A magyar cégeket is érinti az EU új irányelve: így lehet felkészülni a NIS2-re
Üzlet

A magyar cégeket is érinti az EU új irányelve: így lehet felkészülni a NIS2-re

Portfolio
A NIS2-irányelv egységes jogi keretet hoz létre annak érdekében, hogy az EU-ban 18 kritikus ágazatban – például energia, közlekedés, egészségügy, pénzügyek, vízgazdálkodás és digitális infrastruktúra – fenntartsa a kiberbiztonságot. Az irányelv hazai hatályba lépése jelentősen átalakítja a kiberbiztonsági követelményeket nemcsak a nagyvállalatok, hanem a kkv-k számára is. A megfelelés nem csupán jogi feladat: szervezeti szemléletváltásra, technológiai fejlesztésekre és a beszállítói láncok átgondolására van szükség. A felkészületlenség pedig a profit rovására mehet. 

A Portfolio Uzsoki Mátét, az információbiztonsággal és szoftverfejlesztéssel foglalkozó Serpentarius Software Kft. ügyvezetőjét kérdezte arról, milyen konkrét lépéseket kell megtenni a NIS2-felkészülés során, miért válik kritikus tényezővé az információbiztonság a beszállítói kapcsolatokban, illetve hogyan segíthet ebben az egyedi szoftverfejlesztés, és miként illeszkedik ebbe a folyamatba mesterséges intelligencia.

Milyen konkrét lépéseket tehetnek a cégek a NIS2-követelmények teljesítésére való felkészüléshez?

A felkészülés első lépése annak meghatározása, hogy a vállalat a tevékenysége alapján a NIS2-irányelvet átültető magyar jogszabály hatálya alá tartozik-e, ez az ágazati besorolás (például energia, közlekedés, egészségügy, digitális szolgáltatások) és a vállalat mérete alapján történik. Az érintett cégeknek már be kellett jelentkezniük a megfelelő hatósághoz, a legtöbb vállalat számára ez a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelenti.

Ezt követően egy kockázatalapú információbiztonsági értékelést kell elvégezni, amely feltárja a vállalat sebezhetőségeit, és meghatározza az alkalmazandó technikai és szervezeti intézkedéseket. A megfelelés része egy részletes incidenskezelési terv kidolgozása is, amely lehetővé teszi az események gyors felismerését, kivizsgálását és jelentését.

A magyar jogszabály előírja, hogy az érintett szervezeteknek tanúsítással kell igazolniuk a megfelelést. Ezt a tanúsítást kizárólag az SZTFH által elismert auditor végezheti.

Célszerű már a felkészülés korai szakaszában kiválasztani egy NIS2-felkészítő tanácsadót,

aki előkészíti a szükséges dokumentációt, segít bekérni az árajánlatokat az auditra és koordinálja a teljes folyamatot.

A tanúsítás érvényessége időben korlátozott, az auditot legalább kétévente el kell majd végezni, de a hatóság vagy az auditor rendkívüli auditot is előírhat.

Hogyan érinti a kiberbiztonsági szabályozás azokat a kis- és középvállalkozásokat, amelyek nem tartoznak közvetlenül a NIS2 hatálya alá?

Azok a vállalkozások, amelyek méretük vagy tevékenységi körük alapján nem tartoznak közvetlenül a NIS2-irányelv hatálya alá, jelenleg nem NIS2-kötelezettek, de az SZTFH egyedi döntéssel később is kijelölheti őket. Ugyanakkor a szabályozás közvetett hatásai rájuk is egyre erőteljesebben érvényesülnek, különösen a beszállítói láncokon keresztül. A kötelezett, nagyobb cégek egyre gyakrabban követelnek meg információbiztonsági megfelelést partnereiktől is, akár szerződéses feltételként. Ez különösen releváns lehet IT-szolgáltatók, szoftverfejlesztők, felhőszolgáltatók, üzemeltetők és más technológiai beszállítók esetében.

uzsoki mate
Uzsoki Máté Fotó: Portfolio

Számukra a kiberbiztonság már nem csupán szakmai szempont, hanem piaci elvárás és potenciális versenyelőny is. A változó üzleti környezet miatt célszerű, hogy még a nem kötelezett vállalkozások is önkéntesen kialakítsanak egy alapvető kiberbiztonsági kontrollrendszert. Az olyan intézkedések, mint a jogosultságkezelés, az incidenskezelési protokoll, az adatmentés és a munkatársak képzése, nemcsak a vállalat működését teszik biztonságosabbá, hanem javítják annak megítélését a partnerek és ügyfelek szemében is. Különösen igaz ez az exportorientált, versenypiaci környezetben.

Hogyan választhatják ki a cégek a számukra legmegfelelőbb auditort az SZTFH által nyilvántartott cégek közül?

Az SZTFH által elismert auditáló cégek listája nyilvános, de fontos, hogy a kiválasztásnál figyelembe kell vennünk az auditorok és a szervezetünk besorolását, mivel nem ugyanazok a lehetőségeink, ha jelentős vagy magas besorolásunk van.

Lényeges szempont, hogy több ezer cég vár auditra és az auditor cégek száma jelenleg rendkívül korlátozott.

Jelenleg a legalacsonyabb, legtágabb körben végezhető „alap” besorolást mindössze 10 auditor cég jogosult elvégezni. A kiválasztásnál véleményem szerint elsősorban a felkészítő cég javaslatát érdemes figyelembe vennünk, de az audit ára, az auditor elérhetősége és a korábbi esetleges közös munka is fontos döntési paraméter.

Milyen típusú kibertámadásokkal kell szembenézniük jelenleg a magyar vállalatoknak a leggyakrabban, és mennyire vannak felkészülve ezekre a vállalati IT-rendszerek?

A magyar vállalatokat érő kibertámadások egyre célzottabbá és kifinomultabbá válnak. A leggyakoribb fenyegetések közé tartoznak pl. az adathalász (phishing) támadások, azaz személyre szabott, gyakran hitelesnek tűnő e-maileken keresztül próbálnak hozzáférni érzékeny adatokhoz vagy bejelentkezési információkhoz. Zsarolóprogramok (ransomware) esetében a támadók titkosítják a vállalat adatait, majd díjat követelnek azok feloldásáért. A támadó ilyenkor gyakran azzal fenyegetőzik, hogy nyilvánosságra hozza az adatokat. Szintén nagyon gyakori a pszichológiai manipuláció (social engineering). Ez azt jelenti, hogy a támadók a hozzáféréssel rendelkező kollégákat vagy más felhasználókat próbálják pszichológiai eszközökkel arra rávenni, hogy hibás döntéseket hozzanak, tévesen pénzt utaljanak a támadónak, vagy hozzáférési adatokat adjanak ki. Gyakori eszköz a sürgetés, bizalomépítés vagy félrevezetés.

Szintén fontos, hogy a NIS2 nem kizárólag kibertámadásokkal foglalkozik, hanem azzal is, hogy mennyire szakszerű a vállalati IT-rendszerek kialakítása és üzemeltetése. Ez valójában abszolút a tulajdonost, a vezetőket védi és az az elsődleges célja, hogy megmutassa, ha olyan hiányosság van, ami a vállalat működésében fennakadást és ezáltal anyagi veszteséget okozhat. Annak érdekében, hogy konkrét példát mondjak: ha elromlik egy szerver, és ezért bármilyen fontos adatot elveszítünk, akkor ott valami nincs rendben. Ugyanez igaz arra, amikor a weboldalunk, levelezésünk vagy az ügyviteli rendszer napokig áll. Ezeknek minden esetben egy olyan hiányosság az oka, amit előre kezelnie kellett volna az IT-rendszereket üzemeltető kollégáknak. Ha ezeket a hiányosságokat a NIS2-felkészítő cég megtalálja és az IT-szolgáltató megoldja őket, akkor nemcsak az auditon fogunk jobb eredményt elérni, hanem a vállalatunk is megbízhatóbban fog működni.  

Mit jelent pontosan a pszichológiai manipuláció ebben az esetben, és mennyire a védekezés része a dolgozók felkészítése?

A társadalmi manipuláció nem korlátozódik kizárólag elektronikus csatornákra. Gyakori módszer a fizikai hozzáférés jogosulatlan megszerzésének kísérlete is, például biztonsági ellenőrzésnek álcázott látogatással vagy egy alvállalkozó nevében történő belépéssel. Ezek során a támadók célja lehet belső rendszerekhez való fizikai hozzáférés, adathordozók eltulajdonítása vagy éppen megfigyelő eszközök elhelyezése.

Hasonlóan veszélyesek a telefonos manipulációs technikák, amelyek során a támadók magukat rendszeradminisztrátornak, ügyfélszolgálati munkatársnak vagy éppen partnercég képviselőjének adják ki, és így próbálnak érzékeny információkat kicsalni. Az ilyen támadások elleni védekezés nemcsak technikai kérdés, hanem a dolgozók tudatosságán is múlik, aminek fejlesztéséhez rendszeres oktatás szükséges.

Hogyan érinti a NIS2 azokat a cégeket, amelyek már korábban is rendelkeztek fejlett kiberbiztonsági rendszerekkel?

Azok a cégek, amelyek korábban is rendelkeztek tanúsított információbiztonsági irányítási rendszerrel – például ISO/IEC 27001 szabvány alapján –, jellemzően kedvezőbb helyzetből indulnak a NIS2-nek való megfelelés szempontjából. Ugyanakkor a meglévő rendszereket is át kell világítani. Meg kell vizsgálni, hogy a korábbi gyakorlatok összhangban vannak-e a NIS2-ben előírt követelményekkel. Fontos, hogy az intézkedések dokumentáltak, naprakészek és rendszeresen felülvizsgáltak legyenek. Kiemelt figyelmet kell fordítani az incidensjelentés, a beszállítói kockázatkezelés, a szervezeti felelősségi körök és a tanúsítási követelmények beépítésére is.

uzsoki mate

A NIS2 sajátossága, hogy nemcsak technikai, hanem szervezeti, irányítási és jogi szempontból is átfogó megfelelést vár el, így azoknak a cégeknek is további fejlesztésekre lehet szükségük, akik egyébként érett kiberbiztonsági kultúrával rendelkeznek.

Milyen szerepet játszanak a beszállítók és partnerek kiberbiztonsági intézkedései egy vállalat saját védelmi stratégiájában?

A beszállítói lánc biztonsága és közvetett érintettség kérdése pontos és fontos elem, amit sok vállalat alulértékel. A NIS2 egyik fontos újítása, hogy a vállalatoknak felelősséget kell vállalniuk a beszállítói láncuk informatikai biztonságáért is. Ez azt jelenti, hogy a szerződésekben egyre gyakrabban szerepelnek kiberbiztonsági követelmények, auditálási lehetőségek és felelősségi nyilatkozatok.

A partnerkiválasztás során a biztonsági érettség is szempont, nemcsak az ár vagy a teljesítmény.

Az olyan partnerek esetében, akik hozzáférnek a vállalat rendszereihez vagy adataihoz, különösen szigorú kontroll szükséges. Célszerű bevezetni egy beszállítói kockázatértékelési rendszert, amely folyamatosan értékeli a partnerek kiberbiztonsági megbízhatóságát.

Ez a szemlélet nemcsak a szabályozási megfelelés miatt fontos, hanem a valós kockázatok kezelése és a reputáció védelme szempontjából is elengedhetetlen.

Milyen felelősséget viselnek a vállalat vezetői a NIS2-megfelelés során, és mit jelent ez a gyakorlatban?

A NIS2-irányelv a vezetői szintű felelősséget nemcsak elvárásként, hanem konkrét jogi kötelezettségként is nevesíti. Ez azt jelenti, hogy a vállalat legfelsőbb vezetése – jellemzően az ügyvezetés, az igazgatóság vagy a cégvezetés – köteles biztosítani, hogy a szervezet teljesítse az információbiztonsági előírásokat. A megfelelés nem delegálható kizárólag az IT-re vagy egy kijelölt szakértőre: a vezetőknek aktívan részt kell venniük a kockázatok értékelésében, az intézkedések jóváhagyásában és az erőforrások biztosításában.

Milyen tipikus hibákat követnek el a cégek a NIS2-felkészülés elején? Mire érdemes különösen figyelni?

A NIS2-felkészülés elején a cégek gyakran abba a hibába esnek, hogy kizárólag IT-projektként kezelik a megfelelést, miközben az irányelv valójában szervezeti szintű átalakulást kíván: vezetői elkötelezettséget, beszállítói lánc kontrollt, incidenskezelési képességet és dokumentált folyamatokat. Tipikus tévedés az is, hogy a cégek nem tudják pontosan, hogy érintettek-e, vagy későn kezdik el a felkészülést, így nem marad idejük a szükséges intézkedések bevezetésére, pláne azok bejáratására. Sokszor hiányzik a kockázatalapú szemlélet, a partneri kitettség vizsgálata, és nem ritka, hogy az incidenskezelés csak papíron létezik, a gyakorlatban viszont nincsenek begyakorolt forgatókönyvek.

A legnagyobb hiba mégis az, ha a vállalat nem integrálja a megfelelést a működésébe, hanem pusztán megfelelési „pipa-projektként” tekint rá.

A legfontosabb, hogy a felkészülést ne kampányként, hanem rendszerszintű átalakulásként kezeljük. Minél előbb tisztázza a cég az érintettségét, jelölje ki a felelősöket, térképezze fel a kockázatait, és alakítsa ki a folyamatait, és annál gördülékenyebb lesz a tanúsítás és annál valóságosabb a biztonság.

Érinti a NIS2-irányelv a felhőalapú szolgáltatások és külső IT-üzemeltetők alkalmazását is?

A NIS2 kifejezetten kiterjeszti a felelősséget a külső szolgáltatók – köztük a felhőalapú megoldások és menedzselt IT-szolgáltatók – irányába is. Ez azt jelenti, hogy a szervezet nem háríthatja át a kockázatokat pusztán azzal, hogy kiszervezi az infrastruktúráját vagy az üzemeltetést: a végső felelősség a szolgáltatást igénybe vevő szervezetet terheli. A gyakorlatban ez azt kívánja meg, hogy a felhőszolgáltatóval és egyéb külső IT-partnerrel kötött szerződésekben egyértelműen rögzítve legyenek a biztonsági elvárások, az auditálási jogok, az incidensjelentési kötelezettségek és a szolgáltatásbiztonság minimális szintje. Emellett a kiszervezett szolgáltatások biztonságát is értékelni kell a kockázatelemzés során, különösen akkor, ha ezek rendszerei vagy emberei hozzáférnek az ügyfél szenzitív adataihoz vagy kritikus rendszereihez.

A felhőmodelleknél (IaaS, PaaS, SaaS) külön figyelmet érdemel a megosztott felelősség elve: fontos, hogy a vállalat tisztában legyen azzal, milyen biztonsági rétegekért felel maga, és mit várhat el a szolgáltatótól. A NIS2 szigorúbb kontrollt követel meg a külső szolgáltatók irányába – a szerződéskötéstől a működésen át az incidensek kezeléséig.

Hogyan kommunikálhatják hatékonyan a cégek ügyfeleik felé, hogy megfelelnek az új kiberbiztonsági előírásoknak?

A kiberbiztonsági megfelelés ma már nemcsak belső kontroll, hanem PR-értékkel bíró versenyelőny is lehet, de a kommunikáció csak akkor hiteles, ha valós és rendszeresen ellenőrzött megfelelésen alapul. A kommunikáció nem helyettesíti a valódi megfelelést.

A valódi teljesítmény hatékony kommunikációja több módon történhet. Például tanúsítványok közzétételével, azaz a cég honlapján, ajánlatokban vagy üzleti dokumentumokban jelezhető, hogy a szervezet tanúsított. Adatvédelmi és IT-biztonsági nyilatkozatok frissítésével is, azaz ezekben részletezhető, hogy milyen intézkedések történtek a megfelelés érdekében.

Hogyan illeszthető be a NIS2 követelményrendszere egy már meglévő ISO-alapú compliance- rendszerbe?

A NIS2-követelmények hatékonyan integrálhatók egy már működő, ISO/IEC 27001 szabvány szerint kialakított információbiztonsági irányítási rendszerbe tekintve, hogy a két keretrendszer filozófiája és alapelvei jelentős átfedést mutatnak. A NIS2 – akárcsak az ISO 27001 – kockázatalapú megközelítést alkalmaz, hangsúlyozza a folyamatos fejlesztést, a vezetői elkötelezettséget, valamint a dokumentált és ellenőrizhető biztonsági intézkedések szükségességét. Ezért a megfelelés alapja jellemzően nem újrakezdés, hanem célzott bővítés és finomhangolás. A megfeleltetés első lépése egy alapos „gap analysis”, azaz megfelelési résvizsgálat, amely feltárja, hogy az adott szervezet meglévő ISO-rendszere milyen mértékben fedi le a NIS2 által előírt követelményeket, és hol szükséges kiegészítés. A leggyakoribb hiányosságok abból adódnak, hogy a NIS2 konkrét intézkedéseket ír elő, míg az ISO/IEC 27001 sokkal rugalmasabb, a vállalatra szabható rendszer.

A meglévő ISO 27001 alapú rendszerbe ezeket a NIS2 által megkövetelt elemeket úgy érdemes beilleszteni, hogy azok szervesen illeszkedjenek az irányítási struktúrába, ne párhuzamos, redundáns folyamatokat eredményezzenek. Például az incidenskezelési eljárásokat kiegészíthetjük a hatósági jelentési kötelezettségre vonatkozó specifikus lépésekkel; a beszállítókezelési szabályzatba beépíthetjük a biztonsági elvárásokra és auditálási jogokra vonatkozó klauzulákat; a rendszeres belső auditot pedig ki lehet terjeszteni a NIS2 által kiemelt kockázati pontokra is.

A szolgáltatók egyre gyakrabban kínálnak testreszabott informatikai megoldásokat: ezek segíthetnek a cégeknek a követelmények teljesítésében?

A NIS2-megfelelés és NIS2-felkészítés technológiai vonatkozásai gyakran túlmutatnak a szabályozási és szervezeti szinten különösen azoknál a vállalatoknál, amelyek egyedi fejlesztésű alkalmazásokat, belső rendszereket vagy integrált megoldásokat használnak. A mi csapatunk például nemcsak szabályozási, hanem szoftvermérnöki tapasztalattal is rendelkezik, egyedi szoftverfejlesztéssel is foglalkozunk, képesek vagyunk a kiberbiztonsági követelményeket közvetlenül beépíteni az ügyfeleink által használt rendszerekbe 20 éves tapasztalattal. Legyen szó naplózási funkciók fejlesztéséről, incidensérzékelési logikák implementálásáról, hozzáférés-kezelési modulok finomhangolásáról vagy szabályozásnak megfelelő riportálási funkciók kialakításáról, egyedi fejlesztéseink segítenek abban, hogy az információbiztonság ne csak dokumentumban, hanem a rendszer szintjén is megvalósuljon.

Hogyan érinti a mesterséges intelligencia népszerűsödése a követelményrendszert és az információbiztonság kérdéskörét?

A mesterséges intelligencia megjelenése új szintre emeli az információbiztonság kihívásait. Bár a NIS2 nem nevesíti az MI-t, a kockázatalapú megközelítés, az incidensjelentés és az ellátási lánc biztonsága már most kiterjed rá is.

Különösen kritikus kérdés a generatív MI, például a nagy nyelvi modellek (LLM-ek) vállalati használata. Egyre több szervezetnél fordul elő, hogy a munkavállalók érzékeny vagy üzleti titoknak minősülő adatokat visznek be nyilvános MI-szolgáltatásokba. Ez azonban komoly kockázat: ezek az adatok adott esetben nemcsak kiszivároghatnak, hanem az MI-rendszerek tanulási folyamatai révén később akár más felhasználók számára is elérhetővé válhatnak.

A szabályozási térkép is bővül: az EU nemrégiben ISO/IEC 42001 szabványként ismerte el a mesterséges intelligencia menedzsmentrendszerére vonatkozó új nemzetközi szabályozást. Ez az ISO 27001-hez hasonlóan keretet ad az MI használatának átlátható, biztonságos és felelősségteljes működtetésére, kiegészítve a NIS2 által előírt kockázatalapú megközelítést és kontrollkötelezettséget.

uzsoki mate

A Serpentarius-nál ezekre a kihívásokra privát MI-szerverek bérbeadásával válaszolunk. Ennek lényege, hogy ügyfeleink zárt, ellenőrzött környezetben, saját adatvédelmi szabályaik mentén használhatják a mesterséges intelligenciát. Emellett megkezdtük az ISO/IEC 42001-nek megfelelő MI-kompetenciák kiépítését is. Célunk, hogy ügyfeleink számára a mesterséges intelligencia nyújtotta lehetőségeket a legmagasabb szintű adatbiztonság mellett tegyük elérhetővé – akár meglévő ügyviteli rendszereikbe integrálva, akár önálló megoldásként.

A cikk megjelenését a Serpentarius Software Kft. támogatta.

Címlapkép forrása: Portfolio

MNB Intézet

Mit köszönhetünk a ChatGPT-nek?

Az emberi hallucinációt mint a külső inger nélküli érzékelést definiálhatjuk. Modellhallucinációról akkor beszélhetünk például, amikor egy modell elsősorban nem adatra, hanem a modell fel

Díjmentes előadás

Tőzsde kezdőknek: Hogyan ne égesd el a pénzed egy hét alatt!

A tőzsde világában a lelkesedés könnyen drága hibákhoz vezethet – előadásunk abban segít, hogy kezdőként is megértsd a legfontosabb alapelveket, felismerd a kockázatokat, és elkerüld, hogy egy hét alatt elolvadjon a megtakarításod

FIN-CON 2025

FIN-CON 2025

2025. szeptember 3.

Portfolio Sustainable World 2025

2025. szeptember 4.

Sikerklub hazai kkv-nak

2025. szeptember 16.

Követeléskezelési trendek 2025

2025. szeptember 16.

Hírek, eseményajánlók első kézből: iratkozzon fel exkluzív rendezvényértesítőnkre!
Ez is érdekelhet