Bevezetés
A kiberbiztonság ma már nem kizárólag informatikai kérdés, hanem üzleti és jogi kockázatkezelési tényező is. Ezt ismeri fel a NIS2 irányelv, amely az Európai Unió egységes kiberbiztonsági szabályozásaként a szervezetek hálózati és információs rendszereinek védelmét hivatott megerősíteni.
Magyar vállalatok számára különösen fontos a felkészülés, mivel a szabályozás közép- és nagyvállalatokra, valamint több kritikus és szolgáltatási ágazatra is kiterjed.
A hazai jogrendbe történő átültetés alapján a megfelelés egyik kulcsdátuma 2025. december 31., amikorra az érintett szervezeteknek auditálható módon kell teljesíteniük az előírásokat. A folyamatban jelentős szerepet kap a külső IT tanácsadás, a kockázatelemzés és az audit előkészítés – ezekben a mi infrastruktúra- és IT-biztonsági szolgáltatásaink is gyakorlati támogatást nyújtanak.
A NIS2 irányelv céljai és hatálya
Mit jelent a NIS2?
A NIS2 az Európai Unió egységes keretrendszere a hálózati és információs rendszerek védelmére. Célja, hogy az eddiginél szélesebb vállalati körben biztosítsa a magas szintű kiberbiztonságot, és csökkentse az ellátási láncokon keresztül terjedő kockázatokat.
Az irányelv jelentősen kibővíti a kiberbiztonsági követelményeket, nemcsak technikai, hanem szervezeti, dokumentációs és vezetői felelősségi szinten is. A végső cél az, hogy az EU egész területén egységes, magas biztonsági szint alakuljon ki.
Forrás: https://nnpub.org/index.php/SSH/article/view/2747
Kikre vonatkozik?
A NIS2 elsősorban az úgynevezett essential és important entitásokra vonatkozik. Ide tartoznak:
- közép- és nagyvállalatok meghatározott ágazatokban,
- kritikus infrastruktúrát működtető szervezetek,
- digitális és üzletileg kiemelt szolgáltatók.
Bizonyos tevékenységek esetén mérettől függetlenül kisebb vállalkozások is érintetté válhatnak, ha működésük kulcsfontosságú más szervezetek számára.
NIS2 megfelelés lépései (részletes útmutató)
1. Alkalmazhatóság megállapítása
Az első lépés annak eldöntése, hogy a vállalat a NIS2 hatálya alá tartozik-e. Ehhez a cég méretét, ágazati besorolását és nemzetközi tevékenységét kell megvizsgálni. Ez a döntés alapozza meg a teljes megfelelési stratégiát.
2. Gap analízis készítése
A gap analízis feltárja, hogy a jelenlegi IT- és kiberbiztonsági gyakorlat hol tér el a NIS2 követelményeitől. Ennek része az informatikai rendszerek, folyamatok és dokumentációk átvilágítása, valamint a kockázatok priorizálása.
3. Felelős személy(ek) kijelölése
A NIS2 egyértelmű vezetői felelősséget ír elő. Ez jellemzően egy CISO vagy dedikált kiberbiztonsági felelős kijelölését jelenti, aki koordinálja az intézkedéseket és kapcsolatot tart a hatóságokkal.
4. Biztonsági politika és dokumentáció kidolgozása
A megfelelés nem létezhet megfelelő dokumentáció nélkül. Frissíteni kell az informatikai biztonsági politikát, a kockázatkezelési eljárásokat és az incidenskezelési folyamatokat. Ezeknek nemcsak létezniük kell, hanem a gyakorlatban is alkalmazottnak kell lenniük.
5. Technikai és műveleti intézkedések bevezetése
A technikai védelem a NIS2 egyik legláthatóbb eleme. Ide tartozik többek között:
- hozzáférések szigorú kezelése,
- naplózás és eseményfigyelés,
- Titkosítás alkalmazása az adatvédelem érdekében,
- incidens-jelentési folyamatok kialakítása.
6. Beszállítói lánc biztonságának kezelése
A NIS2 kiemelten kezeli a beszállítói kockázatokat. A vállalatnak értékelnie kell partnerei kiberbiztonsági érettségét, és szükség esetén szerződéses követelményeket, auditjogokat kell beépítenie.
7. Audit előkészítés
Az audit során nem ígéretek, hanem bizonyítékok számítanak. Naplózási rendszerek, dokumentált folyamatok, tesztelt incidenskezelés és megfelelő Biztonsági mentések nélkül a megfelelés nem igazolható.
8. Kompetens hatósággal való kapcsolat
Az érintett szervezeteknek regisztrálniuk kell a kijelölt hatóságnál, és rendszeres kommunikációt kell fenntartaniuk, beleértve az incidensek jelentését is.
Forrás: https://jngr5.com/index.php/journal-of-next-generation-resea/article/view/99
Gyakorlati áttekintő táblázat: NIS2 megfelelés fő területei
| Terület | Követelmény | Mit jelent a gyakorlatban? |
| Alkalmazhatóság | Hatály megállapítása | Méret, ágazat, tevékenység elemzése |
| Kockázatkezelés | Gap analízis | IT audit, fenyegetések feltárása |
| Felelős személy | Delegálás | Koordináció, döntéshozatal |
| Biztonsági politika | Dokumentáció | Szabályzatok, incidenskezelés |
| Technikai védelem | Műszaki intézkedések | Access control, titkosítás |
| Beszállítók | Kockázatértékelés | Szerződések, auditok |
| Audit | Auditálhatóság | Naplózás, bizonyítékok |
| Hatóság | Regisztráció | Jelentések, kapcsolattartás |
Gyakori kérdések (GYIK)
Mi számít NIS2 szerint „érintett entitásnak”?
Azok a közép- és nagyvállalatok vagy kritikus szolgáltatók, amelyek az EU területén működnek, és infrastruktúrájuk üzletileg vagy társadalmilag jelentős.
Milyen határidők vannak a megfelelésre?
Magyarországon az egyik kulcsdátum 2025. december 31., amikorra az auditálható megfelelés elvárt.
Mik a leggyakoribb hibák a felkészülés során?
Tipikus problémák a hiányzó gap analízis, az elavult dokumentáció és a beszállítói kockázatok alulértékelése.
Milyen büntetések várhatók nem megfelelés esetén?
A nemzeti jogba ültetés során pénzbírságok és akár szolgáltatáskorlátozások is megjelenhetnek.
Segíthet egy IT szolgáltató a megfelelésben?
Igen, külső IT tanácsadással, dokumentációval és audit előkészítéssel jelentősen csökkenthető a kockázat – ilyen támogatás az iamit.hu szolgáltatási portfóliójában is elérhető.
Lezárás
A NIS2 megfelelés nem egyszeri feladat, hanem strukturált, lépésről lépésre felépített folyamat, amely hosszú távon a vállalat kiberbiztonsági érettségét is növeli. A siker kulcsa az időben megkezdett felkészülés, valamint a belső és külső szakértők összehangolt együttműködése.Érdemes a megfelelést nem kötelezettségként, hanem üzleti biztonsági befektetésként kezelni, és gyakorlati segédleteket, szakmai forrásokat – például az iamit.hu szakmai blogját és IT infrastruktúra támogatását – is bevonni a folyamatba.