Praudit

WITSEC szakmai nap

2025. október 28-án cégünk támogatóként és kiállítóként vett részt a Magyar Telekom székházában tartott WITSEC szakmai nap rendezvényen.
A szakmai napon értékes előadásokat hallhattunk tapasztalt szakemberektől és pályakezdő fiataloktól.

Bővebb beszámolónkat az alábbi linken érheted el:
https://praudit.hu/witsec-szakmai-nap-2025/

A hazai kiberbiztonsági szabályozás következő nagy mérföldkövéhez érkezve egyre több szervezet keresi a válaszokat az auditálással, besorolásokkal és megfelelési kötelezettségekkel kapcsolatos kérdéseire. Az IVSZ legutóbbi szakmai egyeztetésén – amelyen Dr. Szemeti Ferenc, az SZTFH kiberbiztonsági igazgatója is részt vett kollégáival együtt – több gyakorlati szempont is napirendre került, különös tekintettel az audit határidőre, az EIR-ek besorolására és az audit nyelvének kérdéskörére.
A részletekről a következő linkre kattintva olvashatsz: https://praudit.hu/a-hataridok-szoritasaban-aktualis-kerdesek-a-kiberbiztonsagi-audit-korul/

NIS2 elsősegély csomag: gyors segítség a bajban

Az elmúlt közel másfél évben számos, a jogszabály hatálya alá tartozó, kisebb és nagyobb szervezet felkészülését támogattuk. Az így nyert tapasztalataink – legtöbbször előforduló hiányosságok, audit szempontból leglátványosabb hiányosságok, legkönnyebben pótolható hiányosságok – valamint a kötelezően előírt kiberbiztonsági audit módszertanának elemzése alapján állítottuk össze ügyfeleinek számára a “NIS2 elsősegély csomagot”. A csomag olyan dokumentációkat - stratégiák, szabályzatok, terveket, nyilatkozat sablonok, oktatási anyagok – és vizsgálatokat tartalmaz, melyek a jogszabályi megfelelés alapját képezik.

Megjelent a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. (I. 31.) SZTFH rendelet

A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. (I. 31.) SZTFH rendelet és annak 8 db melléklete részletesen szabályozza az alábbiakat:

- elektronikus információs rendszerek nyilvántartásának forma és tartalmi szabályai, mely az osztályba sorolás eredményeire (indoklására) is kiterjed és az auditornak is át kell majd adni, így érdemes előkészíteni (1. számú melléklet)

- a szervezetre vonatkozó kérdőív, melyet az auditornak is rendelkezésre kell majd bocsátani, így szintén érdemes előkészíteni (2. számú melléklet)

- a kiberbiztonsági audit legmagasabb díjának számítási módszere és a figyelembe veendő szempontok (3. számú melléklet)

- eltérések és helyettesítő védelmi intézkedések nyilvántartása szolgáló sablon (4. számú melléklet)

- az audit módszertant, mely rögzíti, hogy a megfelelés - auditált szint - eléréséhez milyen értékű szervezet ellenálló-képességi indexet (SZEKI) kell elérni (5. számú melléklet)

- az MKr. szerinti követelménycsoportok esetében a kiberbiztonsági audit során alkalmazandó vizsgálati módszerek felsorolása, mely azt is tartalmazza, hogy mely esetben van "Kötelezően
alkalmazandó teszt előírva az auditor részére (6. számú melléklet)

- az MKr. szerinti követelménycsoportok értékelésének szempontrendszerét, az auditár által elvárt elemi követelmények tételes listájával, mely megfelelőségi check-list-ként is tökéletes alkalmazható (7. számú melléklet)

- az auditjelentés tartalmi követelményeit (8. számú melléklet)

A rendelet alapján hasznosnak tartjuk kiemelni továbbá az alábbiakat:

- Az "Elektronikus információs rendszerek nyilvántartása" című 1. számú mellékletben az egyes EIR-ek BSR szempontok szerinti külön-külön besorolása jelenik meg már követelményként, ami az eddig szabályozásokban nem volt előírás.

- A 2. számú mellékletben található "Szervezetre vonatkozó kérdőív"-hez tartozó kitöltési útmutatót a rendelet szerint a Szabályozott Tevékenységek Felügyeleti Hatósága honlapján fogja közzé tenni.

- A kiberbiztonsági audit legmagasabb díjának számítása során látható, hogy az EIR-ek számát érdemes 5 alatt tartani, tekintve, hogy 2,5 szorzószámot jelent, ha 6-15 közöttre emelkedik az EIR-ek száma.

- Kiemelendő, hogy az audit módszertan szerint az auditor köteles lesz a biztonsági osztályba sorolás megfelelőségét vizsgálni. (2.1.1. Az auditor az 1. § (2) bekezdés a) pontja szerinti vizsgálat során ellenőrzi a 3. § (3) bekezdése szerint átadott, a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó nyilvántartásban foglalt valamennyi elektronikus információs rendszer biztonsági osztályba sorolásának megfelelőségét.) Érdemes erre felkészülniük azon szervezeteknek, akik "alapértelmezetten" minden EIR-t alap osztályba soroltak.

- A fentiek tekintetében fontos szempont, hogy a biztonsági osztály „nem megfelelő” értékelése esetén az auditor az MKr. rendelkezéseinek megfelelő biztonsági osztályba sorolásra tesz javaslatot, de az értékelést a szervezet által megállapított biztonsági osztályra figyelemmel végzi el.

- Szervezeti szintű követelménycsoport esetén az auditor a szervezet EIR-jei közül a legmagasabb biztonsági osztályát fogja figyelembe venni.

Sikeres további felkészülést és megfelelést kíván a PR-AUDIT csapata!

https://praudit.hu/megjelent-a-kiberbiztonsagi-audit-lefolytatasanak-rendjerol-es-a-kiberbiztonsagi-audit-legmagasabb-dijarol-szolo-1-2025-i-31-sztfh-rendelet/