Az NIS2 direktíva Article 21(2)(f) cikkelye kötelezi az összes kritikus infrastruktúra operátort és nagy vállalkozást az éves penetrációs tesztekre. Ez egy gyakran figyelmen kívül hagyott jogi követelmény – de a compliance ellenőrzések már megkezdődtek.
Szabad konzultáció foglalása →Az NIS2 direktíva Article 21(2)(f) pontja egyértelműen előírja: az operátoroknak és nagyvállalkozásoknak políciát és eljárásokat kell létrehozniuk a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékeléséhez.
Ez magyarul azt jelenti: legalább évente egyszer független penetrációs teszteknek kell alávetniük kritikus rendszereiket.
A tesztelésnek korrekten dokumentáltnak kell lennie, és az eredményeket az üzletmenet-folytatási és biztonsági tervbe kell integrálni. Az NIS2 hatóságok (Magyarországon a NMHH) ezt az ellenőrzések során pontosan vizsgálják.
Nem opcióról van szó – ez jogi kötelezettség, amely 2024-2025-ben kerül nyilvántartásba.
A penetrációs teszt (pentest) egy szimulált támadás az Ön rendszerei ellen – etikus és engedéllyel végzett.
Mit vizsgál a pentest?
Időtartam: 2–4 hét, az alkalmazáskör függvényében.
Végeredmény: részletes jelentés prioritizált sebezhetőségekkel, szövetségi szintekkel, és javítási javaslatokkal.
Ez a két fogalom gyakran keveredik, de alapvetően különböznek:
Sebezhetőség-felderítés (Vulnerability Scan): Automatikus eszközök pásztáznak a rendszert ismert biztonsági hibákra. Gyors, olcsó (€500–2.000), de felületes. Nem szimulál valódi támadást.
Penetrációs teszt: Képzett etikus hackerek manuálisan támadnak a rendszerre, láncolnak sebezhetőségeket, és szimulálnak valódi támadási szcenáriókat. Mélyebb, drágább (€3.000–15.000), de sokkal értékesebb.
NIS2 követelmény: Az éves kötelezettség penetrációs tesztet igényel, nem csupán automatikus szkennelést. Az auditorok ezt pontosan ellenőrzik.
Az alábbi szolgáltatók nemzetközi szintű pentest-et nyújtanak magyar ügyfeleink számára:
Mit kell specifikálni: rendszerlista, támadási vektor (külső/belső/vegyes), időkeret, technológia stack, NIS2 compliance szándék.
Figyelem: A kereslet magas – foglaljon most még ha a teszt 4–6 hét múlva kezdődik.
Cobalt.io egy felhőalapú platform, amely etikus hackerek globális hálózatét köti össze az Ön támadási felületéhez.
Működési mód:
Árazás: Az SME-knek jellemzően €3.000–8.000 közötti fix ár, az alkalmazáskör alapján.
Előny: Gyorsabb, transzparens, rugalmas, NIS2-kompatibilis dokumentáció.
A pentest jelentés meglehetősen technikai lehet, de az NIS2 compliance-hoz dokumentáció szükséges.
Kötelezettségek:
Újra-teszt: Kritikus és magas szintű sebezhetőségek után újra-tesztelés szükséges (költség: jellemzően 30% kedvezmény az eredeti pentest-ből).
Dokumentálás: Helyezzen el egy másolatot az éves NIS2 compliance-mapló mappában. Ez az auditoroknak szükséges bizonyítékot nyújtja.
Az Essential service operators (kritikus infrastruktúra: energia, szállítás, egészségügyi, közüzemi) és az Important entities (nagyvállalkozások 250+ alkalmazott vagy €50M+ bevétel) tartoznak az NIS2 alá. Az Ön vállalkozás ha az alábbi szektorban működik – energiaellátás, közutak, vízvezetékek, közegészségügy, digitális infrastruktúra, digitális szolgáltatók – akkor feltehetően NIS2-kötelezett.
Az SME-knek jellemzően €3.000–8.000 közötti költséggel lehet számolni egy éves teszthez. A nagyobb vállalkozások €8.000–15.000 közötti árral szembesülhetnek. A Cobalt.io, a HackerOne és a Pentest People fix árú csomagokat kínálnak – nincsenek meglepetés költségek. Az újra-tesztelés jellemzően az eredeti teszt 30%-a.
Az NIS2 minimálisan évente egyszer előírja a tesztelést. A kritikus infrastruktúra operátorok feltehetően gyakrabban (féléves vagy negyedéves) kell, hogy teszteljenek. A gyakorlat azt mutatja, hogy a legmagasabb kockázatú rendszereknél a féléves ciklus standard.
Az NIS2 direktíva függetlenséget igényel – a tesztet olyan szervezetnek kell végezni, amely nincs érdekeltsége az Ön rendszereinek fejlesztésében. A saját csapat végzett teszt nem felel meg az NIS2 követelménynek. Szükséges egy harmadik fél vagy akkreditált pentest szolgáltató.
Az NIS2 nem-teljesítése a NMHH által történő felügyeleti bírságokhoz vezethet – akár €10M vagy a globális bevétel 2%-ának megfelelő összegig. Ezen túl az ellenőrzésben bukott compliance-ügyek egyéb szabályzatok megsértésére engedhetnek. A pentest költsége a megállapított szabályzatlan kockázatokhoz képest elhanyagolható.
Az éves tesztelési terv részeként még ma lépjen kapcsolatba egy pentest szolgáltatóval. A kereslet magas, és a 4–6 hetes várakozási idők normálisak. Fedezze le az NIS2 compliance követelmények ezt a kritikus pontját, és kapjon nyugodtságot tudva, hogy a rendszerei független szakemberek által vizsgáltattak.
Szabad pentest konzultáció