2026. június 30-ig több ezer magyar vállalatnak kell lefolytatnia első NIS2-auditját. Az elmúlt évben számos ügyfelünket támogattuk a felkészülésben, a kezdeti helyzetfelméréstől a sikeres auditig. A projektek során egyre tisztábban kirajzolódott, hogyan működik a hazai NIS2-rendszer a gyakorlatban, milyen nehézségeket okoz a vállalatoknak, és hol vannak azok a pontok, ahol a megfelelés és a valódi információbiztonság elválik egymástól.

Ambiciózus hazai adaptáció

A NIS2 (Network and Information Security Directive 2) az Európai Unió kiberbiztonsági irányelvének második generációja, amelyet Magyarország a 2024. évi LXIX. törvénnyel – a kibertörvénnyel – az elsők között ültetett át a nemzeti jogba.

A hazai szabályozás már a kezdetektől kiemelt figyelmet kapott, részben a gyors implementáció, részben a szabályozási környezet összetettsége miatt.

Komplex és többrétegű szabályozás

A rendszer négy fő pillérre épül:

• maga a kibertörvény,
• a biztonsági osztályba sorolásról és védelmi intézkedésekről szóló rendelet,
• az auditorokra vonatkozó szabályozás,
• valamint az audit módszertanát, díjazását és a felügyeleti díjfizetést rögzítő rendeletek.

Ezek együtt több száz oldalnyi, technikai és jogi szempontból is nehezen feldolgozható követelményrendszert alkotnak. Már önmagában a szabályok értelmezése is jelentős erőforrást igényelt az érintett vállalatoktól.

Amerikai keretrendszer, hazai környezetben

A hazai implementáció az NIST SP 800-53 rev. 5 kontrollrendszerére épül, amely eredetileg az amerikai szövetségi intézmények és beszállítóik számára készült.

A keretrendszer nemzetközileg ismert és szakmailag erős alapokon nyugszik, ugyanakkor piaci szereplőknél jellemzően önkéntes keretrendszerként jelenik meg. Magyarországon ezzel szemben kötelező jogszabályi követelménnyé vált számos vállalat számára – olyan környezetben is, ahol a működés jelentős része felhőszolgáltatásokra vagy ipari irányítástechnológiára épül.

Magas adminisztrációs költségek

A vállalatok már a felkészülés kezdetén jelentős költségekkel szembesültek. Megjelent a felügyeleti díj, az első audit költsége, valamint sok esetben a külső szakértői támogatás igénye is.

A problémát nem kizárólag ezek összege jelenti, hanem az is, hogy a ráfordítások jelentős része adminisztratív megfelelésre fordítódik, és kevésbé a tényleges technológiai vagy szervezeti biztonsági fejlesztésekre.

Auditoptimalizáció a biztonság helyett

Sok érintett vállalat most találkozott először mélyebb információbiztonsági követelményekkel. A gyakorlatban azonban a fókusz gyakran nem a kockázatok megértésére vagy a védelmi képességek fejlesztésére került, hanem arra, hogyan lehet sikeresen teljesíteni az auditot.

A központi kérdés így nem az lett, hogy „milyen fenyegetések érintenek minket?”, hanem az, hogy „milyen dokumentumokra és evidenciákra lesz szükség az audit során?”. A vállalatok jelentős része ezért nem biztonsági, hanem megfelelési programot kezdett építeni.

Az audit mint központi szervezőelem

A hazai rendszerben az audit szerepe túlmutat az ellenőrzésen: sok esetben maga vált a teljes felkészülési folyamat elsődleges mozgatórugójává.

A vállalatok erőforrásainak jelentős részét lekötötte a szabályozó dokumentumok elkészítése, az evidenciák összegyűjtése és a részletes auditkövetelmények adminisztratív teljesítése. A fókusz így könnyen a megfelelés igazolására helyeződik át a tényleges biztonsági érettség fejlesztése helyett.

EIR matematika

Az auditköltségek számítási logikája tovább erősítette ezt az optimalizációs szemléletet. A szabályozás alapján a vállalatok számára egyértelmű gazdasági ösztönzővé vált az EIR-ek számának minimalizálása.

Ennek eredményeként sok esetben olyan, szakmailag nehezen indokolható rendszerösszevonások jöttek létre, amelyek elsődleges célja nem az átláthatóbb működés vagy a magasabb biztonság, hanem az audit folyamatának egyszerűsítése és költségének csökkentése volt.

A legnagyobb kockázat: a hamis biztonságérzet

A rendszer egyik legnagyobb veszélye, hogy könnyen kialakulhat a megfelelés és a biztonság hamis egyenlősége.

Egy sikeres audit, a megfelelő dokumentáció és az összegyűjtött evidenciák még nem jelentik automatikusan azt, hogy a vállalat valóban ellenállóbbá vált egy kibertámadással szemben. Sok esetben inkább egy jól auditálható működési modell jön létre, amely adminisztratív szempontból megfelel a követelményeknek, de nem feltétlenül növeli arányosan a tényleges védelmi képességeket.

Mit érdemes szem előtt tartani?

1. Vegyék komolyan a dokumentációt – de értsék is meg, miért.

A hazai NIS2-rendszer erősen dokumentációközpontú, ugyanakkor az elvárások nagy része pontosan definiált és előre tervezhető, hiszen a vállalat tisztában van azzal, hogy az auditor milyen dokumentumokat és bizonyítékokat keres, így a felkészülés sokkal kiszámíthatóbbá és hatékonyabbá válik.

2. Húzzák meg pontosan az IT-környezetük határait.

Egyértelműen rögzíteni kell, hogy mely rendszerekért, szolgáltatásokért és működési területekért ki felel – különösen anyavállalati vagy felhőszolgáltatói környezet esetén. A pontos szerepkörök és rendszerhatárok nemcsak az auditot egyszerűsítik, hanem a későbbi biztonsági működés alapját is jelentik.

3. Fogadják el, hogy az audit egy kötelező lépcső – de ne álljanak meg utána.

A sikeres audit önmagában még nem jelent valódi információbiztonsági érettséget, inkább egy fontos megfelelési mérföldkő. A hosszú távú értéket az teremti meg, ha a vállalat az audit során kialakított folyamatokra és kontrollokra később valódi biztonsági fejlesztéseket épít.

***

A NIS2 megfelelés nem kizárólag technológiai vagy jogi kérdés, hanem hosszú távú működési és kockázatkezelési döntés is. Tapasztalataink szerint azok a vállalatok tudnak valódi előnyt kovácsolni a felkészülésből, amelyek az auditot nem végcélnak, hanem egy tudatosabb információbiztonsági működés kiindulópontjának tekintik.

Szakértőink támogatást nyújtanak a NIS2-felkészülés, a dokumentációs és auditkövetelmények értelmezése, valamint a gyakorlati információbiztonsági működés kialakítása területén is.