A fizikai védelem ugyanilyen fontos: azt cé- vált az EIR-ek meghatározásának és bizton-
            lozza, hogy a szervertermek, irányító köz- sági osztályba sorolásának felülvizsgálata is.
            pontok és kritikus infrastruktúra elemei csak
            ellenőrzött hozzáféréssel legyenek elérhe- A felkészülés során elsőként a törvényben
            tők, védettek legyenek a jogosulatlan sze- meghatározott, kötelezően auditálandó vé-
            mélyek, környezeti hatások vagy balesetek  delmi intézkedéseket vizsgáltuk felül egy
            ellen. A fizikai és logikai védelem egymást  általunk definiált prioritási sorrend alapján,
            kiegészítve képes csak elősegíteni, hogy  és csak ezután tértünk át a teljes körű GAP
            a rendszerek biztonságosan működjenek,  elemzés elkészítésére. A prioritási sorrendet
            és az ellátás folytonossága minden körül- az egyes EIR-ek – jogszabályban rögzített
            mények között biztosított legyen.                 – értékelési módszertana alapján alakítottuk
                                                              ki, különös figyelemmel az értékelésből ki
            A sikeres védekezés kulcsa azonban nem  nem hagyható, valamint a biztosító típusú
            pusztán a technológiában rejlik: a belső  követelménycsoportokra. Tapasztalataink
            szabályozókban és a külső jogszabályokban  szerint mind az auditra való felkészülés, mind
            előírt intézkedések maradéktalan betartása,  pedig az audit végrehajtásának időszakában
            a folyamatos kockázatértékelés és a rendsze- hatékony módszernek bizonyult az érintett
            res auditok nélkülözhetetlenek. A kiberbizton- szervezeti egységek – informatika, folyamat-
            ság nem egyszeri feladat, hanem folyama- irányítás – bevonásával munkacsoport létre-
            tos tevékenység, amelyhez elengedhetetlen  hozása, a feladatok és a szükséges humán
            a szervezet összes részlegének együttműkö- erőforrás közös tervezése, koordinációja.
            dése, a tudatosság fenntartása és a szabályo-
            zói környezet változásainak követése.             Fontos tapasztalat, hogy már a GAP elemzés
                                                              elkészítése során célszerű az egyes követel-
            FELKÉSZÜLÉS AZ AUDITRA – A FŐVÁROSI  ményekhez tartozó bizonyítékok, evidenciák
            VÍZMŰVEK SZEMSZÖGÉBŐL                             rögzítése, megkönnyítve ezzel az audit le-
            A kiberbiztonsági auditra való felkészülést  folytatását, ami még gondos felkészülés ese-
            a  Fővárosi  Vízművek  már  2024.  második  tén is jelentős erőforrásokat igényel a szer-
            negyedévében megkezdte, az akkor rendel- vezetek részéről.
            kezésre álló EU-s irányelv és jogszabályi kör-
            nyezet alapján. Az események 2025. év ele- A KIBERBIZTONSÁGI AUDIT
            jén gyorsultak fel a Kiberbiztonsági törvény  A kiberbiztonsági audit deklarált céljaként ke-
            és az audit részletszabályait meghatározó,  rült meghatározásra, hogy felmérje az EIR-ek
            Szabályozott Tevékenységek Felügyeleti Ha- biztonsági osztályba sorolását, ellenőrizze és
            tósága (SZTFH) rendeleteinek megjelenésé- értékelje a védelmi intézkedések megfele-
            vel. A jogszabályi előírásoknak megfelelően  lőségét, ezáltal az auditált kiberbiztonsági
            megkezdtük a kiberbiztonsági audit beszer- ellenálló képességét, valamint elősegítse
            zését, valamint az eljáráshoz szükséges in- a szervezet kiberbiztonsági felkészültségé-
            formációk összegyűjtését. Ennek keretében,  nek javítását, hozzájárulva ezzel a nemzeti
            a megjelent szabályzók alapján szükségessé  kiberbiztonság megerősítéséhez is.





           30