A kiberbiztonság ma már nem IT-részletkérdés, hanem üzletmeneti és megfelelőségi kockázat: egy komoly támadás termeléskiesést, szolgáltatásleállást, adatvesztést és reputációs válságot okozhat. Ebben a környezetben lépett életbe a NIS2, amelynek kulcsüzenete, hogy a kiberbiztonság nem projekt, hanem vezetői felelősségű megfelelési rendszer. A NIS2 EU-s alkalmazása 2024. október 18-tól indult, Magyarországon pedig a megerősített kiberbiztonsági törvény 2025. január 1-jétől hatályos, és az érintettség számos iparágra kiterjed. A felkészülés tétje nem a dokumentumok megléte, hanem az auditálhatóan működő kontrollok bizonyíthatósága a közeledő határidőkig.
A vállalati és szervezeti megbízhatóság ma már messze túlmutat a szolgáltatás vagy termék minőségén. A partnerek, az ügyfelek és a hatóságok számára egyre meghatározóbb kérdés, hogy egy szervezet mennyire képes megvédeni a működését támogató digitális rendszereket, adatokat és folyamatokat. Egy komoly kibertámadás ugyanis nem „informatikai kellemetlenség”, hanem üzleti és működési krízis: termelésleállás, adatszivárgás, szolgáltatás-kiesés, ellátási zavar, hatósági elárások és reputációs károk formájában.
Ebben a környezetben érkezett meg a NIS2 irányelv, amelynek talán a legfontosabb üzenete az, hogy a kiberbiztonság nem IT-projekt, hanem vezetői felelősségű megfelelési rendszer. A NIS2 alkalmazása EU-s szinten 2024. október 18-tól indult, Magyarországon pedig a szabályozási kereteket megerősítő kiberbiztonsági törvény 2025. január 1-jétől hatályos. Ez azt jelenti, hogy a felkészülés időszaka gyakorlatilag már elindult, és az érintett szervezeteknek auditkész működésre kell berendezkedniük.
Kik az érintettek? – A NIS2 nem „csak néhány iparág ügye”
A NIS2 magyarországi megfelelési rendszerében több olyan szervezeti kör található, amelyet a szabályozás kiemelten kezel. Az érintettség nem csak klasszikus piaci vállalatokat jelent, hanem állami, önkormányzati és stratégiai szereplőket is.
A NIS2 szempontjából érintett lehet többek között az alábbi „alapvető szervezeti” kör:
A közigazgatási ágazathoz tartozó szervezetek (kivéve a 20 000 fő alatti települések hivatalait), az állami többségi tulajdonú, középvállalkozásnál nagyobb gazdálkodó szervezetek, a nemzeti vagy honvédelmi kiberbiztonsági hatóság által ilyennek minősített szervezetek, valamint a kritikus szervezetek ellenálló képességéről szóló törvény (Kszetv.) szerinti kijelöltek.
A Kiemelten Fontos és a Fontos kategóriába tartozó érintett ágazatok közé tartozik többek között az energetika, a közlekedés, a banki szektor és pénzügyi piacok, az egészségügy, élelmiszeripar, az ivóvízellátás, a digitális infrastruktúra, az űrszektor, a közigazgatás, az ICT-szolgáltatások, valamint a digitális szolgáltatók – ideértve például a DNS-szolgáltatókat is.
A szabályozási logika közös pontja minden érintett esetében az, hogy ezek a szervezetek olyan rendszereket üzemeltetnek, amelyek sérülése nem csak belső vállalati veszteség, hanem szélesebb gazdasági vagy társadalmi kockázat.
A megfelelés realitása: az audit nem csak szabályzatot, hanem működést vizsgál
A NIS2 felkészülés egyik legfontosabb sikertényezője a realitás. A megfelelés nem a szabályzatok gyors elkészítéséről szól, és nem „papírmegoldás”. Az audit során nem azt kérdezik majd, hogy „van-e szabályozás”, hanem azt, hogy bizonyíthatóan működik-e a kiberbiztonság a napi gyakorlatban. Ez azt jelenti, hogy a kontrollokat nem elég kialakítani, hanem azokat élő működéssé kell tenni, és visszakövethetően dokumentálni kell.
Éppen ezért a határidők valójában sokkal közelebb vannak, mint elsőre tűnik. A felkészülés ütemezése akkor is szoros, ha a szervezetnek már van valamilyen információbiztonsági alapja, és különösen szoros akkor, ha a kiberbiztonság eddig elszigetelten, IT-feladatként jelent meg.
A szakmai tájékoztatókban és a hazai megfelelési gyakorlatban kiemelt mérföldkő, hogy a kiberbiztonsági auditorral történő szerződéskötés határideje 2025. augusztus 31. Ennél is fontosabb, hogy az első kiberbiztonsági audit lefolytatásának határideje 2026. június 30.
Ez a dátum azonban csak akkor teljesíthető biztonsággal, ha a szervezet nem az utolsó hónapokban kezd kapkodva dokumentumokat gyártani, hanem időben felépíti a kontrollokat, a felelősségi rendszert, és a napi működésből származó evidenciákat. A NIS2 audit egyik tipikus buktatója ugyanis az, hogy a szervezet formálisan „készen van”, de a működés nem termel bizonyítékot.
A sikeres felkészülés logikája: hatály → gap analysis → működő kontrollok
A sikeres felkészülés alapja az, hogy a szervezet először tisztázza, mely rendszerek és folyamatok tartoznak a NIS2 hatálya alá, és melyek azok a kritikus információs rendszerek, amelyek kiesése a működést veszélyeztetné. Ez a lépés sokszor több terület együttműködését igényli, mert nem csak IT-rendszerekről van szó, hanem üzleti folyamatokról, szolgáltatásokról és beszállítói kapcsolódásokról is.
Ezt követi az állapotfelmérés (gap analysis), amely a jelenlegi működést veti össze az elvárt kontroll- és megfelelési szinttel. A felkészülés harmadik szakasza pedig az, amikor a szükséges szabályozások, intézkedések és bizonyítható működési kontrollok bevezetése megtörténik.
A legnehezebb terület sok iparágban: OT és ipari rendszerek, illetve kritikus infrastruktúra
Sok érintett ágazatban a NIS2 egyik legnehezebb területe az OT-rendszerek világa. Például ipari termelésben a gyártósori vezérlés és automatizálás, közlekedésben vezérlő- és irányítástechnikai rendszerek, energetikában hálózatfelügyelet, víziközműveknél távfelügyeleti rendszerek, egészségügyben kritikus eszközök kapcsolt IT-háttere, vagy bármely olyan infrastruktúra, ahol a digitális vezérlés kiesése valós működésképtelenséget okoz. A felkészülés akkor lehet hatékony, ha az üzembiztonság és a kiberbiztonsági kontrollok nem egymás rovására, hanem összehangoltan épülnek fel. A NIS2 megfelelés nem járhat azzal, hogy a működés ellehetetlenül, ugyanakkor a működés sem írhatja felül a minimális kockázatkezelési szintet.
A megfelelés kulcsa nem a technológiában, hanem a szervezetben van
A NIS2 audit tipikusan ott „bukik el”, ahol nincs felelősségi rend és nincs bizonyíték. Ez a gyakorlatban legtöbbször nem a legmodernebb tűzfal hiányán múlik, hanem azon, hogy a szervezet nem tudja auditálhatóan bemutatni a napi működését.
A tipikus gyenge pontok közé tartozik a hozzáférések kezelése, a beszállítói és alvállalkozói kapcsolatok kontrollja, az oktatások dokumentálása, a mentések rendszeres tesztelése és a visszakövethető evidenciák hiánya. Éppen ezért kiemelten fontos, hogy a középvezetők – legyen szó termelésről, üzemeltetésről, minőségről, logisztikáról, HR-ről vagy beszerzésről – ne kívülről szemléljék a felkészülést, hanem aktív szerepet kapjanak benne.
Kötelezettség vagy lehetőség: a NIS2 valójában működésfejlesztési eszköz
A NIS2 nem csak kötelezettség, hanem lehetőség is. Aki jól készül fel, az nem csupán auditot teljesít, hanem üzembiztosabb, átláthatóbb és kockázatállóbb működést épít. Aki viszont halogat, annak a NIS2 könnyen válhat egyik napról a másikra válságkezelési projektté.
A különbség nem technológiai, hanem szervezeti. A szervezet vagy előre felépíti a kiberbiztonsági megfelelés rendszerét, vagy utólag próbálja menteni a helyzetet.
Válságban már nem rendszert építünk — hanem túlélünk.