Megjelent a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. (I. 31.) SZTFH rendelet

A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. (I. 31.) SZTFH rendelet és annak 8 db melléklete részletesen szabályozza az alábbiakat:

– elektronikus információs rendszerek nyilvántartásának forma és tartalmi szabályai, mely az osztályba sorolás eredményeire (indoklására) is kiterjed és az auditornak is át kell majd adni, így érdemes előkészíteni (1. számú melléklet)

– a szervezetre vonatkozó kérdőív, melyet az auditornak is rendelkezésre kell majd bocsátani, így szintén érdemes előkészíteni (2. számú melléklet)

– a kiberbiztonsági audit legmagasabb díjának számítási módszere és a figyelembe veendő szempontok (3. számú melléklet)

– eltérések és helyettesítő védelmi intézkedések nyilvántartása szolgáló sablon (4. számú melléklet)

– az audit módszertant, mely rögzíti, hogy a megfelelés – auditált szint – eléréséhez milyen értékű szervezet ellenálló-képességi indexet (SZEKI) kell elérni (5. számú melléklet)

– az MKr. szerinti követelménycsoportok esetében a kiberbiztonsági audit során alkalmazandó vizsgálati módszerek felsorolása, mely azt is tartalmazza, hogy mely esetben van „Kötelezően
alkalmazandó teszt előírva az auditor részére (6. számú melléklet)

– az MKr. szerinti követelménycsoportok értékelésének szempontrendszerét, az auditár által elvárt elemi követelmények tételes listájával, mely megfelelőségi check-list-ként is tökéletes alkalmazható (7. számú melléklet)

– az auditjelentés tartalmi követelményeit (8. számú melléklet)

A rendelet alapján hasznosnak tartjuk kiemelni továbbá az alábbiakat:

– Az „Elektronikus információs rendszerek nyilvántartása” című 1. számú mellékletben az egyes EIR-ek BSR szempontok szerinti külön-külön besorolása jelenik meg már követelményként, ami az eddig szabályozásokban nem volt előírás.

– A 2. számú mellékletben található „Szervezetre vonatkozó kérdőív”-hez tartozó kitöltési útmutatót a rendelet szerint a Szabályozott Tevékenységek Felügyeleti Hatósága honlapján fogja közzé tenni.

– A kiberbiztonsági audit legmagasabb díjának számítása során látható, hogy az EIR-ek számát érdemes 5 alatt tartani, tekintve, hogy 2,5 szorzószámot jelent, ha 6-15 közöttre emelkedik az EIR-ek száma.

– Kiemelendő, hogy az audit módszertan szerint az auditor köteles lesz a biztonsági osztályba sorolás megfelelőségét vizsgálni. (2.1.1. Az auditor az 1. § (2) bekezdés a) pontja szerinti vizsgálat során ellenőrzi a 3. § (3) bekezdése szerint átadott, a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó nyilvántartásban foglalt valamennyi elektronikus információs rendszer biztonsági osztályba sorolásának megfelelőségét.) Érdemes erre felkészülniük azon szervezeteknek, akik „alapértelmezetten” minden EIR-t alap osztályba soroltak.

– A fentiek tekintetében fontos szempont, hogy a biztonsági osztály „nem megfelelő” értékelése esetén az auditor az MKr. rendelkezéseinek megfelelő biztonsági osztályba sorolásra tesz javaslatot, de az értékelést a szervezet által megállapított biztonsági osztályra figyelemmel végzi el.

– Szervezeti szintű követelménycsoport esetén az auditor a szervezet EIR-jei közül a legmagasabb biztonsági osztályát fogja figyelembe venni.

Sikeres további felkészülést és megfelelést kíván a PR-AUDIT csapata!

Scroll to Top