Lépésről lépésre a NIS2 megfelelés felé III.
![20943599-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20943599-Converted-qgzkjh2j54nbk8ij1gi4mpy5ufrtusfnbqzwhqhw4g.png "20943599-[Converted]")
Üzletmenet-folytonosság biztosítása
Az üzletmenet-folytonosság hiányát optimális esetben ritkán érezheti egy szervezet, de ha bekövetkezik egy olyan eset, ami rávilágít erre a helyzetre, annak rendszerint jelentős reputációs és pénzügyi hatása van. A NIS2 kiberbiztonsági kockázatkezelési intézkedései közt szerepel az üzletmenet-folytonosság biztosítása is, ezért a Kibertantv. is kitér rá, a részletes követelmények is tartalmazni fognak erre vonatkozó előírásokat.
A folytonosság célja, hogy a szervezetek kritikus folyamatai és azokat támogató vagyonelemei (pl. IT rendszerek) egy krízishelyzetben is működőképesek legyenek vagy leállásuk esetén minél rövidebb idő alatt helyreálljanak és a szervezet a lehető legkisebb veszteségeket szenvedje el.
![OrgCoral_Ofc-01_Concept-01-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/OrgCoral_Ofc-01_Concept-01-Converted-qgzii9f2tod1f9ht7iiearpmmmtt7xvk7fr2q0xwlc.jpg "OrgCoral_Ofc-01_Concept-01-[Converted]")
A kritikus folyamatokat és azokat támogató erőforrásokat üzleti hatáselemzés (BIA) során lehet feltérképezni és erre vonatkozó módszertanok alapján azonosítani. Ehhez minden esetben szükséges egy teljeskörű és naprakész folyamatlista.
Ha azonosításra kerültek a kritikus folyamatok és azokat támogató erőforrások, akkor különböző forgatókönyvek alapján folytonossági, helyettesítési stratégiákat kell kidolgozni és ezek részleteit üzletmenet-folytonossági tervekben (BCP) kell összegezni. Fontos megjegyezni, hogy nem elegendő csak elkészíteni a terveket, biztosítani kell a végrehajtáshoz szükséges erőforrásokat és folyamatosan naprakészen kell tartani, tesztelni kell a terveket.
Az IT rendszerekre és infrastruktúrára vonatkozóan célszerű katasztrófa utáni helyreállítási terveket (DRP) készíteni, ami az infrastruktúra megsemmisülése, károsodása miatt szükséges újjáépítéshez tartalmazzák a technikai információkat, telepítéshez szükséges lépéseket.
Klasszikus üzletmenet-folytonossági intézkedés lehet másodlagos internetkapcsolat és tápellátás kialakítása, DR site kialakítása vagy igénybevétele, offline mentések készítése és még sorolhatnánk.
![20943952-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/20943952-Converted-qgzio4wrjeejziylwjxgdsccabvebu760ijbpa8bpc.png "20943952-[Converted]")
Audit
Az ISO 27000 szabvány angol fogalommeghatározása alapján az audit szisztematikus, független és dokumentált eljárás a bizonyítékok megszerzésére és értékelésére, objektív módon annak megállapítása, hogy az auditálási kritériumok milyen mértékben teljesülnek. Az auditálási kritériumok a Kibertantv. esetében a részletes követelmények lesznek.
A Kibertantv. a kiberbiztonsági auditot így határozza meg: az elektronikus információs rendszerek tekintetében a kiberbiztonsági követelmények teljesülésére vonatkozó vizsgálat, ellenőrzés. Ezt az ellenőrzést a szabályozás hatálya alá tartozó szervezetnek 2 évente kell elvégeztetnie a tevékenység végzésére jogosult, független auditorral. Az auditorokat az SZTFH fogja jóváhagyni és nyilvántartani, a listájuk nyilvános lesz. Jelenleg kidolgozás alatt vannak az auditorokkal kapcsolatos követelmények. Az auditok költségét az SZTFH maximalizálni fogja. A részleteket egy SZTFH elnöki rendelet fogja tartalmazni.
Az érintett szervezeteknek kiemelten fontos, hogy dokumentált módon üzemeltessék a Kibertantv. által előírt kontrollokat, hiszen a széleskörű dokumentáció, ticketek, leírások mind bizonyítékok, amelyek optimális esetén a megfelelést támasztják alá.
Az auditok általánosságban dokumentumok vizsgálatából, helyszínbejárásból, interjúkból, mintavételes ellenőrzésből, adatelemzésből állnak, de sor kerülhet technikai tesztekre is. Az auditok mélysége függ az érintett szervezetek szempontjából releváns kockázatoktól, tevékenységének kritikusságától, méretétől.
![8749-[Converted]](https://nis2iranyelv.hu/wp-content/uploads/elementor/thumbs/8749-Converted-qgztp7uantz8la6f86zppl2ee6pi0ql1xvvm5dh35s.jpg "8749-[Converted]")
Az auditok eredményét jelentésben összesítik, ahol a vizsgálatok alapján súlyos-jelentős, kisebb mértékű eltéréseket, ajánlásokat azonosítanak, de tökéletes működés esetén elképzelhető, hogy nem lesznek eltérések.
Az első kiberbiztonsági auditot 2025. december 31-ig kell lefolytatni, az erre vonatkozó szerződést 2024. december 31-ig kell megkötni.
