Az EY nevét sokak a könyvvizsgálattal kötik össze. Hogyan kapcsolódik ez az informatikai rendszerek vizsgálatához?
A könyvvizsgálat régen valóban a pénzügyi kimutatások és rendszerek függetlenségről szólt. Ez az elmúlt nagyjából két évtizedben megváltozott: a szabályozói megfelelés (például pénzintézeteknél) ellenőrzése is indokolttá vált, majd a vállalatirányítási rendszerek megjelenésével felmerült az igény az informatikai auditra is. A nagyvállalatok zöménél ezt Big4-cégek végzik el, de nagyon sok középvállalat is minket választ például reputációs szempontok miatt, mert ez nagyobb bizalmat kelt a partnerei körében.
Mennyire lesz szigorú a NIS2-audit?
A NIS2 részletes kiberbiztonsági kontrollokat követel. Gondolva itt az egyik oldalról arra, hogy megvannak-e és jók-e a biztonsági szabályzatok (például az üzletmenet-folytonossági terv, a BCP és a vészhelyzet-helyreállítási terv, a DRP). Kijelölték-e a felelősöket? Mi történik bizonyos események bekövetkezésekor? Milyen hangsúllyal tud az IT-vezető ezekbe beleszólni? A másik vonulata pedig ennek a munkának a rendszerek zártságának a vizsgálata, ami a pénzintézeteknél már korábban is törvényi kötelezettség volt – a NIS2 ezt kiterjeszti minden kritikus infrastruktúrára.
Milyen cégek lehetnek auditorok?
Sok szabály hiányzik még, illetve rendeleteket is módosítani kell. Egyelőre az látszik, hogy az irányadó jegyzékbe azok vállalatok kerülhetnek majd be, amelyek egy az Alkotmányvédelmi Hivatal által végzett cégellenőrzésen megfeleltek vagy minősített adatvédelemhez szükséges jogosítványt szereztek.
Lesz elég auditor?
A minősített adatvédelemhez szükséges jogosítvány erős szűrő. Nagyjából 10-20 olyan cég van, amely számításba jöhet. Kevés vállalatnak van ugyanis több tucat megfelelő szakmai tudással felvértezett IT-auditora.
Van egyéb szűk keresztmetszet is?
A sérülékenységi vizsgálatokat is kell végezni. Ezen a területen a hatóságnak – egyébként nagyon helyesen – az az elvárása, hogy csak olyanok végezhessenek penetrációs tesztet, akik minősített tanúsítványt (például OSCT EC-Counsilal) szereztek. Ez nagyon erősen szűk keresztmetszet: nagyjából 40-70 fő lehet, aki ezen a területen megfelelő képességeket tud felmutatni.
Érezhető már a NIS2-megfeleléssel összefüggő érdeklődés?
Igen, bár ez egyelőre nem túl élénk. Főként gépjármű-, gyógyszeripari, valamint gépgyártással foglalkozó vállalatok érdeklődését tapasztaljuk, de eddig inkább nemzetközi cégek jelentkeztek.
(X)
(Kiemelt kép: Unsplash)
