Loading...

Hogyan készülj fel a NIS2 auditra?

 

Mivel foglalkozik a NIS2 és hogy néz ki a felkészülés, illetve az audit?

 

A „NIS2” megfelelés röviden a már említett 7/2024 (VI.24.) MK rendeletben meghatározott elektronikus információs rendszerek biztonsági osztályba való sorolásáról és a hozzá tartozó konkrét védelmi intézkedések foganatosításáról szól. Természetesen ezt a gyakorlatot, nem elég egyszer végrehajtani, hanem gondoskodni kell az elektronikus informatikai rendszerekkel támasztott követelmények folyamatos és naprakész fenntartásáról.

A NIS2 megfelelés megteremtésének folyamata:

A megfelelési projektek során GAP analízist szükséges végezni, melynek során a NIS2 által elvárt követelmények esetleges hiányosságait térképezik fel. A folyamat az alábbi főbb lépésekből áll:

  • hatókör meghatározása,
  • rendszerek biztonsági osztályba sorolása,
  • biztonsági követelmények azonosítása,
  • biztonsági képességek, kockázatok felmérése,
  • magas szintű intézkedési terv készítése.

A felmérés során több ezer kontrollt szükséges megfelelő szakértelemmel levizsgálni, hiszen a tét nem kevés, így a szervezeteknek javasolt erre szakosodott partnert választani támogatásul. 

A réselemzés lezárultát követően lépnek a szervezetek a felkészülés szakaszába, melynek során a feltárt hiányosságokat javasolt orvosolni a következők szerint:

  • felelősségek kijelölése,
  • folyamatok szervezése,
  • szabályzatok elkészítése,
  • technológiák, szolgáltatások beszerzése, implementálása,
  • a működés dokumentálása.

A felkészülést követően a szervezetnél megfelelőségértékelést, auditot végeznek az SZTFH által nyilvántartásba vett auditorok. A vizsgálat átfutásának ideje a szervezet méretétől függ. Az auditok végrehajtására vonatkozó végrehajtási rendelet ősszel jelenik meg.

A folyamat az alábbi főbb lépésekből áll:

Melyek a főbb határidők?

  • 2024. január 1 – június 30.
    A vállalatoknak ezen időszak alatt azonosítaniuk kellett, hogy vonatkoznak-e rájuk a NIS2 elvárásai. Amennyiben igen, akkor 2024. június 30-ig jelentkezniük kellett nyilvántartásba vételre az SZTFH-nál. Emellett el kellett végezniük a biztonsági osztályba sorolást, illetve meg kellett határozniuk az elektronikus információs rendszerek biztonságáért felelős személy feladatkörét, akit ki is kellett jelölniük. Az SZTFH mint felügyeleti szerv ezen időszak alatt az érintett szervezeteket, illetve az auditorokat nyilvántartásba vette. Amennyiben ezt elmulasztottad, javasolt azonnal megtenni a bírság minimalizálásának érdekében! 
  • 2024. október 18.
    Az érintett vállalatoknak alkalmazniuk kell a NIS2 által elvárt védelmi intézkedéseket, illetve meg kell fizetniük az SZTFH részére a felügyeleti díjat. Az SZTFH részéről elindul a felügyeleti és ellenőrzési tevékenység.
  • 2024. december 31.
    A cégeknek az első kiberbiztonsági audit vonatkozásában szerződést kell kötniük az auditorral. 
  • 2025. december 31.
    Az első kiberbiztonsági audit lefolytatásának határideje.

Hol találhatók további részletes információk?

További részletes információkat a hatóság alábbi linken elérhető tájékoztatójában találsz:

https://sztfh.hu/downloads/kiberbiztonsag/eszkoztar/SZTFH_erintett_tajekoztato.pdf

Összegzés

Elmondhatjuk tehát, a NIS2 szabályozást komolyan kell venni és a megfelelő intézkedéseket mihamarabb el kell végezni:

  • Ha az céged érintett és még nem tetted meg, akkor haladéktalanul jelentkezz be az SZTFH-hoz, a következő linken elérhető elektronikus űrlapon:

https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/

  • Kezdd meg azonnal az elektronikus információs rendszerek biztonsági osztályba sorolását, valamint építs ki a hozzá kapcsolódó kockázatmenedzsment keretrendszert!
  • Végeztesd el a réselemzést egy arra szakosodott szakértői csapattal!
  • Jelölj ki egy információbiztonsági felelőst (röviden IBF-et), akinek határozd meg a feladatkörét!
  • Kezdd meg 2024. októbert 18-tól az elektronikus információs rendszerek biztonsági osztályának megfelelő védelmi intézkedések alkalmazását! Amennyiben a réselemzés eredménye eltéréseket tár fel, kezdd meg a felkészülési folyamatot mielőbb egy szakértői csapattal, hogy a védelmi intézkedéseket október 18-tól foganatosítani tudd.
  • A felügyeleti díj fizetési kötelezettségről sem feledkezz meg.

Kihez forduljak, ha segítségre van szükségem?

  • Amennyiben érintett vagy NIS2-ben és azonnal segítségre van szükséged, az elektronikus információs rendszerek osztályba sorolásával, az IBF szolgáltatással, a NIS2 réselemzéssel és felkészítéssel kapcsolatban keresd meg partnerünket, az Alverad Technology Focus Kft.-t!
  • Az Alverad Kft. az SZTFH audit lefolytatására jogosult szervezetek közé tartozik, így a fenti szolgáltatások mellett a kötelező audit lefolytatásában is a rendelkezésedre áll.


 

;
Vissza a hírekhez