Van az a pillanat, amikor hónapok munkája egyetlen mondatban sűrűsödik össze: átmentünk. Ráadásul nem is „épphogy”, hanem 95%-kal, kimagasló eredménnyel – úgy, hogy a minősített rendszerünk a magyar jogszabályok szerint „jelentős” besorolású. Nem azért írom le ezt, hogy vállon veregessük magunkat (oké, egy kicsit azért is 😊), hanem mert tanulságos: mi az, ami tényleg számít, ha NIS2 auditra készülsz.
A legfontosabb felismerésünk az volt, hogy az audit nem varázslat. Nem „jó napunk volt”, nem szerencse. Rendszert raktunk össze: minden anyagunk megvolt, egymásra épült, összefüggött, és ugyanazt a stratégiát, hozzáállást tükrözte. A dokumentumaink nem külön-külön léteztek, hanem egy közös logika mentén: kockázat → intézkedés → felelősség → bizonyíték. Az auditor nem csak azt nézi, hogy van-e papír, hanem azt is, hogy van-e rend, és tudod-e bizonyítani, hogy a működés tényleg úgy történik, ahogy leírtad.
A másik nagy erősségünk az volt, hogy kiemelten kezeltük az emberi tényezőt. Tudtuk, hogy a legtöbb incidens végén valamilyen emberi döntés vagy hiba áll: kattintás, jelszó, „csak most kivétel”, kapkodás. Ezért nem elég az „oktatás kipipálva” meg a „küldtünk egy körlevelet”. Nálunk az emberi oldal része lett a rendszernek: szabályok, képzések, és főleg olyan működés, ami nem kényszeríti ki a szabályszegést. A jó biztonság nem attól erős, hogy szigorú, hanem attól, hogy betartható.
A harmadik pillér pedig az volt, hogy gyakorlatban is növeltük a védelmi képességeinket. Nem csak leírtuk, hogy mit kellene csinálni, hanem ténylegesen megcsináltuk: ahol kellett, erősítettünk hozzáférés-kezelést, átnéztük a kritikus pontokat, finomítottuk a folyamatokat, rendbe raktuk a bizonyítékokat.
Igen, voltak hiányok. Nincs olyan szervezet, ahol ne lennének. A különbség szerintem ott van, hogyan állsz hozzá: mi mindenhol a szükséges és elégséges fejlődést céloztuk meg, és közben gyakorlatiasan kezeltük a kockázatokat. Nem tökéletességre hajtottunk, hanem arra, hogy amit vállalunk, az működjön, és legyen nyoma.
És talán ez a legfontosabb: menedzsment szinten is foglalkoztunk vele. Nem „az IT dolga volt”, nem „majd a biztonságis megoldja”. Volt fókusz, volt felelősség, volt döntés. Ez auditon is látszik. Sőt: a mindennapi működésen is. Külön köszönet minden kollégámnak, aki nagyon odatette magát az elmúlt hónapokban.
Ha most készülsz a saját NIS2 auditra, ezt vinném útravalónak:
Ne csak intézkedéseket gyárts – rendszert építs.
Dokumentum + működés + bizonyíték együtt adja ki azt a stabil alapot, amire egy auditnál (és egy incidensnél) is rá lehet támaszkodni.
Nálunk most „NIS2 pipa” lett a vége. de a 95% valójában nem a cél, hanem a visszajelzés: jó irányba építkezünk. És innen már nem audit-projekt a biztonság, hanem egyre inkább a működés természetes része.
Judit
