A NKI vezetésével működő, jogszabály által létrehozott Kiberbiztonsági Fórumról az IVSZ nagyon hasznos, új információkat osztott meg a Kibertan. tv. által előírt, kötelező kiberbiztonsági audittal kapcsolatban, melyek egy része elhangzott az NKI „CyberSec 2024” nevű, 2024.09.23. napján tartott konferenciáján is.
Az alábbiakban a prezentációkból és a fórumon, valamint a konferencián elhangzottakból szemezgettünk.
1. Audit értékelési eljárásrendje
Dr. Bencsik Balázs (SZTFH) prezentációja szerint a Hatóság létrehozott két mutatószámot – VMI és SZEKI – mellyel egy sorban leírható, ki hogy teljesített az auditon, illetve ezzel formalizálható az auditor által a hatóságnak megküldött audit eredmények hatósági értékelése is.
A Kiberbiztonsági Fórumon elhangzottak szerint még kialakítás alatt áll, hogy milyen VMI eredmény esetén számíthat az auditált szervezet megfelelésre. Király Anna (SZTFH) a CyberSec konferencián elmondta, hogy az auditon „át lehet menni kettessel, nem igen-vagy-nem lesz az audit eredménye”, a cél egy kontrollált fejlődés elősegítése a Hatóság oldaláról. Tehát „megfelelt a Szervezet 67%-al és a cél, hogy két év múlva 80%-ot érjék el.”
A fentieket támasztja alá az alábbi slide is:
Elhangzott, hogy a biztonsági osztályba sorolást nem a hatóság, hanem auditor fogja ellenőrizni. Ha rosszul sorolta be magát a cég biztonsági osztályba, az nem lesz várhatóan gond első esetben.
A várható audit módszertannal, így az audit mélységével kapcsolatban Király Anna (SZTFH) a CyberSec konferencián elmondta, hogy az auditor köteles lesz érdemi vizsgálatot lefolytatni, evidenciát gyűjteni, valamint a szabályzatokban leírtak gyakorlati érvényesülését is ellenőrizni fogja.
2. Audit költségek
Dr. Bencsik Balázs (SZTFH) prezentációjából tudtuk meg, hogy a pontos audit díjak még nem ismertek, de a kalkulációt megalapozó kritériumok – algoritmus alapján lesz a díj maximuma kialakítva – már meghatározásra kerültek: