Facebook image
RSM Hungary
HUENDE
Fenntarthatóság és ESGAdótanácsadásBérszámfejtésAdóellenőrzésVámDigitálisTranszferárCsaládi vállalatÁfaSzámvitelIngatlanRSM Film and MovieRSMIFRSGDPRBrexitTanácsadásJogCégértékelésVéleményAdójogi képviseletAuditEKAERHR tanácsadás...
Bezár
Mentés
Balogh Zoltán
Audit

NIS2- kiberbiztonsági audit rendelet

A NIS2 szabályozás újabb hazai rendelete jelent meg, amely szabályozza a kiberbiztonsági audit módszertanát, illetve a hatósági ársapka mértékét, azaz a kiberbiztonsági auditra kiszabható legmagasabb díjat.

Kiberbiztonsági audit - határidők

A Kiberbiztonsági tv. (Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény) által előírt kiberbiztonsági auditot az SZTFH holnapján vezetett nyilvántartásban szereplő auditorok végezhetnek

A kiberbiztonsági audit határideje a tavalyi évben regisztrált NIS2 érintett szervezetek esetén 2025.12.31. Azoknál a NIS2 érintett vállalatoknál, akik az idén regisztráltak, még 2 év áll rendelkezésre az első kiberbiztonsági audit lefolytatására.

A hatályon kívül helyezett Kibertan tv. szerint 2024. december 31-ig volt köteles minden NIS2 érintett szervezet szerződést kötni kiberbiztonsági auditorral, azonban az audit módszertant és hatósági ársapkát szabályozó rendelet nem jelent meg a tavalyi évben, így a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH),egy közleményt adott ki:

„Az SZTFH rendelet kihirdetése hiányában azonban az érintett vállalkozásokat nem éri hátrány a […] határidő – önhibájukon kívüli – elmulasztása miatt, a hatóság esetükben szankciót nem alkalmaz.”

Az új Kiberbiztonsági tv. szerint 2025. január után nyilvántartásba vett szervezeteknek, a határozattól számított 120 nap áll rendelkezésre a szerződéskötésre, míg a még Kibertan.tv. szerint regisztrált szervezetekre nem vonatkozik szerződéskötési határidő.

Kiberbiztonsági audit módszertan

2025. február 3-án megjelent a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. számú SZTFH rendelet.

A kiberbiztonsági audit kiterjed 

  • a kockázatmenedzsment keretrendszer, 
  • az elektronikus információs rendszerek (EIR) biztonsági osztályba sorolásának, 
  • valamint az alkalmazott védelmi intézkedések ellenőrzésére. 

A kiberbiztonsági audit vizsgálati módszerei lehetnek

  • dokumentumvizsgálat,
  • interjú,
  • teszt
  • vagy a Kiberbiztonsági tv. 22. § (1) bekezdése szerinti belső informatikai biztonsági és távoli sérülékenységvizsgálat, behatolásvizsgálat, kriptográfiai megfelelőségvizsgálat, és biztonsági forráskódvizsgálat.

Alap biztonsági osztály esetén legalább az EIR-ek 40%-ára, jelentős osztály esetén legalább a 60%-ára, magas osztály esetén pedig 70%-ára terjed ki az audit. 

A kiberbiztonsági audit rendelet meghatározza, hogy mely védelmi intézkedések szervezet szintűek és melyek értelmezendő EIR szinten. Ezen felül azonosíthatóak biztosító és támogató kontrollok, illetve meghatározásra került, hogy mely védelmi intézkedések nem zárhatóak ki (pl. 1.2. Elektronikus információs rendszerek biztonságáért felelős személy). 

Kiberbiztonsági audit: megfelelt, vagy nem felelt meg

Amennyiben az auditor a kiberbiztonsági osztályba sorolás ellenőrzése során arra a következtetésre jut, hogy a besorolás nem megfelelő, akkor a 7/2024. számú MK rendelet rendelkezéseinek megfelelő biztonsági osztályba sorolásra tesz javaslatot, de a megrendelt értékelést a szervezet által megállapított biztonsági osztályra végzi el. 

Az audit módszertan szerint minden védelmi intézkedés egy követelménycsoport, és ennek részei az elemi követelmények, melyek értékelésének eredménye lehet nem alkalmazható (NA), nem megfelelt (NM) vagy megfelel (M). A követelménycsoport abban az esetben lehet megfelelt, ha minden elemi követelmény megfelelt vagy nem alkalmazható.

Nem megfelelt követelménycsoport esetén az auditornak minősítenie szükséges a nem megfelelést, melynek mértékét befolyásolja az elemi nem megfelelt döntések száma, támadó oldali kihasználási lehetőségek, támadó részéről szükséges rendszerismeret szintje, hozzáférés-igény szintje, szükséges kvalifikált ismeretek szintje, illetve a támadási időszükséglet korlátai. Ezen szempontok mentén meghatározható elhanyagolható mértékű, kis mértékű, kiemelt mértékű és kritikus mértékű eltérés. Kritikus eltérés lehet, ha a nem megfelelését magasan növeli a bekövetkezési valószínűségét például személyes adatok bizalmasságának sérülésére, személyi sérülés bekövetkezésére vagy nemzeti adatvagyon sérülésére.

A kiberbiztonsági audit eredménye

A kiberbiztonsági audit során két féle megfelelési index kerül kiszámításra, a védelmi megfelelési index (VMI) EIR-enként, illetve a szervezet szintű érték, azaz a szervezet ellenálló-képességi indexe (SZEKI).

A VMI számítása esetén az egyes követelménycsoportoknál alkalmazandó szemszerű értékek megfelelt esetén 0, elhanyagolható mértékű eltérés esetén 1, kis mértékű eltérés esetén 4, kiemelt mértékű eltérés esetén 10, kritikus mértékű eltérés esetén 1000. A VMI meghatározása esetén az alábbi képlet alkalmazandó:

 Nis2 audit VMI módszer

Amennyiben egy rendszer VMI mértéke nem éri el a 70-et, abban az esetben az adott EIR nem felelt meg értékékelést kap. Azonban az audit eredményét nem a VMI, hanem a SZEKI határozza meg, amely a vizsgált EIR-ek VMI mértékének átlaga, tehát egy nem megfelelt EIR nem minden esetben eredményez nem megfelelt audit eredményt. SZEKI meghatározására alkalmazandó képlet:

 

nis2 audit szervezeti ellenálló-képesség index

Felkészülés a kiberbiztonsági auditra

A kiberbiztonsági auditokra való felkészülés nem egyszerű feladat, és érdemes külső szakértők segítségét kérni. Az új 1/2025. SZTFH rendelet szigorú és részletes ellenőrzési módszertant vezetett be, így a sikeres megfeleléshez alapos felkészülés szükséges. Az RSM szakértői készen állnak arra, hogy hatékonyan felkészítsék szervezetét a kiberbiztonsági követelmények teljesítésére. Bízza rájuk a felkészülést, hogy nyugodtan nézhessen szembe az audit kihívásaival!

NIS2 tanácsadás

    portfoliobloggerNIS2
    További blogbejegyzések

    NIS2 tanácsadás

    NIS2 tanácsadásunk során támogatást nyújtunk a NIS2 irányelv elvárásaira való felkészülésben, hogy cége megfeleljen a legújabb kiberbiztonsági előírásoknak.

    Tovább a szolgáltatáshoz
    Olvasta már?

    Balogh Zoltán

    IT audit manager

    Zoltán több éves IT tanácsadói tapasztalattal rendelkező szakember. Számos helyi és nemzetközi vállalat könyvvizsgálatát támogató informatikai vizsgálatot vezetett különféle szektorokban, többek között banki, biztosítói, autóipari, egészségügyi gyártói és élelmiszeripari területeken. Részt vett információbiztonsági irányítási rendszerek bevezetésében és tapasztalatot szerzett informatikai belső auditok végrehajtásában is. Pályafutása során nemzetközi tanácsadó cégek szakértőjeként dolgozott. Rendelkezik IRCA által tanúsított ISO27001 vezető auditor képesítéssel és tanúsított IT Risk Manager.

    NIS2 tanácsadás - NIS2 felkészítés

    NIS2 tanácsadásunk során támogatást nyújtunk a NIS2 irányelv elvárásaira való felkészülésben, hogy cége megfeleljen a legújabb kiberbiztonsági előírásoknak.
    Tovább a szolgáltatáshoz

    Érdeklik az adó, számviteli és jogi változások?

    Iratkozzon fel hírlevelünkre, és legyen mindig naprakész!

    Feliratkozom