NIS 2 irányelv

menu

NIS2 Audit

A NIS2 irányelvnek való megfelelésben érintett cégeknek 2025 végéig kell elvégeztetniük az első kiberbiztonsági auditot, amely igazolja rendszereik biztonságos működését.

A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) január 31-én közzétette az auditálás részleteit és a maximálisan felszámítható díjakat szabályozó rendeletet (1/2025 SZTFH rendelet). Az érintett vállalatok most megkezdhetik az auditorokkal való szerződéskötést és az auditok ütemezését, lefolytatását.

Audit folyamat fő lépései

  • Szervezeti kérdőív kitöltés

  • Auditori szerződéskötés

  • EIR lista, biztonsági osztályba sorolás átadása

  • Korábbi audit riportok átadása

  • Auditor kiválasztja a vizsgálandó rendszereket

  • Ütemezést és audit tervet készít

  • Audit lebonyolítása

  • Audit jelentés készítése

Szerződéskötés

1. Megállapodás előkészítése

  • A szervezet az elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó nyilvántartást és egy kitöltött kérdőívet átadja az auditor részére.
  • A kérdőív kitöltési útmutatója az SZTFH honlapján lesz elérhető.
  • Ha korábban már készült kiberbiztonsági audit, annak eredményeit és bizonyítékait is el kell juttatni az auditorhoz.

2. Auditor kijelölése és vizsgálati folyamat

  • Az auditor a kapott adatok alapján meghatározza a vizsgálattal érintett rendszereket.
  • Amennyiben korábban volt már hasonló audit, annak az eredményeit figyelembe kell venni, és az új vizsgálatnak ki kell terjednie az előző audit során nem vizsgált rendszerek egy részére.

3. Auditálási terv és ütemezés

  • Az auditor az audit megkezdése előtt egy auditálási tervet készít, amely tartalmazza:
    • az auditban részt vevő személyek nevét,
    • a vizsgálandó elektronikus információs rendszerek listáját,
    • a szervezet aktív közreműködésének módját,
    • az audit ütemezését.
  • A szervezetnek a megállapodásban meg kell jelölnie az audit során kapcsolattartó személyeket, akik biztosítják a dokumentumokat és az audit lebonyolítását.

4. Titoktartás és adatok védelme

  • Az auditor köteles a szervezet által átadott adatokat, dokumentumokat magas szinten védeni (adminisztratív, fizikai és logikai eszközökkel).
  • A vizsgálati eredményeket és bizonyítékokat csak a szervezet és a hatóság részére adhatja át.
  • A szervezet az audit lezárását követően öt évig köteles megőrizni az audit során átadott bizonyítékokat.

5. Auditjelentés és hatósági bejelentés

Az auditor az audit befejezését követően auditjelentést állít ki, amely tartalmazza:

  • a vizsgált elektronikus információs rendszerek védelmi megfelelési indexét (VMI),
  • a szervezet ellenálló-képességi indexét (SZEKI),
  • a vizsgált rendszerek azonosítását és biztonsági osztályba sorolását,
  • a vizsgálati eredményeket és értékeléseket.

Az auditjelentést a Hatóság részére is el kell juttatni legkésőbb 7 napon belül.

Audit módszertan

Az audit módszertan a NIST Special Publication 800-53A Revision 5 dokumentum alapján lett kialakítva.

A vizsgálatok célja, hogy ellenőrizzék:

  • az MKr. (7/2024 MK rendelet) szerinti védelmi intézkedések megfelelő megvalósítását;
  • a védelmi intézkedések tervezett működését és hatékonyságát​.

Vizsgálati módszerek:

  • Dokumentum vizsgálat: Szabályzat, nyilvántartás, szerződés, rendszerterv, BCP stb.
  • Interjú: Írásban feltett interjú, személyes kérdések, bizonyítékok gyűjtése
  • Teszt: Biztonsági osztálytól függ, automatizált vagy személyes közreműködéssel végrehajtott tesztek
  • Biztonsági osztályba sorolás ellenőrzése.
  • Elektronikus információs rendszerek (EIR) értékelése.
  • Szervezet értékelése.

Hatósági díjak

A kiberbiztonsági audit legmagasabb díja az alábbi tényezőktől függően alakul:

A szervezet éves nettó árbevételének sávjai alapján:

  • 1 milliárd Ft alatt: 0,9-szeres szorzószám
  • 1–2,5 milliárd Ft: 1,0-szeres szorzószám
  • 2,5–5 milliárd Ft: 1,3-szoros szorzószám
  • 5–10 milliárd Ft: 1,5-szeres szorzószám
  • 10–25 milliárd Ft: 1,9-szeres szorzószám
  • 25 milliárd Ft felett: 2,3-szoros szorzószám

Az érintett EIR (Elektronikus Információs Rendszerek) száma is befolyásolja a díjat (pl. ha egy szervezet több kritikus rendszert működtet).

Az EIR-ek kockázati besorolása (normál vagy magas kockázati szint) szintén díjmódosító tényező. A szorzószám 1 750 000 forint. Összességében a NIS2 irányelv új szabályozásai jelentős változásokat hoznak a kiberbiztonsági auditálás területén, és az érintett szervezeteknek időben kell lépéseket tenniük az előírásoknak való megfelelés érdekében.

Amennyiben segítségre van szüksége a NIS2 audit előkészítésében, szakértő csapatunk készséggel áll rendelkezésére! 

nevjegycontact copy 2@4x

NIS2 cikkeink

TOVÁBBI CIKKEINK →

NIS2 cikkeink

TOVÁBBI CIKKEINK →
SIEM2_blog

Hogyan támogatják a SIEM rendszerek a NIS2 és ISO 27001 követelmények teljesítését?

SIEM1_blog

Az ISO 27001:2022 és NIS2 irányelv követelményei és a SIEM megoldások alkalmazhatósága

email

E-mail támadások elleni védelem: Trend Micro megoldások

idmmfa blog

A NIS2 irányelv és az IDM rendszerek kapcsolata: Hogyan segíti az IDM a szabályozási

mfa blog

Multi Faktoros Hitelesítés és a NIS2 kapcsolata

vegpont blog

Végpont védelm és a NIS2 megfelelőség összefüggései

SpontEO - az informatikai üzemeltetésben és létesítésben

SpontEO – az informatikai üzemeltetésben és létesítésben

Biztonsági szolgáltatások kiberfizikai rendszerekhez

Biztonsági szolgáltatások kiberfizikai rendszerekhez

cropped-EURO-ONE-szines-logo.png
LinkedIn logo
YouTube logo
Facebook logo

Küldjön nekünk üzenetet

Az ‘Üzenet küldése’ gombra kattintva elfogadja az Adatkezelési és cookie tájékoztatónkat.

Megkeresését köszönjük! Kollégáink visszajelzéséig türelmét kérjük.

Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal cookie-kat használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k adatait a böngésző tárolja, és olyan funkciókat lát el, mint például felismeri Önt, amikor visszatér weboldalunkra, és segít csapatunknak megérteni, hogy a webhely mely részeit találja a legérdekesebbnek és leghasznosabbnak.