A NIS 2 megfelelés nem csak informatikai kérdés. Jogi, szervezeti, folyamatmenedzsment és technológiai feladat egyszerre.
A magyar szabályozás a NIST SP 800-53 rev. 5 logikájára és kontrollcsaládjaira épül, ezért az érintett szervezeteknek nem egy általános biztonsági keretrendszert kell kipipálniuk, hanem konkrét, dokumentálható és auditálható védelmi intézkedéseket kell kialakítaniuk.
A valódi kérdés nem az, hogy fontos-e a kiberbiztonság, hanem az, hogy a szervezet működése, szabályozása és informatikai kontrollrendszere igazolhatóan megfelel-e a NIS 2 követelményeinek.
Mit jelent ez a gyakorlatban?
Érintettség és besorolás
Segítünk eldönteni, hogy a szervezet a
NIS 2 és a hazai kiberbiztonsági törvény alapján kötelezettnek minősül-e. Megvizsgáljuk a vállalati méretet, a tevékenységi köröket, az ágazati besorolást, valamint a kapcsolódó TEÁOR szerinti érintettséget.
NIST-alapú hiányelemzés
A 7/2024. MK rendelet NIST SP 800-53 alapú követelményei mentén felmérjük a jelenlegi kiberbiztonsági érettséget. Azonosítjuk, hogy mely kontrollok működnek, melyek hiányoznak, és hol szükséges szabályzati, technológiai vagy folyamatbeli fejlesztés.
Auditálható működés
Nem elméleti megfelelést biztosítunk. Olyan dokumentált, bizonyítható és működésbe illeszthető rendszert alakítunk ki, amely támogatja a vezetői döntéshozatalt, a hatósági elvárások teljesítését és a hivatalos kiberbiztonsági auditra való felkészülést.
SzolgáltatásAINK
NIS 2 szolgáltatási csomagjaink
A gyors érintettségi vizsgálattól az auditfelkészítésig. (magyarul és/vagy angolul)
NIS 2 Érintettségi és Besorolási Vizsgálat
Olyan szervezetek számára, amelyek szeretnék gyorsan tisztázni, hogy vonatkozik-e rájuk a NIS 2 és a magyar kiberbiztonsági szabályozás.
-
Vállalati méret és tevékenységi kör vizsgálata
-
Ágazati érintettség ellenőrzése
-
TEÁOR alapú előszűrés
-
„Alapvető” vagy „fontos” szervezeti kategória előzetes meghatározása
-
SZTFH regisztrációs kötelezettség áttekintése
-
Rövid vezetői összefoglaló a szükséges következő lépésekről
Időtartam: 3-4 hét
NIS 2 Gap Assessment
Olyan közép- és nagyvállalatok számára, amelyek már tudják vagy feltételezik, hogy érintettek, és szeretnék látni, milyen távol vannak a megfeleléstől.
-
Jelenlegi kiberbiztonsági működés felmérése
-
NIST SP 800-53 alapú kontrollkövetelmények összevetése a meglévő működéssel
-
Elektronikus információs rendszerek, vagyis EIR-ek előzetes áttekintése
-
Hiányosságok és kockázatok azonosítása
-
Prioritási lista a szükséges intézkedésekről
-
Vezetői összefoglaló és javasolt ütemterv
Időtartam: 6-8 hét
NIS 2 Audit Readiness Program
Olyan szervezetek számára, amelyek teljes körű felkészülést szeretnének a hivatalos kiberbiztonsági auditra.
-
Kockázatelemzési módszertan kialakítása
-
EIR-ek besorolásának támogatása
-
Kötelező szabályzatok elkészítése
-
IBSZ, BCP és DRP dokumentáció támogatása
-
Beszállítói kiberbiztonsági kontrollok áttekintése
-
Vezetői és munkavállalói tudatosítás támogatása
-
Előaudit és auditfelkészítő workshop
-
Külsős IBF biztosítása igény szerint
Időtartam: 8–12 hét
5 LÉPÉS
Hogyan dolgozunk?
Munkánk audit-szemléletű, strukturált és dokumentált. A célunk nem az, hogy a szervezet feleslegesen túlbiztosított rendszert építsen ki, hanem az, hogy a jogszabályi elvárásoknak megfelelő, működő és fenntartható kiberbiztonsági keretrendszer jöjjön létre.
Érintettség vizsgálata
Besorolás és regisztrációs támogatás
Kockázatelemzés és kontrollfelmérés
Dokumentáció és intézkedési terv
Auditfelkészítés és vezetői összefoglaló
Miért a magicom?
20+ év IT és információbiztonsági tapasztalat
Auditori megközelítés ismerete
Gyakorlati, üzletileg is érthető megközelítés
NIST, ISO 27001, NIS 2
szemlélet egyben
GYIK
Ügyfeleink leggyakoribb kérdései
Ezt a vállalati méret, az ágazati besorolás és a tevékenységi kör együttesen határozza meg. Főszabály szerint a legalább középvállalkozásnak minősülő, érintett ágazatban működő szervezetek lehetnek kötelezettek, de egyes esetekben a mérettől függetlenül is fennállhat érintettség.
A szabályozás a szervezeteket kockázati és ágazati szempontok alapján kategorizálja. A besorolás hatással lehet a felügyeleti elvárásokra, az audit követelményeire és a megfelelési feladatokra.
Az EIR elektronikus információs rendszert jelent. A NIS2 megfelelés egyik fontos lépése annak meghatározása, hogy a szervezetnél milyen elektronikus információs rendszerek működnek, ezek milyen üzleti folyamatokat támogatnak, és milyen biztonsági osztályba tartoznak.
Az RBT rövidítés rendszerbiztonsági tervet jelent. Ez a dokumentum mutatja be, hogy az adott információs rendszer milyen biztonsági követelményeknek felel meg, milyen kontrollok működnek, és milyen intézkedések szükségesek a biztonsági szint fenntartásához.
A szükséges dokumentáció szervezetenként eltérhet, de tipikusan szükség van információbiztonsági szabályzatra, incidenskezelési rendre, hozzáférés-kezelési szabályokra, üzletmenet-folytonossági tervre, katasztrófa-helyreállítási tervre, beszállítói biztonsági elvárásokra és tudatosítási dokumentumokra.
Gyakori probléma a hiányos dokumentáció, a nem bizonyítható kontrollműködés, a rendezetlen jogosultságkezelés, a nem megfelelő naplózás, a hiányzó kockázatelemzés, az EIR-ek pontatlan besorolása és a vezetői felelősségek tisztázatlansága.
Ez a szervezet méretétől, informatikai környezetétől és jelenlegi kiberbiztonsági érettségétől függ. Egy gyors érintettségi vizsgálat néhány hét alatt elvégezhető, míg a teljes auditfelkészítés jellemzően több hónapos, strukturált programot igényel.
