A rendezvény célja az volt, hogy az érdeklődő vállalatok és szakemberek közvetlen, gyakorlatias információt kapjanak a NIS2 audit követelményeiről, egy olyan auditor cégtől, amely már több sikeres auditálási projektet is lefolytatott az irányelv alapján.

A résztvevők valós példákon keresztül ismerhették meg a megfelelés kulcspontjait, a gyakran előforduló hibákat és a gyakorlatban működő megközelítéseket. 

A konzultáció során Gyursánszky János, a Veritan Kft. ügyvezetője osztotta meg tapasztalatait az eddigi auditokból, és adott részletes válaszokat az előzetesen beküldött, valamint élőben feltett kérdésekre.

Az alábbiakban összefoglaljuk a legfontosabb témákat:

Hogyan zajlik le egy NIS2 audit?

A NIS2 audit egy háromlépcsős folyamat, amely során az auditorok különböző módszerekkel vizsgálják, hogy a szervezet megfelel-e az információbiztonsági követelményeknek.

Előaudit

Már a folyamat elején sor kerülhet egy előzetes felmérésre, amely során az auditor interjúkérdéseket és dokumentumokat kér be. Ennek célja a szervezet aktuális felkészültségi szintjének feltérképezése, még a hivatalos értékelés előtt.

Ha az előaudit során súlyos eltérést tapasztal az auditor, javaslatot tehet a javításra, így a szervezet még időben korrigálhat, és elkerülhetővé válik egy sikertelen audit. Fontos, hogy az előaudit nem hivatalos értékelés, így az itt feltárt hiányosságok nem kerülnek be az auditjelentésbe.

Dokumentumvizsgálat

Az auditorok részletesen elemzik a beküldött szabályzatokat, eljárásrendeket és egyéb iratokat, melyek az információbiztonsági intézkedések meglétét és működését igazolják. A dokumentáció mellett bizonyítékokat is bekérnek, például képernyőképeket az ügyfél által végrehajtott tesztekről, naplófájlokat vagy rendszerjelentéseket.

Ezeket az auditor a helyszíni ellenőrzés során gyakorlatban is megvizsgálja, jellemzően néhány kiválasztott eset alapján.

Interjúk és helyszíni tesztek

A szervezet működését interjúk és helyszíni vizsgálatok során ellenőrzik. Ezek különösen fontosak azoknál az elemeknél, ahol a dokumentáció vagy bizonyítékok alapján pontosításra van szükség, illetve ahol a jogszabály kifejezetten előírja az interjút vagy tesztelést.

A teljes auditfolyamat jellemzően három hetet ölel fel:

• 1. hét – a dokumentumok és bizonyítékok begyűjtése, előzetes értékelésük,
• 2. hét – interjúk, pontosítások és helyszíni tesztelés,
• 3. hét – az auditjelentés elkészítése és visszacsatolás a szervezet felé.

A sikeres audit alapfeltétele, hogy a szervezet elérje a legalább 70%-os megfelelőségi szintet. Ha ez nem valósul meg, az audit sikertelennek minősül. Ebben az esetben – amennyiben van szabad kapacitás és időpont – az auditor cég pótaudit lehetőségét is biztosíthatja, amely során a korábban feltárt hiányosságok javítása után újraértékelésre kerülhet sor.

Mennyire fontos a dokumentált szabályozottság?

A NIS2 audit során a dokumentáció nemcsak kiindulópont, hanem alapfeltétel. Az auditor minden követelményt a vonatkozó szabályzatok és eljárásrendek megléte, minősége és tartalma alapján értékel.

Bár előny, ha egy biztonsági intézkedés a gyakorlatban már működik, önmagában nem elegendő. Ha nincs mögötte írásos szabályozás, az eltérésként kerül rögzítésre. A megfelelő dokumentációval alátámasztott működés viszont pozitív értékelést eredményez.

A szabályozottság elbírálása két fontos jogszabály alapján történik:

• A 7/2024. (VI.24.) MK rendelet 19 követelménycsoportjának első pontja minden esetben megköveteli a szabályzat és eljárásrend meglétét – tehát már az alapszintű megfeleléshez is szükséges ezek kidolgozása.
• Emellett az 1/2025. (I.31.) SZTFH rendelet tartalmazza azokat az elemi követelményeket, amelyekre az értékelés során szintén hivatkoznak az auditorok.

Fontos, hogy a dokumentumok egyértelműen azonosíthatóak legyenek, és ne keveredjenek össze – például, ha egy dokumentum egyszerre szabályzat és eljárásrend, az megnehezíti a kiértékelést. Az sem számít hátránynak, ha a szabályzatok egy dokumentumba szerkesztve szerepelnek, vagy külön fájlokban – a lényeg az átláthatóság és megfelelőség.

A leggyakoribb hiba, amit az audit során tapasztalni lehet, az az, hogy egyes területeken jó a gyakorlat, de nincs mögötte szabályozás. Ez javítható, és ha még az audit előtt történik meg, elkerülhető a pontlevonás. A dokumentált szabályozottság tehát nemcsak formai követelmény – a megfelelés egyik sarokköve.

Kell a teljes megfelelőség, vagy elég lehet egy intézkedési terv?

A NIS2 audit sikerességének feltétele, hogy a szervezet elérje a legalább 70%-os megfelelőségi szintet – ez az úgynevezett szervezet ellenálló-képességi index, amely az audit során értékelt egyes követelmények alapján kerül kiszámításra.

Felmerül a kérdés: mi történik, ha egyes követelmények még nem teljesülnek teljeskörűen?
Ebben az esetben egy jól felépített intézkedési terv – amely határidőt, felelőst, erőforrásokat és költségbecslést is tartalmaz – kockázatcsökkentő intézkedésként vehető figyelembe az auditor értékelésében.

Ha egy hiányosság önmagában például egy 10 pontos, jelentős eltérés lenne, de a szervezet bemutat egy hiteles és megvalósítható intézkedési tervet, az auditor dönthet úgy, hogy a súlyosságot 4 pontra csökkenti – mivel a szervezet már megtette a lépéseket a hiányosság csökkentésére, a kockázat mérséklésére.

Fontos hangsúlyozni, hogy az intézkedési terv önmagában nem váltja ki a megfelelést. Inkább egy eszköz arra, hogy a még fennálló hiányosságok ne rontsák le jelentősen az audit összpontszámát – különösen akkor, ha a szervezet már közel van a 70%-os határértékhez.

Ha azonban a megfelelőség szintje messze elmarad az elvárttól, önmagában még a legjobb intézkedési terv sem menti meg az auditot – ilyenkor további felkészülésre és javításokra van szükség a sikerhez.

Kiváltja-e az ISO 27001 tanúsítvány a NIS2 auditot?

Ez az egyik leggyakrabban feltett kérdés, és teljesen érthető – hiszen sok szervezet már rendelkezik ISO/IEC 27001 tanúsítvánnyal, és joggal merül fel bennük, hogy ez a meglévő megfelelőség elegendő lehet-e a NIS2 követelményeinek való megfeleléshez.

A rövid válasz: nem, az ISO 27001 nem váltja ki a NIS2 auditot.

Bár a két szabvány célja hasonló – az információbiztonság növelése –, a gyakorlatban az ISO 27001 inkább irányítási rendszerre, míg a NIS2 megfelelés konkrét, ellenőrizhető védelmi intézkedésekre fókuszál. Korábbi nemzetközi tapasztalatok alapján az átfedés mértéke 30–40% közé tehető, de az audit során csak néhány követelménycsoportnál lehet közvetlen megfeleltetést alkalmazni.

Az ISO 27001 tanúsítvány tehát előnyt jelenthet a felkészülésben, mert sok dokumentum és folyamat már rendelkezésre áll; bizonyos meglévő dokumentumokat az auditor elfogadhat, ha azok tartalmilag lefedik a NIS2 előírásait. A NIS2 auditot viszont ebben az esetben is le kell folytatni, és minden követelményt egyenként értékelni.

Fontos tanács

Ha valaki bizonytalan abban, hogy érintett-e a NIS2 szabályozásban, vagy kérdéses, hogy rájuk milyen kötelezettségek vonatkoznak, érdemes állásfoglalást kérni a hatóságtól.

Aki pedig úgy gondolja, hogy érintett lehet, annak célszerű regisztrálni – legrosszabb esetben egy elutasító határozat érkezik vissza. Ezzel szemben a késlekedés bírságot is vonhat maga után.

Köszönjük a részvételt – jöhet a következő lépés?

A konzultáción elhangzottak alapján megerősítést nyert: a sikeres audit kulcsa az időben történő felkészülés, a megfelelő dokumentáció, valamint az együttműködés egy felkészült auditorral és – szükség esetén – tanácsadó partnerrel.

Lépjen velünk kapcsolatba még ma, és segítünk felkészülni – a Veritan Kft. auditor partnereként garantáljuk, hogy ne érje meglepetés a NIS2 során!