NIS2 – Felelősség és kockázatvállalás

A NIS2 a board asztalára teszi a kiberkockázatot: stratégiát, kijelölt felelősöket és számonkérhető vezetői döntéseket vár el.

Ha érintett vagy, már látod: a NIS2 nem „IT-szabályzat projekt”, hanem vállalatirányítási kérdés. A cél nem az, hogy papíron szép legyen, hanem hogy a kiberkockázat kezelése ugyanúgy működjön, mint bármely más üzleti kockázaté: átláthatóan, eldönthetően, mérhetően.

Ki, miért felelős?

A 7/2024. MK rendelet szerinti elvárásoknál is ez a lényeg: legyen felelőse, legyen folyamata, legyen bizonyítéka.

Tehát: ha érintett vagy ne egy „szabálykönyvet” hozz létre, hanem a menedzsment alkosson egy működő folyamatot, ahol minden szereplőnek megvan a feladata, felelőssége.

Egy gyakorlati példa a felelősségek megosztására:

Board / ügyvezetés: meghatározza a kockázati étvágyat: mi az a kiesés/veszteség, ami már nem fér bele, jóváhagyja a kiberbiztonsági stratégiát és költségkeretet, kijelöli a felelős szerepköröket, és számon kéri a teljesítést. Nem technológiáról dönt, hanem *üzleti kockázatról*.

Felsővezetés (CIO/CTO/CISO): lefordítja a stratégiát végrehajtható programra: kontrollok, ütemterv, erőforrás, prioritás. Gondoskodik róla, hogy az incidenskezelés, beszállítói kockázat, változáskezelés és üzemeltetés összeérjen, és ne silókban működjön.

Kockázat/megfelelőség (risk, DPO, belső kontroll): kialakítja a kockázati nyilvántartást, módszertant, bizonyítékolást; felügyeli a kontrollok működését és a hiányosságok kezelését. Ők tartják egyben a „bizonyíthatóságot”: mi van meg, mi nincs, miért.

Középvezetők / szolgáltatástulajdonosok: a napi működésben érvényesítik a kontrollokat (jogosultságok, mentések, változtatások, beszállítók), és incidensnél ők az első döntési szint. Náluk dől el, hogy a folyamat él-e vagy csak dokumentum.

Operatív csapatok (IT/üzemeltetés/fejlesztés): végrehajtás és mérés: patching, sérülékenységkezelés, naplózás, riasztások kezelése, mentés-visszaállítás teszt, hardening, hozzáférések. Ők adják az adatot és a bizonyítékot.

Hogyan csináld jól, hogy ne legyen teher

Összeszedtünk néhány gondolatot saját eszköztárunkból, amik segíthetik az audit sikerét és a napi biztonságmenedzsmentet is

Tedd le a kiberkockázati térképet a vezetés elé. 5–10 top kockázat üzleti hatással (kiesés, bevétel, bírság, reputáció). Ne eszközlistát vigyél, hanem döntési anyagot.
Rögzíts felelősséget RACI-val. Ki dönt, ki végrehajt, kit kell bevonni, kit értesíteni – és legyen incidens-eszkalációs út is, névvel és helyettessel.
Válassz kevés, de nagy hatású kontrollt. MFA, mentés–visszaállítás *tesztelve*, patch- és sérülékenységmenedzsment, jogosultságok rendszeres felülvizsgálata, naplózás/riasztás, endpoint védelem, beszállítói minimumok, tudatosság.
Incidenskezelés = forgatókönyv + gyakorlat. Playbookok (pl. ransomware, adatlopás, szolgáltatás-kiesés), kommunikációs sablonok, eszkaláció. Évente legalább egy asztali gyakorlat vezetői részvétellel.
Beszállítói lánc: bizonyítékot kérj, ne ígéretet. SLA, incidens-értesítési kötelezettség, audit/tanúsítvány, alvállalkozók átláthatósága. Tudd, hol fut a kritikus adat és folyamat.
Mérj egyszerűen és rendszeresen. 10 KPI elég: MFA lefedettség, kritikus patch átfutás, mentés sikeresség és visszaállítási idő, hozzáférés-felülvizsgálat arány, riasztások kezelési ideje, phishing teszt eredmény. Trend kell, nem dashboard-cirkusz.
Kösd üzleti célhoz. A NIS2 szemléletváltásból kézzelfogható nyereség lesz: kevesebb kiesés, gyorsabb helyreállás, stabilabb üzem, jobb ügyfélbizalom – és sokszor könnyebb beszállítói/partneri tárgyalások.

Ritmus és rendszeresség

A megfelelés akkor lesz „élő”, ha ritmust adsz neki: például havi kockázati review a top kockázatokról, negyedéves kontroll-ellenőrzés, éves incidensgyakorlat.

Mitől lehet még könnyebb?

Mi is dolgozunk egy saját megközelítésen miközben elkészülünk. Hamarosan megosztjuk, hogyan fordítjuk át ezt működő, bizonyítható kontrollokra úgy, hogy a szervezet ne terhet, hanem értéket érezzen belőle. Jövünk még a további részletekkel!

Nekünk a felkészülésben sokat segített a Nemzeti Kibervédelmi Intézet katalógusa, megosztjuk veletek is, hátha még nem késő:

https://nki.gov.hu/it-biztonsag/kiadvanyok/segedletek/eir-utmutato/

Következő bejegyzésünkben a legfontosabb és egyben leggyengébb láncszemmel: az emberi tényezővel foglalkozunk.

Ha beszállítóként, vagy ügyfélként addig is kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!

András

Olvasd el
legfrissebb bejegyzéseinket!

API-first ügyfélszolgálat 2026

Sokan még mindig úgy gondolnak a telefonos ügyfélszolgálatra, mint egy elszigetelt csatornára: felveszed a hívást, beszélsz, leteszed. 2026-ban viszont a jól működő ügyfélszolgálat inkább egy integrációs központ. A hívás nem csak beszélgetés, hanem egy esemény, ami elindít (vagy lezár) folyamatokat a háttérrendszerekben.

NIS2: beszállított kockázat

Lehet tökéletes a saját védelmed, ha közben egy fejlesztő partner, egy üzemeltető vagy egy adatközpont rés a láncban. A NIS2 feltételeinek teljesítésében a beszállítóid főszereplők: a te kockázatod része és az auditor is így fogja nézni.

Újgenerációs TTS: a hang újra stratégiai eszköz

Ha eddig a TTS-t (Text-to-Speech) csak „felolvasó gombnak” láttad, 2026-ban érdemes újra ránézni. Az új generációs modellek képesek tempót, hangsúlyt, szünetet és érzelmi árnyalatot is kezelni. Ezért lett a hang újra stratégiai terület és eszköz a céges kommunikációban.

NIS2: Te is lehetsz a leggyengébb láncszem

A legtöbb incidensnél utólag nem az a kérdés, milyen tűzfal volt, hanem az, hogy miért volt elég egy rossz kattintás, egy sietős döntés, egy megosztott jelszó vagy egy „most kivételt teszünk” pillanat. Az emberi tényező nem mellékszál a NIS2 megfelelésben, hanem a legfontosabb megerősítendő láncszem.

Beszéd: élmény és bizalom – STT/TTS trendek 2026

2026-ban a beszédtechnológia (STT/TTS) kilép az „átírás–felolvasás” korszakból: a kontextusfüggő intelligencia, az érzelemgazdag megszólalás és az adatbizalom együtt alakítja át a telekom ügyfélélményt és a belső működést.