Az auditor megérkezik. Leül, kinyitja a laptopját, és nem a tűzfalszabályokkal kezd. Nem az ISO-tanúsítványokkal, nem a vírusvédelmi licencekkel.
Az első kérdés: „Kérem az elektronikus információs rendszerek jegyzékét — az EIR-regisztert. Minden rendszer, biztonsági besorolással és indoklással."
A szervezetek többségénél itt áll meg a beszélgetés. Nem azért, mert nincs IT-biztonsági rendszerük. Hanem azért, mert az üzemi technológia — a SCADA, a PLC-k, a folyamatirányítás — nincs benne az EIR-jegyzékben. Vagy benne van, de „alap" besorolással, holott egy vízművet, egy vegyi üzemet vagy egy energiatermelő egységet vezérel.
Az előző cikkünkben bemutattuk, mit jelent valójában a NIS2 az ipari szektorban. Most a következő lépéssel foglalkozunk: hogyan készüljön fel konkrétan az auditra?
Az audit nem vizsga — hanem tükör
A leggyakoribb hiba, amit az ipari szervezeteknél tapasztalunk: az auditra úgy készülnek, mint egy vizsgára. Dokumentumokat gyártanak, amelyek jól néznek ki — de nem tükrözik a valóságot.
Az auditor nem átverésre készül. Arra készül, hogy megértse, Ön érti-e a saját rendszereit. A különbség óriási. Aki őszintén feltérképezte az üzemi hálózatát — még ha hiányosságokat is talált —, az jobb helyzetben van, mint aki tökéletes dokumentumokat mutat fel, de az első helyszíni kérdésnél megakad.
Az 1/2025. (I. 31.) SZTFH rendelet szerinti audit három pillérre épül: dokumentumelemzés, interjúk és technikai vizsgálat. Mindhárom azon méri a szervezetet, amit ténylegesen tud és csinál — nem azon, amit papíron állít.
Mit vizsgál valójában az auditor?
Az SZTFH-regisztrált auditor a 7/2024. MK rendelet (MKr.) követelménycsoportjai alapján dolgozik — a K01-től K19-ig terjedő kontrollkatalógus szerint. Ez kiterjed a szabályzatoktól a kockázatkezelésen, hozzáférés-vezérlésen, naplózáson és eszközkezelésen át a fizikai biztonságig és az ellátási lánc kezelésig.
1. Előkészítés: A szervezet benyújtja az EIR-regisztert (1. melléklet) és a szervezeti kérdőívet (2. melléklet). Az auditor ezek alapján készíti el az auditálási tervet.
2. Dokumentumelemzés: Szabályzatok, konfigurációk, naplók, hálózati diagramok, kockázatelemzések áttekintése — verziókezeléssel és hash-ellenőrzéssel.
3. Interjúk: Az IT- és OT-személyzettel a tényleges gyakorlatról. Az auditor itt méri le, hogy a dokumentált eljárásokat a szervezet valóban alkalmazza-e.
4. Technikai vizsgálat: Sérülékenységi vizsgálat, konfigurációellenőrzés, titkosítás validálása — a magasabb biztonsági osztályoknál penetrációs teszt is. OT-környezetben mindig beavatkozásmentes módszerekkel.
5. Értékelés: Az auditor VMI (Védelmi és Működési Index) és SZEKI (szervezeti ellenállóképességi index) mutatókat számol. A VMI súlyozottan értékeli az eltéréseket: elhanyagolható = 1, kisebb = 4, jelentős = 10, kritikus = 1000 pont. A 95% feletti eredmény megfelelő, a 70% alatti nem felel meg.
A mintavételezés szabályai
Az auditor nem vizsgálja az összes rendszert — mintavételezéssel dolgozik. De a mintavételi arányok kötelezően magasak: az EIR-ek legalább 50%-a, a magasabb osztályoknál 60-70%. Minden biztonsági osztályból legalább egy rendszert vizsgálnia kell. Ha az OT-rendszerei „magas" besorolásúak — és egy vízműnél, energiatermelőnél vagy vegyi üzemnél általában azok —, akkor az auditor biztosan foglalkozik velük.
80 nap — és miért számít, ha nem lesz tökéletes
2026. június 30-ig kell teljesíteni az első átfogó kiberbiztonsági auditot. 80 nap van hátra.
A teljes NIS2-megfelelés 80 nap alatt az ipari szektorban nem reális. Ezt az SZTFH is tudja. Az első auditkör fókusza nem a maximális büntetés — hanem a megfelelési folyamat és az érettség felmérése.
Ez azt jelenti: az auditor a pályát nézi, nem a célvonalat. Aki bemutatja, hogy felismerte a hiányosságokat, elkészítette az OT-eszközleltárt, megkezdte a zóna/csatorna dokumentációt, és ütemterve van a fennmaradó feladatokra — az lényegesen jobb pozícióban van, mint aki papíron mindent kipipált, de a valóságban nem történt semmi.
A jelentős eltérésekre jellemzően 90 napos javítási határidőt kapnak a szervezetek. Az együttműködő hozzáállás számít.
A 80 napos prioritási keretrendszer
Amikor kevés az idő, a prioritás mindent eldönt. Az ipari NIS2-felkészülés négy rétegben építhető fel — és az első kettő az, ami az auditot eldönti:
| Prioritás | Feladat | Miért ez az első | Időigény |
|---|---|---|---|
| 1. Kritikus | EIR-regiszter + biztonsági besorolás | Az auditor ezzel kezd. Enélkül nincs audit. | 2–3 hét |
| 2. Kritikus | OT-eszközleltár + hálózati térkép | Az EIR-besorolás nem végezhető el, ha nem tudjuk, mi van az üzemben. | 2–4 hét |
| 3. Fontos | Kockázatelemzés + zóna/csatorna dokumentáció | A besorolás indoklásához és az intézkedések tervezéséhez kell. | 3–5 hét |
| 4. Ütemezett | Intézkedési terv + implementáció | Ha a fenti három megvan, az auditor elfogadja az ütemtervet is. | Folyamatos |
A logika egyszerű: az auditor nem várja el, hogy 80 nap alatt minden készen legyen. De elvárja, hogy a szervezet tudja, mit nem tud — és legyen terve rá.
Amivel szembesültünk a gyakorlatban
Az ipari audit-felkészülés során visszatérő mintákat látunk — olyan problémákat, amelyek nem a technológia hiányából fakadnak, hanem abból, hogy az OT-világot másként kell megközelíteni.
- A „láthatatlan" OT: Az EIR-regiszter készítésekor kiderül, hogy a szervezet nem is tudja pontosan, hány PLC, HMI és hálózati eszköz van az üzem padlóján. A 15 éves rendszerekről nincs dokumentáció, a bővítéseket nem vezették. Az eszközleltár elkészítése önmagában hetekbe telhet.
- A biztonsági besorolás dilemmája: Az OT-rendszerek besorolása nem intuitív. Egy szivattyúvezérlő PLC „alap" vagy „magas"? Attól függ, hogy árvízvédelmi gátat vezérel-e, vagy egy locsolórendszert. Az indoklásnak a fizikai és folyamatbiztonsági következményekből kell kiindulnia — nem a rendszer árából.
- A mérnöki laptop probléma: Az üzemi hálózat „elkülönül" — papíron. A valóságban a szervizmérnökök laptopjai, a távoli hozzáférések és a diagnosztikai eszközök rendszeresen áthidalják a szegmentálást. Az auditor ezt észreveszi.
- Gyári alapértelmezett hitelesítő adatok: A PLC-k és RTU-k jelentős részénél soha nem változtatták meg a gyári jelszavakat. Egyes ipari protokollok — például a Modbus TCP — egyáltalán nem tartalmaznak hitelesítést. Ezeket a tényeket dokumentálni és kezelni kell, nem elhallgatni.
A gyakorlati felkészülési lépések
Az alábbi megközelítés működik — nem azért, mert elegáns, hanem mert az auditok valós elvárásaira épül:
1. Az EIR-regiszter felépítése az OT-oldalról
Kezdje az üzem padlójáról. Minden SCADA-rendszer, PLC-hálózat, HMI, ipari switch és kommunikációs eszköz külön EIR — vagy logikai csoportban összefogott EIR. A besorolás kulcsa: „Mi történik, ha ez a rendszer kompromittálódik?" Ha a válasz fizikai kár, környezeti hatás vagy közszolgáltatás kiesése, az „magas" osztályt jelent.
2. Passzív hálózati felderítés
Az OT-eszközleltárt nem kérdőívekből készítjük. A passzív hálózati monitorozás — a forgalom megfigyelése beavatkozás nélkül — feltárja a valós kommunikációs mintákat: ki beszél kivel, milyen protokollon, milyen gyakran. Ez a zóna/csatorna dokumentáció alapja, és az auditorok is ezt a megközelítést értékelik az ipari környezetben.
3. A zóna/csatorna dokumentáció mint audit-eszköz
Az IEC 62443 szerinti zóna- és csatornatérkép nem csak szabványkövetelmény — az auditor számára ez a legjobb bizonyíték arra, hogy a szervezet érti a saját hálózatát. Az ISA-95/Purdue modell mentén felépített dokumentáció a következőket tartalmazza: zónák azonosítása (L0-1, L2, L3, DMZ, L4), zónák közötti csatornák explicit listája, engedélyezett protokollok és portok, célbiztonsági szint (SL-T) zónánként.
4. A hiányok dokumentálása kompenzáló kontrollokkal
A legacy rendszereknél — ahol a frissítés nem lehetséges — a kompenzáló kontrollok a kulcs. A 15-20 éves PLC-ket nem lehet patchelni, de hálózati szegmentálással, ipari tűzfalakkal és anomáliafigyeléssel kompenzálhatjuk a hiányzó szoftver-szintű védelmet. Az eltérésjegyzék (a rendelet 4. melléklete) pontosan erre való: dokumentáljuk az eltérést, az indoklást, a kompenzáló kontrollt és a maradványkockázatot.
5. OT-specifikus incidenskezelési terv
Az OT-incidenskezelés alapelve: a rendelkezésre állás és a folyamatbiztonság megelőzi a bizalmasságot. A terv tartalmazza a biztonsági kontaktokat, az izoláció módját (az üzem leállítása nélkül, ha lehetséges), az eszkalációs lépéseket, és az utólagos elemzés folyamatát. Az auditor ennek létezését és tesztelését is vizsgálja.
Az őszinteség mint stratégia
Az auditot nem a legnagyobb biztonsági költségvetésű szervezetek teljesítik a legjobban. Azok teljesítik, amelyek a legőszintébbek a saját állapotukról.
A VMI és SZEKI indexek matematikája kegyetlen a kozmetikázással szemben. Egyetlen kritikus eltérés 1000 pontot von le — ami a teljes EIR-értékelést a „nem felel meg" tartományba tolhatja. Ugyanakkor egy dokumentált, indokolt eltérés kompenzáló kontrollal — még ha a rendszer nem is tökéletes — „elhanyagolható" értékelést kaphat.
Az auditor nem ellenség. Az SZTFH módszertana kifejezetten támogatja a fejlődési pálya értékelését. Aki bemutatja, hogy honnan indult, hol tart, és hová halad — az megfelel az első auditkör szellemének. Aki tökéletes dokumentumokat mutat fel, de az első helyszíni kérdésnél elbizonytalanodik — az nem.
Nyitott kérdések
- Az auditor-kapacitás: A regisztrált auditorok száma véges. Aki még nem szerződött auditorral, annak a 80 napos határidő nem csak technikai, hanem logisztikai kihívás is. Az SZTFH az auditorcégek listáját a honlapján teszi közzé.
- A többtelephelyes ipari szervezetek helyzete: Több üzemmel rendelkező szervezeteknél a mintavételezés bonyolultabbá válik. Az auditor nem mehet minden telephelyre — de a kiválasztott telephelyeknek reprezentatívnak kell lenniük.
- A tanácsadás és az audit viszonya: A formális auditot kizárólag SZTFH-regisztrált auditor végezheti. A felkészülés, a GAP-analízis és az OT-biztonsági tanácsadás viszont nem kötött regisztrációhoz — sőt, a legtöbb auditor kifejezetten javasolja a független előkészítést.