A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. (I. 31.) SZTFH rendelet és annak 8 db melléklete részletesen szabályozza az alábbiakat:
– elektronikus információs rendszerek nyilvántartásának forma és tartalmi szabályai, mely az osztályba sorolás eredményeire (indoklására) is kiterjed és az auditornak is át kell majd adni, így érdemes előkészíteni (1. számú melléklet)
– a szervezetre vonatkozó kérdőív, melyet az auditornak is rendelkezésre kell majd bocsátani, így szintén érdemes előkészíteni (2. számú melléklet)
– a kiberbiztonsági audit legmagasabb díjának számítási módszere és a figyelembe veendő szempontok (3. számú melléklet)
– eltérések és helyettesítő védelmi intézkedések nyilvántartása szolgáló sablon (4. számú melléklet)
– az audit módszertant, mely rögzíti, hogy a megfelelés – auditált szint – eléréséhez milyen értékű szervezet ellenálló-képességi indexet (SZEKI) kell elérni (5. számú melléklet)
– az MKr. szerinti követelménycsoportok esetében a kiberbiztonsági audit során alkalmazandó vizsgálati módszerek felsorolása, mely azt is tartalmazza, hogy mely esetben van „Kötelezően
alkalmazandó teszt előírva az auditor részére (6. számú melléklet)
– az MKr. szerinti követelménycsoportok értékelésének szempontrendszerét, az auditár által elvárt elemi követelmények tételes listájával, mely megfelelőségi check-list-ként is tökéletes alkalmazható (7. számú melléklet)
– az auditjelentés tartalmi követelményeit (8. számú melléklet)
A rendelet alapján hasznosnak tartjuk kiemelni továbbá az alábbiakat:
– Az „Elektronikus információs rendszerek nyilvántartása” című 1. számú mellékletben az egyes EIR-ek BSR szempontok szerinti külön-külön besorolása jelenik meg már követelményként, ami az eddig szabályozásokban nem volt előírás.
– A 2. számú mellékletben található „Szervezetre vonatkozó kérdőív”-hez tartozó kitöltési útmutatót a rendelet szerint a Szabályozott Tevékenységek Felügyeleti Hatósága honlapján fogja közzé tenni.
– A kiberbiztonsági audit legmagasabb díjának számítása során látható, hogy az EIR-ek számát érdemes 5 alatt tartani, tekintve, hogy 2,5 szorzószámot jelent, ha 6-15 közöttre emelkedik az EIR-ek száma.
– Kiemelendő, hogy az audit módszertan szerint az auditor köteles lesz a biztonsági osztályba sorolás megfelelőségét vizsgálni. (2.1.1. Az auditor az 1. § (2) bekezdés a) pontja szerinti vizsgálat során ellenőrzi a 3. § (3) bekezdése szerint átadott, a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó nyilvántartásban foglalt valamennyi elektronikus információs rendszer biztonsági osztályba sorolásának megfelelőségét.) Érdemes erre felkészülniük azon szervezeteknek, akik „alapértelmezetten” minden EIR-t alap osztályba soroltak.
– A fentiek tekintetében fontos szempont, hogy a biztonsági osztály „nem megfelelő” értékelése esetén az auditor az MKr. rendelkezéseinek megfelelő biztonsági osztályba sorolásra tesz javaslatot, de az értékelést a szervezet által megállapított biztonsági osztályra figyelemmel végzi el.
– Szervezeti szintű követelménycsoport esetén az auditor a szervezet EIR-jei közül a legmagasabb biztonsági osztályát fogja figyelembe venni.
Sikeres további felkészülést és megfelelést kíván a PR-AUDIT csapata!
