2026-ban már nincs haladék: napról-napra közeledik az EU új kibervédelmi irányelveinek (NIS2) teljesítésére vonatkozó audit határidő.
A következő hetekben – mint érintettek – sorra vesszük mire fókuszáljunk, ha még előttünk áll a feladat.
Mi is benne vagyunk a folyamat közepében, így talán segíthetünk kicsit azoknak is, akik vállát hozzánk hasonlóan még nyomja ez a teher.
Emlékeztetőül: lehet a te céged is érintett?
Az unió már 2016-ban bevezette azt az irányelvet, amelynek célja, hogy egységesen nőjön a biztonsági szint az EU-n belül. Ezeket a szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálja. Az előírások a középvállalatokra vonatkoznak, tehát az 50 fő feletti alkalmazottal, vagy legalább 10 millió euró éves árbevétellel rendelkező cégekre.
A kapcsolódó magyar jogszabályban az egyik újdonság, hogy a NIS2 kereteit új ágazatokra és szervezetekre is kiterjesztik. Sőt egyes ágazatokra, szolgáltatókra – így pl. az elektronikus hírközlési szolgáltatókra, mint az Opennetworks – ezek az irányelvek a vállalkozás méretétől függetlenül is kötelezők.
Mi a feladat?
Azon túl, hogy minden érintett cégnek kötelező tájékoztatni és oktatni a kollégáit a lehetséges kiberfenyegetésekről, rengeteg egyéb tennivalót is nyakukba kaptak a vezetők. Például olyan, a területért felelős munkatársat kellett kijelölniük, aki az információbiztonságot felügyeli (Információ Biztonsági Felelős).
Két évente – először 2026. június 30-ig – kiberbiztonsági auditot kell készíttetni, ami arról szól, hogy a vállalat saját rendszerét és az előírt információbiztonság irányítási rendszert ellenőrizteti egy kijelölt tanúsító szervezettel.
Az a cég, aki most jön rá, hogy audit kötelezett és még nem csinált semmit, nagy bajban van. Ugyanakkor biztos számos – hozzánk hasonló – vállalkozás van, akik valahol már állnak a felkészüléssel, de még nem zajlott le az audit. Nekik próbálunk meg ötleteket adni a következő hetekben.
Felelős felkészülés
Sokan kötelező teherként élik meg a feladatot, beszereznek egy informatikai biztonsági sablongyűjteményt, majd egy külső szakértővel rövid határidős projektben megpróbálják azt cégükre szabni.
Ez is egy stratégia ami – megfelelő külső szakértő mellett – biztosíthat megfelelést az auditon. Két dologra fel kell hívnunk itt mindenki figyelmét:
1. Az auditorok is érzik és vizsgálják is, hogy egy szervezet papíron vagy a gyakorlatban megfelelő-e. Széles eszköztáruk és számtalan kérdésük van annak kiderítésére, hogy a szabályok, folyamatok a gyakorlatban is működnek-e.
2. Fontos az is, hogy egy „szabálykönyv” nem véd meg attól, hogy a rendszereidet egy reggel feltörje valaki, felkészült kollégák hiányában pedig napok is eltelhetnek addig, míg ezek után a működés helyreáll. Az idő pénz, az elvesztett ügyfélbizalmat pedig nem pótolja semmi.
Sablonok helyett következetes alapelvek
Mi úgy gondoljuk, hogy a felkészülés során négy alapelv következetes betartása vezet majd sikerre, mind az audit, mind a gyakorlati működés szempontjából: felelősségvállalás, kockázat-alapú szemléletmód, emberközpontú gondolkodás, ellenállóképes működés kialakítása.
Vegyük ezeket most sorra, aztán majd hétről-hétre részletesen foglalkozunk ezekkel, gyakorlati – és nálunk bevált – tippeket adva.
A kiberbiztonság négy testőre
- Felelősség – A NIS2 a board asztalára teszi a kiberkockázatot: stratégiát, kijelölt felelősöket és számonkérhető vezetői döntéseket vár el. Hogyan csináljuk ezt jól, hogy a megfelelés ne legyen kegyetlen teher, de ugyanakkor ne csak a „papírformát” hozzuk. Hogyan segíthet ez a szemléletváltás a céges folyamatokban és akár az üzleti sikerben is? Nekünk már van elképzelésünk, amit megosztunk majd veletek.
- Szemlélet – A kockázatok kezelése nem IT-chekclist, hanem az üzlet túlélési térképe. Belegondoltunk már mely rendszereken, adatokon, folyamatokon áll vagy bukik a szolgáltatásunk? Mi lenne az üzleti hatás, ha ezek 1 napra, 1 hétre, 1 hónapra kiesnének? A NIS2 nem újabb technikai pipálgatást kér, hanem azt, hogy a kiberkockázatot ugyanúgy mérjük, rangsoroljuk és kezeljük, mint bármely más üzleti kockázatot. Hogyan kezeljük ezt jól, de felesleges erőfeszítések nélkül, erre adunk majd tippeket.
- Ember – A leggyengébb láncszemet tegyük a legerősebbé. A legtöbb incidens egy rossz emberi döntéssel kezdődik. Hogyan fókuszáljunk a képzésre, a viselkedésre és a biztonságtudatos vállalati kultúra építésére, hogy ezt elkerülhessük. Hogyan segítsük kollégáink munkáját a digitális fenyegetettségektől terhes világban, hogy ne hibázzanak. Ez nem audit elvárás, hanem józan üzleti megfontolás. Hogyan csináljuk ezt jól? Bemutatjuk, hogyan megvalósítható ez egy telekommunikációs cégnél.
- Ellenállóképesség – Nem kérdés, hogy egy nap arra ébredünk majd, hogy baj van, a kérdés, hogy milyen gyorsan és mekkora áldozatokkal pattanunk talpra. Készüljünk fel a nehéz helyzetek kezelésére, ismerjük saját és beszállítóink gyenge pontjait, legyenek vészforgatókönyveink. Hogyan csináljuk ezt jól és gyakorlatban megvalósítható módon? Erről osztunk meg gondolatokat, példákat.
Mitől lehet könnyebb?
Vannak szervezetek – pl. az elektronikus hírközlési szolgáltatók, közmű vállalatok – akiknek egy hasonló törvény alapján már most is auditáltatni kell tevékenységüket, legalább is számlázó rendszerüket. A 2025-ös rendszer már ugyanannak a jogszabálynak a keretrendszerében történt, mint a NIS2 audit fog és mi megfeleltünk, mégpedig nagyon kevés maradvány kockázattal.
Nekünk a felkészülésben sokat segített a Nemzeti Kibervédelmi Intézet katalógusa, megosztjuk veletek is, hátha még nem késő:
https://nki.gov.hu/it-biztonsag/kiadvanyok/segedletek/eir-utmutato/
Hamarosan folytatjuk azokkal az elvekkel, amiket mi következetesen követünk a felkészülés során és amit az auditorok is középpontba helyeznek egy-egy ilyen vizsgálat során.
Ha beszállítóként, vagy ügyfélként addig is kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!
Judit
