képletek alapján számítják ki a megfelelőségi szintet, de egyértelmű, hogy a támogató és biztosító védelmi intézkedések eltérő súllyal esnek latba.

Mit jelent a megfelelőség határértéke?

Mind a szervezeti, mind az EIR szintű követelmények esetében a 70 pont alatti értékelés nem megfeleltnek minősül. Az audit tehát akkor tekinthető sikeresnek, ha a szervezet eléri vagy meghaladja ezt a küszöbértéket.

Mi történik, ha egy követelménycsoportban nem teljesül minden védelmi intézkedés?

Az egyes megfelelőségi indexek kiszámolása követelménycsoportok szintjén történik, így, ha egy csoportban bizonyos védelmi intézkedések nem teljesülnek maradéktalanul, az audit sikere attól függ, hogy ezek az eltérések milyen mértékűek.

A megfelelőség elbírálásakor az alábbi szempontokat veszik figyelembe:

Hány védelmi intézkedés kapott „nem megfelelt” minősítést az adott követelménycsoporton belül?
Befolyásolják-e ezek az eltérések az EIR biztonságát?
Az érintett követelménycsoport céljai mennyire teljesülnek a hiányosságok ellenére?
A nem megfelelőségek milyen támadási lehetőségeket teremthetnek?

A sikeres audit kulcsa tehát nem feltétlenül a tökéletes teljesítmény, hanem az, hogy a megfelelőségi szintet meghatározó kritériumok teljesüljenek, a kiemelt mértékű eltérések száma minimális legyen, és az esetleges hiányosságok ne jelentsenek kritikus biztonsági kockázatot.

Fókuszterületek a megfelelőségben

Az 1/2025. (I.31.) SZTFH rendelet 7. melléklete pontosan meghatározza azokat az elemi követelményeket, amelyeket az auditor cégnek vizsgálnia kell a védelmi intézkedések ellenőrzése során. Bár ezek a követelmények számos különböző elvárást támasztanak a szervezet működésével kapcsolatban, bizonyos visszatérő elemek jól felismerhetők.
A legtöbb védelmi intézkedés esetében az elemi követelménylista tartalmazza:

A felelős személyek kijelölését és meghatározását,
A felülvizsgálati és ellenőrzési folyamatok bevezetését és működtetését.

A NIS2 megfelelőség kialakításakor ezért különös figyelmet kell fordítani arra, hogy minden biztonsági területhez tartozzon egy felelős. Ők pontosan ismerjék feladataikat és felelősségi körüket, amelyeket munkaköri leírásban is rögzíteni kell. Emellett a szervezet minden munkatársának világosan értenie kell, milyen kiberbiztonsági feladatok és felelősségek hárulnak rájuk, valamint hogyan járulnak hozzá a vállalat biztonságának fenntartásához.

Fontos továbbá, hogy minden szabályzat – legyen szó üzletmenet-folytonossági tervről, információbiztonsági szabályzatról vagy biztonsági események kezelésére vonatkozó eljárásrendről – tartalmazza a felülvizsgálat és ellenőrzés gyakoriságát. A szabályozó dokumentumok mellett a biztonsági intézkedéseket, például a mentési és helyreállítási folyamatokat is rendszeresen tesztelni és ismételni kell. Az elektronikus információs rendszerek védelme ugyanis folyamatos felügyeletet igényel, ezért elengedhetetlen, hogy mindig naprakész információkkal és frissített eljárásokkal dolgozzunk a biztonság fenntartása érdekében.

Forrás: 1/2025. (I. 31.) SZTFH rendelet

Beschleunigen Sie Ihre Arbeit mit künstlicher Intelligenz! Mit Hilfe von Alrite können Sie ganz einfach Transkriptionen und Video-Untertitel für diktierte oder bereits aufgezeichnete Audio- und Videomaterialien erstellen. Die Anwendung bietet die Möglichkeit, Dateien zu speichern, Transkriptionen und Bildunterschriften zu bearbeiten und gemeinsam zu nutzen sowie erweiterte Suchoptionen durchzuführen.

Régens

Navigationsmenü