NIS2: A megfelelés útja és az első hazai auditok tanulságai
Lesku Gergely
2025.07.31

A NIS2 irányelv bevezetése mérföldkő az európai – és így a magyar – kibervédelem szabályozásában. Bár sok szervezet számára kihívásokkal teli, a hazai gyakorlat azt mutatja, hogy megfelelő felkészüléssel ez a kihívás valójában komoly fejlődési lehetőséggé válhat. A következő cikkben a GRC tanácsadói gyakorlat, az eddigi auditok tapasztalatai és néhány tanulság kerül megosztásra.
A NIS2 hazai hatásai
A korán ébredő magyar cégek már 2022 óta intenzíven készülnek a NIS2 megfelelésre. A kapacitások rendkívül szűkösek, mivel szabályozás több mint 4000 szervezetet érint. Például az auditálásra mindössze tíz auditor szervezet áll rendelkezésre – nem meglepő tehát, hogy az auditálás körüli folyamatok gyakran hektikusak.
Az EURO ONE információbiztonsági tanácsadói azonban már a korai fázisban értéket tudtak teremteni: felkészítéseken, GAP-analíziseken és szabályozási projektek tucatjain keresztül épült ki egy szakmai tudás, tapasztalat. Ennek egyik központi eleme: az incidenskezelés.

A felkészítés kulcselemei
A megfelelési folyamat az alábbi főbb lépések mentén halad:
- Elemzés és tervezés: A meglévő rendszerek és szabályozások felmérése, az incidenskezelési folyamatok újragondolása.
- Szabályozás kialakítása: Kézikönyvek, eljárásrendek, szerepkörök definiálása – például felelősök pozíció alapú hozzárendelése.
- Technikai felkészülés: Az alkalmazott rendszerek, eszközök beállítása, az EIR-ek (elektronikus információs rendszerek) optimalizálása.
- Hosszútávú projektek elindítása: Bizonyos fejlesztések akár 1-2 évig is eltarthatnak, pl. IT asset menedzsment, végpontvédelem, logkezelés.
- Belső önellenőrzés és audit: Az önellenőrzés is feltétele a sikeres auditnak, ugyanakkor fontos, hogy értsük mire számíthatunk az audit során.
Melyek a fő technológia hiányosságok?
A felkészítések során számos technológiai megoldás segítheti a szervezeteket. Az alábbiakat azért emeltük ki, mert ezek megvalósításával érhető el a legtöbb előrelépés a NIS2 megfelelésben, mivel számos kontrollt lehet velük teljesíteni. Ugyanakkor egy modern és biztonságos működéshez szintén alapvetőek:
- GRC platformok: Bár papíron minden megoldható Excelben, a szabályozási komplexitás bőven eléri azt a szintet, ahol digitális támogatás nélkül szinte lehetetlen átlátható rendszert fenntartani.
- Log- és incidenskezelő rendszerek: Ezen kontrollok gyakran hiányoznak vagy nem elégségesek – pedig az incidens-bejelentés már 2024 október óta kötelező a NIS2-kötelezettek számára.
- Végpontvédelem: Hiába elterjedt, sok kritikus eszköz még mindig nem rendelkezik naprakész védelemmel, ezért azt a kérdést kell feltenni: mely gépeken nincs és miért?
- Felhasználó-, és jogosultság kezelés: Jogosultságok, hozzáférések, kivételek – az egyik leggyakoribb és mindent „elrontó” hiányosság, ha nincs szabályozott és nyomon követhető, felelősök alapján működő IAM / IDM rendszer. Fordítva is igaz: ha van, szinte minden másban is segít.
Auditálási tapasztalatok: mi várható?
Bár még viszonylag kevés audit zajlott le, néhány tanulság már kirajzolódik. A folyamat mindig az EIR-ek megadása és számtalan kérdés megválaszolása, adatközlés az auditor felé, amelyet azok kiértékelése és személyes interjú/audit követ. Egyes esetekben a rendszerekbe is belenéznek, sőt tesztelést is elvárhatnak. Néhány közös pont:
- A dokumentáció döntő: A szabályozási kontrollok – például IBSZ, eljárásrendek, rendszerbiztonsági terv – megléte és minősége gyakran döntő tényező.
- A kivételek logikus indoklása fontos: Nem minden kontroll kivitelezhető, de ezek alátámasztott dokumentálása sokat számít az értékelésben.
- A működtető kontrollokra fókuszálni kell: Az audit pontozási rendszere előnyben részesíti a működési, operatív kontrollokat.
- Audit módszerek eltérhetnek: Pl. vannak rugalmas auditorok, akik egy esélyes cégnél az auditot néhány hétre félbehagyva időt adnak a hibák javítására míg mások mereven követik a módszertant.
- Az adatok digitális tárolása segíti a gyors reakciót: Egy GRC szoftver itt is versenyelőny – nem csak az auditornak, a cégnek is nagy segítség.

A rendszerbiztonsági terv – az audit kulcsa
Az egyik legfontosabb dokumentum, amelynek hiánya szinte minden szervezetnél felmerült: a rendszerbiztonsági terv. Ez nem csupán egy formai követelmény, hanem oly mértékben technikai dokumentum, amelynek a puszta elkészítése is felszínre hozza a lényeges biztonsági kérdéseket, nem véletlen, hogy ezen auditok múlhatnak.
A szabályozás értelmezésében az auditorok is ezt emelték ki, mint kritikus megfelelési pontot – ebben jelenik meg a „hogyan védekezzünk” szintje is, nem csupán a „mit kell csinálni”.
A digitális megfelelés jövője: AI nélkül nem fog menni
A szabályozások – legyen szó NIS2-ről, AI Act-ről vagy a közelgő Cyber Resilience Act-ről – egyértelmű irányt mutatnak: a digitális megfelelés nemcsak elvárás, hanem túlélési kényszer is. A támadók már ma is AI-t használnak – a védekezés nem lehet papíralapú.
A NIS2 tehát nemcsak megfelelési kényszer, hanem lehetőség is. Ha okosan élünk vele, ez lehet az apropó, amivel végre megvalósulhat a régóta várt információbiztonsági ugrás a hazai szervezeteknél.

Zárógondolat
A magyar piac példaértékű munkát végzett az elmúlt időszakban – a megfelelési folyamatokat, az auditokra való felkészülést és a technológiai fejlesztéseket tekintve. A 2025. június 30-i határidő elmúlt – de a lehetőség még most is van itt: építsünk tartós, digitális és adaptív védelmet!