NIS2, kiberbiztonság és a nagy felismerés: ma már nem a termékedet auditálják, hanem a működésedet
Ha van valami, ami 2026-ra teljesen megváltozott a vállalati megbízhatóság világában, az az, hogy a „jó szolgáltatás” vagy a „minőségi termék” már önmagában nem elég. Persze, továbbra is alapelvárás, hogy azt add, amit ígérsz, és azt jól add. Csakhogy a partnereket, az ügyfeleket és a hatóságokat ma már legalább ennyire érdekli az is, hogy képes vagy-e megvédeni azt a digitális környezetet, ami a működésedet életben tartja. A rendszereket, az adatokat, a folyamatokat, a hozzáféréseket, és nem mellesleg a beszállítói láncod kapcsolódási pontjait.
Mert egy komoly kibertámadás nem olyan, mint egy kellemetlen IT-incidens, ami után újraindítjuk a gépet, aztán minden megy tovább. Egy komoly kibertámadás ma üzleti és működési krízis. Olyan helyzet, amiből egyik pillanatról a másikra lesz termelésleállás, szolgáltatás-kiesés, ellátási zavar, adatszivárgás, hatósági eljárás, bírság, reputációs veszteség, és gyakran egy olyan belső káosz, amit utána hónapokig takarítasz.
Ebben a környezetben érkezett meg a NIS2 irányelv, és ha egy üzenetet kellene kirakni óriásplakátra belőle, akkor ez lenne: a kiberbiztonság nem IT-projekt, hanem vezetői felelősségű megfelelési rendszer.
És itt jön a cikk címének valódi értelme: információ minden mennyiségben. Mert NIS2-ből is információ minden mennyiségben van. Webinárok, tájékoztatók, szakértői posztok, sablonok, útmutatók, konferenciák. A kérdés ma már nem az, hogy „találsz-e anyagot”, hanem az, hogy tudsz-e belőle működő rendszert csinálni.
A NIS2 nem a „kiberesek játéka”, hanem a működésed új auditlogikája
A NIS2-t sokan elsőre úgy értelmezik, mint egy újabb IT-s szabályozást. Ez érthető, mert rengeteg technikai követelmény is kapcsolódik hozzá. Viszont a logikája valójában teljesen más. A NIS2 arról szól, hogy a kiberbiztonságot nem a szerverek környékén kell tartani, hanem a szervezeti működés közepére kell beépíteni, úgy, hogy az auditálható legyen.
Az EU-ban a NIS2 alkalmazása 2024. október 18-tól indult. Magyarországon pedig a megfelelési kereteket megerősítő kiberbiztonsági törvény 2025. január 1-jétől hatályos, vagyis nem arról beszélünk, hogy „majd egyszer”. A felkészülési időszak gyakorlatilag már elindult, és az érintett szervezeteknek egyre inkább úgy kell berendezkedniük, hogy auditkész működést tudjanak felmutatni.
A kulcsszó itt nem a „dokumentumkész”, hanem az „auditkész”. Mert nagy különbség van a kettő között.
Kik az érintettek? A NIS2 nem „néhány iparág ügye”
A NIS2 egyik legizgalmasabb és egyben legkíméletlenebb tulajdonsága az, hogy nem hagy sok szervezetet kívül. Sokan még mindig úgy gondolnak rá, hogy ez az energetikának vagy a bankoknak szól. A valóság viszont az, hogy a NIS2 megfelelési rendszerében számos olyan szervezeti kör található, amelyet a szabályozás kiemelten kezel, és ezek között nem csak piaci vállalatok vannak.
A NIS2 szempontjából érintett lehet például a közigazgatási ágazathoz tartozó szervezet (bizonyos kivételekkel), állami többségi tulajdonú nagyobb gazdálkodó szervezet, a hatóság által kiberbiztonsági szempontból kiemeltként minősített szereplő, illetve a kritikus szervezetek ellenálló képességéről szóló törvény szerinti kijelöltek.
Emellett ott vannak az úgynevezett „kiemelten fontos” és „fontos” ágazatok, amelyek közé többek között az energetika, közlekedés, pénzügyi szektor, egészségügy, ivóvízellátás, digitális infrastruktúra, űrszektor, közigazgatás, ICT-szolgáltatások, digitális szolgáltatók is beletartoznak. Ezeknél a szervezeteknél a közös pont az, hogy olyan rendszereket üzemeltetnek, amelyek sérülése nem csak belső veszteség, hanem szélesebb társadalmi és gazdasági kockázat.
Ez az a gondolat, ami miatt a NIS2-t nem lehet „csak” IT-ügyként kezelni. Ha a szervezet működése egy tágabb rendszer stabilitásának része, akkor a kiberbiztonság sem belső kényelmi kérdés, hanem közérdekű kockázatkezelés.
A megfelelés realitása: az audit nem szabályzatot, hanem működést vizsgál
Itt jön a NIS2 felkészülés legfontosabb pontja, amit sokan alábecsülnek. A megfelelés nem attól lesz meg, hogy gyorsan legyártasz egy szabályzati csomagot. A NIS2 audit során nem azt fogják megkérdezni, hogy „van-e policy”, hanem azt, hogy bizonyíthatóan működik-e a kiberbiztonság a napi gyakorlatban.
Ez a gyakorlatban azt jelenti, hogy nem elég kialakítani a kontrollokat. Azokat élő folyamattá kell alakítani, és ami még fontosabb: úgy kell működtetni őket, hogy nyomot hagyjanak. Mert az auditálhatóság alapja mindig ugyanaz: visszakövethető evidenciák.
A NIS2 egyik tipikus buktatója éppen ezért az, hogy a szervezet formálisan „készen van”, mégis elbukik, mert a napi működés nem termel bizonyítékot. A szabályzat szerint történik valami, csak épp sehol sem látszik.
Határidők, amelyek köré már most projektet kell szervezned
Ha van téma, amiben 2026 nem „messze van”, hanem gyakorlatilag „itt van”, akkor az a NIS2. A megfelelési gyakorlatban több kiemelt mérföldkő is van, amelyekhez a szervezeteknek nagyon konkrét belső projektet kell rendelniük. A kiberbiztonsági auditorral történő szerződéskötés határideje 2025. augusztus 31., az első kiberbiztonsági audit lefolytatásának határideje pedig 2026. június 30.
A legtöbben itt követik el az első stratégiai hibát, amikor úgy tekintenek ezekre, mint „majd akkor összekapjuk magunkat” típusú határidőkre. Valójában ezek a határidők csak akkor tarthatók biztonsággal, ha a szervezet nem az utolsó hónapokban kezd kapkodva dokumentumokat gyártani, hanem időben felépíti a kontrollokat, a felelősségi rendszert, és azokat a napi működésből származó evidenciákat, amelyek a megfelelőség bizonyítékai lesznek.
A NIS2-re igaz az a nagyon egyszerű mondat, amit minden auditnál látunk: nem az a nehéz, hogy legyen szabályzat, hanem az, hogy legyen működés.
A sikeres felkészülés logikája: hatály – gap analysis – működő kontrollok
A NIS2 felkészülés akkor működik jól, ha nem „megoldásokat gyártasz”, hanem logikusan végigmész a rendszerépítés lépésein.
A kiindulópont mindig az, hogy tisztázod, mely rendszerek és folyamatok tartoznak a NIS2 hatálya alá, és melyek azok a kritikus információs rendszerek, amelyek kiesése a működést veszélyeztetné. Ez a lépés sosem tisztán IT-feladat, mert a kritikus rendszerek az üzleti folyamatokban élnek. A termelésben, a szolgáltatásban, az ellátási láncban, a logisztikában, az ügyfélkiszolgálásban.
Ezt követi az állapotfelmérés, vagyis a gap analysis, ahol a jelenlegi működést összeveted az elvárt kontroll- és megfelelési szinttel. A harmadik lépés pedig az, amikor a szükséges szabályozások, intézkedések és bizonyítható működési kontrollok ténylegesen bevezetésre kerülnek.
A kritikus pont itt mindig az, hogy ne elszigetelt kontrollokat építs, hanem egy auditálható rendszert, amelyben világos vezetői felelősségek vannak, és a kiberbiztonság nem kampány, hanem mindennapi gyakorlat.
A legnehezebb terep sok iparágban: OT és ipari rendszerek
Ha van terület, ahol a NIS2 „valóságtesztje” a legkeményebb, akkor az OT-rendszerek világa. Ide tartozik az ipari vezérlés és automatizálás, a gyártósori kontroll, az energetikai hálózatfelügyelet, a víziközmű távfelügyelet, a közlekedési irányítás, vagy akár az egészségügyi kritikus eszközök IT-háttere.
Itt a kiberbiztonság nem csak adatok védelméről szól, hanem fizikai működésről, üzembiztonságról és szolgáltatásképességről. Ezért az OT-s területeken a felkészülés csak akkor lehet hatékony, ha az üzembiztonság és a kiberbiztonsági kontrollok nem egymás rovására működnek, hanem összehangoltan épülnek fel.
A NIS2 megfelelés ugyanis nem járhat azzal, hogy a működés ellehetetlenül. Viszont a működés sem írhatja felül a minimális kockázatkezelési szintet. Ez finom egyensúly, és a jó rendszerépítés itt válik igazán szakmai kihívássá.
A megfelelés kulcsa nem a technológiában, hanem a szervezetben van
A NIS2 audit tipikusan ott bukik el, ahol nincs felelősségi rend és nincs bizonyíték. És ez nagyon fontos: ez a bukás többnyire nem a legújabb tűzfal hiányán múlik. Sokkal inkább azon, hogy a szervezet nem tudja auditálhatóan bemutatni a napi működését.
A tipikus gyenge pontok különösen gyakran ezek:
- a hozzáférések kezelése (ki, mihez, mikor fér hozzá, és ezt hogy kontrollálod),
- beszállítói és alvállalkozói kapcsolatok kontrollja (ki hoz be kockázatot a rendszerbe),
- oktatások dokumentálása (nem az számít, hogy megtörtént-e, hanem hogy bizonyítható-e),
- mentések rendszeres tesztelése (nem az számít, hogy van-e backup, hanem hogy visszaállítható-e),
- evidenciák hiánya (a „működik” állítás mögött nincs nyom).
A NIS2 valójában ezért szervezetfejlesztési kérdés is. Mert ha kiberbiztonsági megfelelés van, akkor középvezetők nélkül nincs rendszer. A termelés, üzemeltetés, minőség, logisztika, HR, beszerzés mind olyan terület, ahol napi működés zajlik, és ahol evidenciák képződnek. Ha ők kívülről szemlélik a felkészülést, akkor a kiberbiztonság elválik a valóságtól, és az audit pont ezt fogja fájdalmasan megmutatni.
Kötelezettség vagy lehetőség? A NIS2 valójában működésfejlesztési eszköz
A NIS2-re lehet úgy tekinteni, mint egy újabb compliance nyűgre, amit túl kell élni. Viszont ez az a hozzáállás, ami a legdrágább lesz.
A NIS2 ugyanis valójában egy működésfejlesztési keretrendszer is. Aki jól készül fel, nem csak auditot teljesít, hanem üzembiztosabb, átláthatóbb és kockázatállóbb működést épít. Aki viszont halogat, annak a NIS2 könnyen válik egyik napról a másikra válságkezelési projektté, ahol már nem rendszert épít, hanem tüzet olt.
A különbség nem technológiai. A különbség szervezeti.
A szervezet vagy előre felépíti a megfelelés rendszerét, vagy utólag próbálja menteni a helyzetet. És a tapasztalat egyértelmű: válságban már nem rendszert építünk, hanem túlélünk.