Hogy mire érdemes figyelni az elvárt szabályozó dokumentációk kidolgozásakor? Hol veszítenek a cégek felesleges pontokat az auditon? Hogyan lehet gyorsan, ellenőrizhető rendszert kialakítani a közös, egyszerűen betartható követelmények kipipálására? Cikkünkben ilyen és hasonló kérdésekre adunk választ.

A hasznos tudnivalók mellett pedig egy ingyenesen letölthető checklistet is adunk, ami segít rendszerezni a követelményeket.

Miért veszítenek sokszor pontokat azok is, akik valójában jól működnek?

A NIS2 audit kapcsán sok szervezet ugyanazzal a helyzettel szembesül: a működésük rendben van, a folyamataik kialakultak, sőt sok esetben még dokumentálva is vannak – mégis számottevő pontlevonásokkal zárul az ellenőrzés.

Ez elsőre ellentmondásosnak tűnhet. Ha a gyakorlat működik, akkor hol csúszik el a megfelelés? A válasz legtöbbször nem a működésben, hanem a dokumentáció teljességében keresendő. 

Az SZTFH által érvénybe léptetett 1/2025. (I. 31.) SZTFH rendelet tételesen leírja, jogszabályi elvárásként rögzíti, hogy az auditoroknak milyen elemi követelményeket szükséges ellenőrizni és pontozni a megfelelőség vizsgálata során. Ez jelentős részben az elvárt dokumentációk tartalmára is vonatkozik, melyeket így valóban részleteiben átvizsgálnak az ellenőrök.

Ha a kötelező elemek nincsenek meg, az bizony eltérésnek minősül, vagyis pontlevonással jár.

Szabályzatonként és eljárásrendenként ismétlődő hiba

Sok kicsi sokra megy, szokták mondani. Mivel a NIS2 19 követelménycsoportot határoz meg és ezen követelménycsoportok mindegyike esetében kötelező a szabályzat és eljárásrend kidolgozása, a kötelező tartalmi elemek elhagyása nem egyszeri problémát eredményez. 

Ha ezek közül több dokumentumban is hiányoznak ugyanazok az elemi követelmények, akkor az összeadódik és újra meg újra pontlevonást eredményez, minden egyes érintett dokumentumnál.
Így fordulhat elő, hogy egy egyébként jól működő szervezet jelentős pontveszteséget szenved el pusztán formai hiányosságok miatt.

Az elemi követelmények: apróságok, amelyek összeadódnak

Az SZTFH rendelet egyértelműen meghatározza, hogy egy szabályzatnak vagy eljárásrendnek milyen alapvető elemeket kell tartalmaznia. Ilyen elemek például:

• a dokumentum hatálya
• az érintetti kör meghatározása
• a felelős kijelölése
• a jóváhagyás és verziókezelés
• az alkalmazás és végrehajtás rendje

Ezek sokszor „adminisztratív” részleteknek tűnnek, ezért a gyakorlatban gyakran kimaradnak – különösen akkor, ha a dokumentáció inkább működésközpontú, és nem auditlogika mentén készült. Ezek az elemek azonban nem opcionálisak és minden egyes hiány külön-külön pontlevonást eredményez.

Az audit már nem csak „kézi” – az AI is dolgozik

Van még egy fontos szempont, amiről sokan nem tudnak, pedig egyre nagyobb hatása van az auditok eredményére. A valóság az, hogy az auditoroknak rendkívül nagy mennyiségű dokumentációt kell átvizsgálniuk: több tucat szabályzatot, eljárásrendet, nyilvántartást – sok esetben több szervezetnél, párhuzamosan. Ennek kezelésére egyre gyakrabban mesterséges intelligencián alapuló eszközöket is bevonnak az ellenőrzési folyamatba.

Ez pedig egy új helyzetet teremt.

Az AI-alapú ellenőrzések során bizonyos elemi követelmények meglétét nem „értelmezés alapján”, hanem szövegszintű egyezések mentén is vizsgálhatják. Vagyis nem elég, hogy egy tartalom lényegében szerepel a dokumentumban – az is számít, hogy hogyan van megfogalmazva.

Különösen igaz ez az úgynevezett „P” jelöléssel ellátott elemek esetében. Ezeknél a követelményeknél kifejezetten érdemes az elemi követelményben szereplő megfogalmazásokat, kulcskifejezéseket vagy változókat is megjeleníteni a dokumentációban. Másképp fogalmazva: ha az auditor (vagy az őt támogató rendszer) konkrét kifejezésekre keres, akkor érdemes gondoskodni arról, hogy ezek valóban szerepeljenek is.

Ez nem „trükközés”, hanem alkalmazkodás a valós ellenőrzési gyakorlathoz.

Hogy mi a jó hír?

A legfontosabb tanulság, hogy ezek a problémák nem komplex fejlesztéseket igényelnek. Az elemi követelmények ugyanis jól meghatározottak, könnyen ellenőrizhetők és viszonylag gyorsan pótolhatók. A felesleges pontvesztés nagy része tehát egyszerűen megelőzhető.

Ingyenes checklist a NIS2 dokumentáció ellenőrzéséhez

Pontosan ezért készítettünk egy gyakorlati checklistet, amely kifejezetten az elemi követelményekre fókuszál. Segít abban, hogy:

• gyorsan ellenőrizhetők legyenek a meglévő szabályzatok
• kiszűrhetők legyenek a hiányzó kötelező elemek
• és auditálható, megfelelőség szempontjából is erős dokumentáció kerülhessen kialakításra

Így nem csak tartalmilag, hanem auditlogika és ellenőrizhetőség szempontjából is felkészülhetünk.

Kérjen bátran segítséget! Értünk hozzá.

Ha nem szeretne időt és pontokat veszíteni, érdemes a teljes felkészülést átfogóan kezelni – nem csak dokumentációs, hanem működési szinten is.

A NIS2 megfelelés nem egy kipipálható adminisztratív feladat, hanem egy összetett rendszer, ahol a dokumentáció, a folyamatok és a napi működés egységet kell, hogy alkosson. Pontosan itt csúszik el a legtöbb szervezet.

Engedje meg, hogy tanácsadóink megmutassák, hol veszít most pontokat, helyrerakják a működés és a dokumentáció közötti eltéréseket, és olyan rendszert kiépítésében támogassák, ami nem csak papíron működik, hanem auditon is megállja a helyét.

Az első konzultáció teljesen díjmentes – átbeszéljük, hol tart a vállalkozás megfelelősége most, és megmutatjuk, milyen lépésekkel tud gyorsan és biztosan megfelelni.