A Portfolio Uzsoki Mátét, az információbiztonsággal és szoftverfejlesztéssel foglalkozó Serpentarius Software Kft. ügyvezetőjét kérdezte arról, milyen konkrét lépéseket kell megtenni a NIS2-felkészülés során, miért válik kritikus tényezővé az információbiztonság a beszállítói kapcsolatokban, illetve hogyan segíthet ebben az egyedi szoftverfejlesztés, és miként illeszkedik ebbe a folyamatba mesterséges intelligencia.
Milyen konkrét lépéseket tehetnek a cégek a NIS2-követelmények teljesítésére való felkészüléshez?
A felkészülés első lépése annak meghatározása, hogy a vállalat a tevékenysége alapján a NIS2-irányelvet átültető magyar jogszabály hatálya alá tartozik-e, ez az ágazati besorolás (például energia, közlekedés, egészségügy, digitális szolgáltatások) és a vállalat mérete alapján történik. Az érintett cégeknek már be kellett jelentkezniük a megfelelő hatósághoz, a legtöbb vállalat számára ez a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelenti.
Ezt követően egy kockázatalapú információbiztonsági értékelést kell elvégezni, amely feltárja a vállalat sebezhetőségeit, és meghatározza az alkalmazandó technikai és szervezeti intézkedéseket. A megfelelés része egy részletes incidenskezelési terv kidolgozása is, amely lehetővé teszi az események gyors felismerését, kivizsgálását és jelentését.
A magyar jogszabály előírja, hogy az érintett szervezeteknek tanúsítással kell igazolniuk a megfelelést. Ezt a tanúsítást kizárólag az SZTFH által elismert auditor végezheti.
Célszerű már a felkészülés korai szakaszában kiválasztani egy NIS2-felkészítő tanácsadót,
aki előkészíti a szükséges dokumentációt, segít bekérni az árajánlatokat az auditra és koordinálja a teljes folyamatot.
A tanúsítás érvényessége időben korlátozott, az auditot legalább kétévente el kell majd végezni, de a hatóság vagy az auditor rendkívüli auditot is előírhat.
Hogyan érinti a kiberbiztonsági szabályozás azokat a kis- és középvállalkozásokat, amelyek nem tartoznak közvetlenül a NIS2 hatálya alá?
Azok a vállalkozások, amelyek méretük vagy tevékenységi körük alapján nem tartoznak közvetlenül a NIS2-irányelv hatálya alá, jelenleg nem NIS2-kötelezettek, de az SZTFH egyedi döntéssel később is kijelölheti őket. Ugyanakkor a szabályozás közvetett hatásai rájuk is egyre erőteljesebben érvényesülnek, különösen a beszállítói láncokon keresztül. A kötelezett, nagyobb cégek egyre gyakrabban követelnek meg információbiztonsági megfelelést partnereiktől is, akár szerződéses feltételként. Ez különösen releváns lehet IT-szolgáltatók, szoftverfejlesztők, felhőszolgáltatók, üzemeltetők és más technológiai beszállítók esetében.
Számukra a kiberbiztonság már nem csupán szakmai szempont, hanem piaci elvárás és potenciális versenyelőny is. A változó üzleti környezet miatt célszerű, hogy még a nem kötelezett vállalkozások is önkéntesen kialakítsanak egy alapvető kiberbiztonsági kontrollrendszert. Az olyan intézkedések, mint a jogosultságkezelés, az incidenskezelési protokoll, az adatmentés és a munkatársak képzése, nemcsak a vállalat működését teszik biztonságosabbá, hanem javítják annak megítélését a partnerek és ügyfelek szemében is. Különösen igaz ez az exportorientált, versenypiaci környezetben.
Hogyan választhatják ki a cégek a számukra legmegfelelőbb auditort az SZTFH által nyilvántartott cégek közül?
Az SZTFH által elismert auditáló cégek listája nyilvános, de fontos, hogy a kiválasztásnál figyelembe kell vennünk az auditorok és a szervezetünk besorolását, mivel nem ugyanazok a lehetőségeink, ha jelentős vagy magas besorolásunk van.
Lényeges szempont, hogy több ezer cég vár auditra és az auditor cégek száma jelenleg rendkívül korlátozott.
Jelenleg a legalacsonyabb, legtágabb körben végezhető „alap” besorolást mindössze 10 auditor cég jogosult elvégezni. A kiválasztásnál véleményem szerint elsősorban a felkészítő cég javaslatát érdemes figyelembe vennünk, de az audit ára, az auditor elérhetősége és a korábbi esetleges közös munka is fontos döntési paraméter.
Milyen típusú kibertámadásokkal kell szembenézniük jelenleg a magyar vállalatoknak a leggyakrabban, és mennyire vannak felkészülve ezekre a vállalati IT-rendszerek?
A magyar vállalatokat érő kibertámadások egyre célzottabbá és kifinomultabbá válnak. A leggyakoribb fenyegetések közé tartoznak pl. az adathalász (phishing) támadások, azaz személyre szabott, gyakran hitelesnek tűnő e-maileken keresztül próbálnak hozzáférni érzékeny adatokhoz vagy bejelentkezési információkhoz. Zsarolóprogramok (ransomware) esetében a támadók titkosítják a vállalat adatait, majd díjat követelnek azok feloldásáért. A támadó ilyenkor gyakran azzal fenyegetőzik, hogy nyilvánosságra hozza az adatokat. Szintén nagyon gyakori a pszichológiai manipuláció (social engineering). Ez azt jelenti, hogy a támadók a hozzáféréssel rendelkező kollégákat vagy más felhasználókat próbálják pszichológiai eszközökkel arra rávenni, hogy hibás döntéseket hozzanak, tévesen pénzt utaljanak a támadónak, vagy hozzáférési adatokat adjanak ki. Gyakori eszköz a sürgetés, bizalomépítés vagy félrevezetés.
Szintén fontos, hogy a NIS2 nem kizárólag kibertámadásokkal foglalkozik, hanem azzal is, hogy mennyire szakszerű a vállalati IT-rendszerek kialakítása és üzemeltetése. Ez valójában abszolút a tulajdonost, a vezetőket védi és az az elsődleges célja, hogy megmutassa, ha olyan hiányosság van, ami a vállalat működésében fennakadást és ezáltal anyagi veszteséget okozhat. Annak érdekében, hogy konkrét példát mondjak: ha elromlik egy szerver, és ezért bármilyen fontos adatot elveszítünk, akkor ott valami nincs rendben. Ugyanez igaz arra, amikor a weboldalunk, levelezésünk vagy az ügyviteli rendszer napokig áll. Ezeknek minden esetben egy olyan hiányosság az oka, amit előre kezelnie kellett volna az IT-rendszereket üzemeltető kollégáknak. Ha ezeket a hiányosságokat a NIS2-felkészítő cég megtalálja és az IT-szolgáltató megoldja őket, akkor nemcsak az auditon fogunk jobb eredményt elérni, hanem a vállalatunk is megbízhatóbban fog működni.
Mit jelent pontosan a pszichológiai manipuláció ebben az esetben, és mennyire a védekezés része a dolgozók felkészítése?
A társadalmi manipuláció nem korlátozódik kizárólag elektronikus csatornákra. Gyakori módszer a fizikai hozzáférés jogosulatlan megszerzésének kísérlete is, például biztonsági ellenőrzésnek álcázott látogatással vagy egy alvállalkozó nevében történő belépéssel. Ezek során a támadók célja lehet belső rendszerekhez való fizikai hozzáférés, adathordozók eltulajdonítása vagy éppen megfigyelő eszközök elhelyezése.
Hasonlóan veszélyesek a telefonos manipulációs technikák, amelyek során a támadók magukat rendszeradminisztrátornak, ügyfélszolgálati munkatársnak vagy éppen partnercég képviselőjének adják ki, és így próbálnak érzékeny információkat kicsalni. Az ilyen támadások elleni védekezés nemcsak technikai kérdés, hanem a dolgozók tudatosságán is múlik, aminek fejlesztéséhez rendszeres oktatás szükséges.
Hogyan érinti a NIS2 azokat a cégeket, amelyek már korábban is rendelkeztek fejlett kiberbiztonsági rendszerekkel?
Azok a cégek, amelyek korábban is rendelkeztek tanúsított információbiztonsági irányítási rendszerrel – például ISO/IEC 27001 szabvány alapján –, jellemzően kedvezőbb helyzetből indulnak a NIS2-nek való megfelelés szempontjából. Ugyanakkor a meglévő rendszereket is át kell világítani. Meg kell vizsgálni, hogy a korábbi gyakorlatok összhangban vannak-e a NIS2-ben előírt követelményekkel. Fontos, hogy az intézkedések dokumentáltak, naprakészek és rendszeresen felülvizsgáltak legyenek. Kiemelt figyelmet kell fordítani az incidensjelentés, a beszállítói kockázatkezelés, a szervezeti felelősségi körök és a tanúsítási követelmények beépítésére is.
A NIS2 sajátossága, hogy nemcsak technikai, hanem szervezeti, irányítási és jogi szempontból is átfogó megfelelést vár el, így azoknak a cégeknek is további fejlesztésekre lehet szükségük, akik egyébként érett kiberbiztonsági kultúrával rendelkeznek.
Milyen szerepet játszanak a beszállítók és partnerek kiberbiztonsági intézkedései egy vállalat saját védelmi stratégiájában?
A beszállítói lánc biztonsága és közvetett érintettség kérdése pontos és fontos elem, amit sok vállalat alulértékel. A NIS2 egyik fontos újítása, hogy a vállalatoknak felelősséget kell vállalniuk a beszállítói láncuk informatikai biztonságáért is. Ez azt jelenti, hogy a szerződésekben egyre gyakrabban szerepelnek kiberbiztonsági követelmények, auditálási lehetőségek és felelősségi nyilatkozatok.
A partnerkiválasztás során a biztonsági érettség is szempont, nemcsak az ár vagy a teljesítmény.
Az olyan partnerek esetében, akik hozzáférnek a vállalat rendszereihez vagy adataihoz, különösen szigorú kontroll szükséges. Célszerű bevezetni egy beszállítói kockázatértékelési rendszert, amely folyamatosan értékeli a partnerek kiberbiztonsági megbízhatóságát.
Ez a szemlélet nemcsak a szabályozási megfelelés miatt fontos, hanem a valós kockázatok kezelése és a reputáció védelme szempontjából is elengedhetetlen.
Milyen felelősséget viselnek a vállalat vezetői a NIS2-megfelelés során, és mit jelent ez a gyakorlatban?
A NIS2-irányelv a vezetői szintű felelősséget nemcsak elvárásként, hanem konkrét jogi kötelezettségként is nevesíti. Ez azt jelenti, hogy a vállalat legfelsőbb vezetése – jellemzően az ügyvezetés, az igazgatóság vagy a cégvezetés – köteles biztosítani, hogy a szervezet teljesítse az információbiztonsági előírásokat. A megfelelés nem delegálható kizárólag az IT-re vagy egy kijelölt szakértőre: a vezetőknek aktívan részt kell venniük a kockázatok értékelésében, az intézkedések jóváhagyásában és az erőforrások biztosításában.
Milyen tipikus hibákat követnek el a cégek a NIS2-felkészülés elején? Mire érdemes különösen figyelni?
A NIS2-felkészülés elején a cégek gyakran abba a hibába esnek, hogy kizárólag IT-projektként kezelik a megfelelést, miközben az irányelv valójában szervezeti szintű átalakulást kíván: vezetői elkötelezettséget, beszállítói lánc kontrollt, incidenskezelési képességet és dokumentált folyamatokat. Tipikus tévedés az is, hogy a cégek nem tudják pontosan, hogy érintettek-e, vagy későn kezdik el a felkészülést, így nem marad idejük a szükséges intézkedések bevezetésére, pláne azok bejáratására. Sokszor hiányzik a kockázatalapú szemlélet, a partneri kitettség vizsgálata, és nem ritka, hogy az incidenskezelés csak papíron létezik, a gyakorlatban viszont nincsenek begyakorolt forgatókönyvek.
A legnagyobb hiba mégis az, ha a vállalat nem integrálja a megfelelést a működésébe, hanem pusztán megfelelési „pipa-projektként” tekint rá.
A legfontosabb, hogy a felkészülést ne kampányként, hanem rendszerszintű átalakulásként kezeljük. Minél előbb tisztázza a cég az érintettségét, jelölje ki a felelősöket, térképezze fel a kockázatait, és alakítsa ki a folyamatait, és annál gördülékenyebb lesz a tanúsítás és annál valóságosabb a biztonság.
Érinti a NIS2-irányelv a felhőalapú szolgáltatások és külső IT-üzemeltetők alkalmazását is?
A NIS2 kifejezetten kiterjeszti a felelősséget a külső szolgáltatók – köztük a felhőalapú megoldások és menedzselt IT-szolgáltatók – irányába is. Ez azt jelenti, hogy a szervezet nem háríthatja át a kockázatokat pusztán azzal, hogy kiszervezi az infrastruktúráját vagy az üzemeltetést: a végső felelősség a szolgáltatást igénybe vevő szervezetet terheli. A gyakorlatban ez azt kívánja meg, hogy a felhőszolgáltatóval és egyéb külső IT-partnerrel kötött szerződésekben egyértelműen rögzítve legyenek a biztonsági elvárások, az auditálási jogok, az incidensjelentési kötelezettségek és a szolgáltatásbiztonság minimális szintje. Emellett a kiszervezett szolgáltatások biztonságát is értékelni kell a kockázatelemzés során, különösen akkor, ha ezek rendszerei vagy emberei hozzáférnek az ügyfél szenzitív adataihoz vagy kritikus rendszereihez.
A felhőmodelleknél (IaaS, PaaS, SaaS) külön figyelmet érdemel a megosztott felelősség elve: fontos, hogy a vállalat tisztában legyen azzal, milyen biztonsági rétegekért felel maga, és mit várhat el a szolgáltatótól. A NIS2 szigorúbb kontrollt követel meg a külső szolgáltatók irányába – a szerződéskötéstől a működésen át az incidensek kezeléséig.
Hogyan kommunikálhatják hatékonyan a cégek ügyfeleik felé, hogy megfelelnek az új kiberbiztonsági előírásoknak?
A kiberbiztonsági megfelelés ma már nemcsak belső kontroll, hanem PR-értékkel bíró versenyelőny is lehet, de a kommunikáció csak akkor hiteles, ha valós és rendszeresen ellenőrzött megfelelésen alapul. A kommunikáció nem helyettesíti a valódi megfelelést.
A valódi teljesítmény hatékony kommunikációja több módon történhet. Például tanúsítványok közzétételével, azaz a cég honlapján, ajánlatokban vagy üzleti dokumentumokban jelezhető, hogy a szervezet tanúsított. Adatvédelmi és IT-biztonsági nyilatkozatok frissítésével is, azaz ezekben részletezhető, hogy milyen intézkedések történtek a megfelelés érdekében.
Hogyan illeszthető be a NIS2 követelményrendszere egy már meglévő ISO-alapú compliance- rendszerbe?
A NIS2-követelmények hatékonyan integrálhatók egy már működő, ISO/IEC 27001 szabvány szerint kialakított információbiztonsági irányítási rendszerbe tekintve, hogy a két keretrendszer filozófiája és alapelvei jelentős átfedést mutatnak. A NIS2 – akárcsak az ISO 27001 – kockázatalapú megközelítést alkalmaz, hangsúlyozza a folyamatos fejlesztést, a vezetői elkötelezettséget, valamint a dokumentált és ellenőrizhető biztonsági intézkedések szükségességét. Ezért a megfelelés alapja jellemzően nem újrakezdés, hanem célzott bővítés és finomhangolás. A megfeleltetés első lépése egy alapos „gap analysis”, azaz megfelelési résvizsgálat, amely feltárja, hogy az adott szervezet meglévő ISO-rendszere milyen mértékben fedi le a NIS2 által előírt követelményeket, és hol szükséges kiegészítés. A leggyakoribb hiányosságok abból adódnak, hogy a NIS2 konkrét intézkedéseket ír elő, míg az ISO/IEC 27001 sokkal rugalmasabb, a vállalatra szabható rendszer.
A meglévő ISO 27001 alapú rendszerbe ezeket a NIS2 által megkövetelt elemeket úgy érdemes beilleszteni, hogy azok szervesen illeszkedjenek az irányítási struktúrába, ne párhuzamos, redundáns folyamatokat eredményezzenek. Például az incidenskezelési eljárásokat kiegészíthetjük a hatósági jelentési kötelezettségre vonatkozó specifikus lépésekkel; a beszállítókezelési szabályzatba beépíthetjük a biztonsági elvárásokra és auditálási jogokra vonatkozó klauzulákat; a rendszeres belső auditot pedig ki lehet terjeszteni a NIS2 által kiemelt kockázati pontokra is.
A szolgáltatók egyre gyakrabban kínálnak testreszabott informatikai megoldásokat: ezek segíthetnek a cégeknek a követelmények teljesítésében?
A NIS2-megfelelés és NIS2-felkészítés technológiai vonatkozásai gyakran túlmutatnak a szabályozási és szervezeti szinten különösen azoknál a vállalatoknál, amelyek egyedi fejlesztésű alkalmazásokat, belső rendszereket vagy integrált megoldásokat használnak. A mi csapatunk például nemcsak szabályozási, hanem szoftvermérnöki tapasztalattal is rendelkezik, egyedi szoftverfejlesztéssel is foglalkozunk, képesek vagyunk a kiberbiztonsági követelményeket közvetlenül beépíteni az ügyfeleink által használt rendszerekbe 20 éves tapasztalattal. Legyen szó naplózási funkciók fejlesztéséről, incidensérzékelési logikák implementálásáról, hozzáférés-kezelési modulok finomhangolásáról vagy szabályozásnak megfelelő riportálási funkciók kialakításáról, egyedi fejlesztéseink segítenek abban, hogy az információbiztonság ne csak dokumentumban, hanem a rendszer szintjén is megvalósuljon.
Hogyan érinti a mesterséges intelligencia népszerűsödése a követelményrendszert és az információbiztonság kérdéskörét?
A mesterséges intelligencia megjelenése új szintre emeli az információbiztonság kihívásait. Bár a NIS2 nem nevesíti az MI-t, a kockázatalapú megközelítés, az incidensjelentés és az ellátási lánc biztonsága már most kiterjed rá is.
Különösen kritikus kérdés a generatív MI, például a nagy nyelvi modellek (LLM-ek) vállalati használata. Egyre több szervezetnél fordul elő, hogy a munkavállalók érzékeny vagy üzleti titoknak minősülő adatokat visznek be nyilvános MI-szolgáltatásokba. Ez azonban komoly kockázat: ezek az adatok adott esetben nemcsak kiszivároghatnak, hanem az MI-rendszerek tanulási folyamatai révén később akár más felhasználók számára is elérhetővé válhatnak.
A szabályozási térkép is bővül: az EU nemrégiben ISO/IEC 42001 szabványként ismerte el a mesterséges intelligencia menedzsmentrendszerére vonatkozó új nemzetközi szabályozást. Ez az ISO 27001-hez hasonlóan keretet ad az MI használatának átlátható, biztonságos és felelősségteljes működtetésére, kiegészítve a NIS2 által előírt kockázatalapú megközelítést és kontrollkötelezettséget.
A Serpentarius-nál ezekre a kihívásokra privát MI-szerverek bérbeadásával válaszolunk. Ennek lényege, hogy ügyfeleink zárt, ellenőrzött környezetben, saját adatvédelmi szabályaik mentén használhatják a mesterséges intelligenciát. Emellett megkezdtük az ISO/IEC 42001-nek megfelelő MI-kompetenciák kiépítését is. Célunk, hogy ügyfeleink számára a mesterséges intelligencia nyújtotta lehetőségeket a legmagasabb szintű adatbiztonság mellett tegyük elérhetővé – akár meglévő ügyviteli rendszereikbe integrálva, akár önálló megoldásként.
A cikk megjelenését a Serpentarius Software Kft. támogatta.
Címlapkép forrása: Portfolio
Éledezni kezdett egy több százezer éve szunnyadó vulkán: kitörés küszöbén állhat
Vizsgálatot sürgetnek a tudósok.
Lépett Kanada Trump hirtelen döntését követően: engednek az elnök akaratának
Készek folytatni a tárgyalásokat.
Kiadta a parancsot az Egyesült Államok: útnak indul a világ legnagyobb hadihajója
Egyre nő az amerikai katonai jelenlét egy térségben.
Dróntámadás érte az egyik legnagyobb orosz olajfinomítót: leállították az egyik egységet
Akadozik az üzemanyagellátás a régióban.
Itt a térkép: hat új helyen létesít a Tesla töltőállomást Magyarországon
Tovább bővül a Superchargerek listája.
Záporoztak az orosz rakéták Herszonban: legalább két civil meghalt
Lakóövezeteket is találat ért a támadás során.
Fontos bejelentést tett az IBM: nagyot ugrott az AMD árfolyama
Nagy lépés a működő kvantumszámítógépek felé.
Figyelem: az elemzők szerint nagyot ralizhat ez a két részvény!
Újra van bennük fantázia.
KIVA 2025 - Mi változott?
A többi adónemhez hasonlóan a kisvállalati adó (KIVA) szabályok is változtak az elmúlt évek során. A KIVA mértéke 2025-ben is 10 százalék, de van egy fontos KIVA-változás is, amit a 2025 ta
Ezüstpénz rézből? - Római sztori a fiat valutákkal
Aurelianus császár nem értette jól a fiat valuták rendszerét: növelni akarta a pénz vásárlóerejét, ehelyett hiperinflációt okozott. Tanulságos közgazdasági sztori a Krisztus utáni III. sz
Falatnyi területről jön a globális GDP fele
Itt van ez a térkép, ami első ránézésre talán túlzó állításnak tűnik: a világ GDP-jének fele mindössze a Föld felszínének 3,6 százalékán termelődik. A pontos... The post Falatnyi ter
Személyes pénzügyek válságos helyzetben
A jelenlegi gazdasági berendezkedés gyakran kerül komolyabb válságba, amit az emberek is megéreznek. Ez nem újdonság, a világtörténelemben sokszor volt olyan körülmény, ami nehezebbé tette a
A vizes élőhelyek pusztulása több billió dolláros kárt okozhat
A halászatot, mezőgazdaságot és árvízvédelmet támogató vizes élőhelyek pusztulása súlyos gazdasági károkat okozhat világszerte, derül ki a Vizes élőhelyek egyezmén
Belefulladunk az ingyen puncsos tálba, pedig egyszer le kell jönni róla
Rossz ómen a pénzügyeidre nézve, ha pénzügyminisztered szemében könnyek gyűlnek. Nagyon nehéz ugyanis leszokni a költségvetési alkoholizmusról: kényelmetlen és politikailag öngyilkosság i
Az Otthon Start mellett a CSOK Plusz feltételeibe is belenyúlna a kormány
Egy éjszaka társadalmi egyeztetésre bocsátott jogszabálytervezet alapján a CSOK Plusz két fontos részletébe is belenyúlna a kormány. Nem kell megijedni a változás inkább kedvező a támogatá
Lesotho - az afrikai ország, amely elesett a vámháborúban
Lesotho súlyos gazdasági és humanitárius válságba került az aszály és a textilipar visszaesése miatt.
Tűzeset Százhalombattán: mit fogunk ebből érezni?
A Mol dolgozik a kapacitások helyreállításán.
Nem az a kérdés, hogy lufi-e az AI-boom, hanem, hogy mikor lesz vége
Milyen jövő vár a mesterséges intelligenciára?
Budapestre jön Trump és Putyin: ennél nagyobb realitása még nem volt a békének
Bár maradtak még kérdőjelek.
Kisokos a befektetés alapjairól, tippek, trükkök a tőzsdézéshez
Előadásunkat friss tőzsdézőknek ajánljuk, összeszedünk, minden fontos információt arról, hogy hogyan működik a tőzsde, mik a tőzsde alapjai, hogyan válaszd ki a számodra legjobb befektetési formát.
Tőzsde kezdőknek: Hogyan ne égesd el a pénzed egy hét alatt!
A tőzsde világában a lelkesedés könnyen drága hibákhoz vezethet – előadásunk abban segít, hogy kezdőként is megértsd a legfontosabb alapelveket, felismerd a kockázatokat, és elkerüld, hogy egy hét alatt elolvadjon a megtakarításod
