null

Kulcsfontosságú dokumentációk a sikeres NIS2 audithoz

2025. jan. 13.

A NIS2 irányelv által meghatározott védelmi intézkedések számos szabályzatról, eljárásutasításról rendelkeznek, melyeket az érintett szervezeteknek – amennyiben meg akarnak felelni az irányelv követelményeinek – kötelezően ki kell dolgozniuk, létre kell hozniuk. Sejthető, hogy ezen dokumentumokat a kiberbiztonsági audit során be is kell tudnunk mutatni annak érdekében, hogy az audit sikeresen zárulhasson. De gondoltunk-e mindenre? Íme öt kulcsfontosságú dokumentum, amit semmiképpen sem felejthetünk ki a sorból.

Információbiztonsági Szabályzat (IBSZ)

Az Információbiztonsági Szabályzat, röviden IBSZ, manapság minden szervezet egyik szabályozási alapdokumentuma. Számos különböző szabvány vagy törvény írja elő a meglétét, éppen ezért a kiberbiztonságot célként kitűző NIS2 irányelvből sem maradhatott ki. A NIS2 auditon, mint alap dokumentáció ezért biztosan rendelkezésre kell állnia.

Néhány gyakorlati tanács az IBSZ tartalmára vonatkozóan:

  • Az Információbiztonsági Szabályzatnak tartalmaznia kell mindazon előírásokat, amelyek cégünknél az infokommunikációs eszközök rendeltetésszerű és biztonságos használatához szükségesek.
  • A dokumentumban pontosan és részleteiben meg kell határoznunk az EIR-ek (elektronikus információs rendszerek) védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, előírásokat.
  • A szabályzatban továbbá hivatkoznunk kell a cégünknél információbiztonsági szempontból kidolgozott minden fontos kapcsolódó dokumentumra, legyen az szabályzat, eljárásrend, leírás, nyilvántartás, napló stb. Gyakorlatilag az IBSZ fogja adni a NIS2 auditon prezentált dokumentációink egyfajta keretrendszerét.

Kockázatmenedzsment stratégia

A kockázatmenedzsment lényegében a kiberbiztonság alfáját és omegáját adja, hiszen, ha nem ismerjük pontosan cégünk rendszereit és az azokat érintő fenyegetettségeket, illetve nincs ezekre megfelelő kontroll intézkedésünk, akkor az információbiztonság mint olyan nagyon vékony jégen táncol. A NIS2 irányelv is kiemelt hangsúlyt fektet a kockázatelemzésre és kockázatkezelésre, amit jól mutat, hogy konkrét védelmi intézkedéseket is kínál az érintett szervezetek számára. A vonatkozó rendelet emellett részletesen leírja, hogy a kockázatmenedzsment stratégiánkat milyen szempontok szerint, milyen módszertan alapján állíthatjuk össze.

A NIS2 auditra azonban nem elegendő kidolgoznunk a kockázatmenedzsment stratégiánk elméletét egy szabályozó dokumentum formájában. Az auditor cégnek dokumentáltan látnia kell, hogy mely kritikus üzleti folyamatokat, milyen mértékű fenyegetettségek veszélyeztetik és ezekre milyen hatékonysággal tudunk kontroll intézkedéssel reagálni. Éppen ezért javasolt egy tényleges kockázatelemzés eredményét is az audit alkalmára előkészíteni. 

Milyen főbb szempontokat tartsunk szem előtt a kockázatmendzsment folyamataink és gyakorlataink dokumentációjakor?

  • Figyeljünk a részletekre! Az elemzés során vizsgáljunk meg minden üzletileg kritikus folyamatot, annak minden eszközét; minden eszközt bizalmasság, sértetlenség és rendelkezésre állás szempontjából, minden fenyegetés vonatkozásában. Csak így kaphatunk teljeskörű eredményt cégünk kiberbiztonságával kapcsolatban.
  • Használjuk a vonatkozó rendelet fenyegetési katalógusát! A 7/2024. (VI. 24.) MK rendelet 3. számú melléklete tartalmazza azokat a fenyegetéseket, melyeket a kockázatelemzés során legalább vizsgálnunk kell a kritikus üzleti folyamatok adatainak vonatkozásában. 
  • Ne feledkezzünk meg a beszerzésekről sem! A NIS2 kiemelt hangsúlyt fektet az EIR-ek vonatkozásában a megfelelően biztonságos ellátási lánc folyamatokra, ezért a kockázatmenedzsment stratégiát feltétlenül ki kell terjesztenünk az üzletmenet (ügymenet) szempontjából kritikus termékek beszállítóira is.

Segítségre van szüksége szervezete kockázatelemzésében? Kérje, szakértő tanácsadóink támogatását!

BCP (üzletmenet-folytonossági terv)

Egy esetleges kiberincidens esetén gondoskodnunk kell róla, hogy az információbiztonság mellett az üzleti folyamatok is gyorsan helyreállíthatók vagy helyettesíthetők legyenek; szervezetünk képes legyen folytatni a kritikus üzleti tevékenységeit. A NIS2 által meghatározott védelmi intézkedések között ezért meghatározó dokumentációs elvárásként szerepel az úgynevezett üzletmenet-folytonossági terv (BCP) összeállítása és naprakészen tartása.

Íme néhány hasznos szempont a BCP kidolgozására vonatkozóan:

  • Határozzuk meg a minimális szolgáltatási szintet! A tervben pontosan rögzítsük azt a szolgáltatási szintet, mely a működés folytonosságának fenntartása érdekében szükséges. Ehhez már könnyen igazíthatjuk az egyes kritikus üzleti folyamatok helyreállítására vonatkozó cselekvési terveket.
  • Gondoljunk a helyettesíthetőségre! Az üzletmenet folytonosságát valamely eszköz- vagy humán tényező kiesése, kompromittálódása esetén a legegyszerűbben és leggyorsabban a helyettesítő intézkedések bevezetésével biztosíthatjuk.
  • Legyenek rögzítve a felelősök! Saját BCP csapat kijelölése is segíthet az üzletmenet-folytonosság fenntartásában, de a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket és azok elérhetőségeit feltétlenül meg kell határoznunk. 
  • Határozzuk meg a kommunikációs folyamattal szembeni elvárásokat! Gondoskodjunk a válságkommunikációs formák és csatornák szabályzatban történő rögzítéséről, hogy egy esetleges incidens esetén minél hamarabb megkezdhetők legyenek a helyesbítő intézkedések.

Képzési szabályzat és kapcsolódó dokumentumok

A NIS2 irányelv általános célja a kiberbiztonság növelése, melynek alapkövét jelenti a humán erőforrás, vagyis minden emberi tényező megfelelő felkészültsége, tudatossága. Ennek következtében a NIS2 kapcsán óriási hangsúly kerül a különböző, információbiztonsági képzésekre, illetve a munkavállalók tudatos hozzáállásának kialakítására a biztonság fenntartásához, az esetleges kibertámadások elkerüléséhez.

A legfontosabb szempontok, amiket figyelembe kell vennünk a képzési szabályzat és ahhoz kapcsolódó dokumentumok összeállításakor:

  • Válasszuk szét szerepkörönként a képzési anyagokat! Más-más információkra lesz szüksége a kiberbiztonsági tudatossággal kapcsolatban egy vezetőségi tagnak, mint egy adminisztrátori munkakörben dolgozónak. 
  • Gondoskodjunk a jogosultságok szerinti hozzáférhetőségről! A képzési anyagoknak könnyen hozzáférhetőnek kell lenniük a munkavállalók számára, méghozzá - a bizalmasság szem előtt tartásával - szerepkörök szerint. 
  • Készítsünk éves képzési tervet! Dolgozzunk ki egy tervet arra vonatkozóan, hogy mely biztonságtudatossági képzési alkalom mikor kerül megrendezésre és kiknek kell rajta részt venni. A képzési tervben kitérhetünk az ismétlő képzésekre is, illetve az esetleges ellenőrző tesztekre is.

IBF munkaköri leírás

Mivel az IBF (információbiztonságért felelős személy) kijelölése feltétele volt a NIS2 regisztrációnak, sok cég esetében esetleges, nem megfontolt választás eredményeképpen történt a szerepkört betöltő személy meghatározása. Gyakori hiba ezért, hogy a megjelölt munkatárs vagy megbízott az érintett szervezet regisztrációját követően semmilyen további információt nem kap az új feladatkörről. A sikeres NIS2 audithoz elengedhetetlen dokumentációk közül könnyen feledésbe merülhet az IBF, kiberbiztonsági feladatokkal és felelősségekkel frissített munkaköri leírása, ezért ennek meglétére fordítsunk kiemelt figyelmet. Az IBF lesz ugyanis az EIR biztonságáért felelős személy, aki az érintett szervezet szintű információbiztonsági szabályzatnak való megfelelés koordinálását, fejlesztését, bevezetését és fenntartását biztosítja. Ő felel majd az esetleges kiberincidensek jelentéséért, illetve ő tartja a kapcsolatot a hatóságokkal. Mindezen felelősségeknek pedig szerepelniük kell az IBF munkaköri leírásában is, vagy külső megbízott esetén a megbízási szerződésben.

Segítségre van szüksége a felkészüléshez? Bízza szakértőkre szervezete NIS2 megfelelését, és kérjen támogatást a dokumentáció elkészítésében!