NIS2: finisben

2025 közepén már nem kérdés: a NIS2 (Network and Information Security Directive 2) életbe lépett, azzal foglalkozni kell.

A cél világos: egységesebb, szigorúbb és hatékonyabb kibervédelmi követelményeket kell támasztani a kritikus és fontos ágazatokkal szemben. A megvalósítás azonban sokkal összetettebb, és számos vállalat számára komoly kihívásokat jelent – különösen a megfeleléshez szükséges auditorok hiánya és a gyakorlati felkészülés körülményei miatt.

Hol tart a NIS2 megvalósítása?

A NIS2 direktívát 2022-ben fogadta el az Európai Unió. Ennek célja, hogy korszerűsítse a 2016-os NIS irányelvet. Az új szabályozás nemcsak új ágazatokra terjeszti ki a kötelezettségeket (pl. egészségügy, digitális szolgáltatók, hulladékgazdálkodás, távközlés), hanem magasabb követelményeket is támaszt a kockázatkezelés, incidenskezelés és az ellátási lánc biztonsága terén.

Magyarországon a megszabott határidőn belül, 2024 végére megjelent a vonatkozó  törvény és az azt értelmező rendelkezések, valamint az Ibtv. (Információs Biztonságról szóló törvény) módosítása. A szabályozás alapján 2025-ben elindult az érintett cégek regisztrációja, illetve az első körös megfelelőségi értékelések előkészítése.

Kritikus problémák: auditorkáosz és kapacitáshiány

Bár a jogszabályi háttér mostanra rendelkezésre áll, a gyakorlati megfelelés több akadályba is ütközik. Az éeintett cégeknek 2025. augusztus 31-ig szerződést kell kötniük egy akkreditált auditorral. Komoly probléma azonban a megfelelő felkészültséggel és jogosultsággal rendelkező NIS2 auditorok hiánya.

Miért nincs elég auditor?

NIS auditorok nem teremnek minden bokorban. Ezeknek a szakembereknek sokféle ismerettel és megfelelő akkreditációval kell rendelkezniük. Úgy tűnik, a feltételek teljesítéséhez nem volt elég az eddig eltelt idő.

  • Engedélyezési folyamatok késése: Az akkreditációs keretrendszerek csak késve indultak el, így a tanúsító szervezetek és auditorok hivatalos regisztrációja elhúzódott.
  • Szakértőhiány: A NIS2 által megkövetelt tudás rendkívül összetett: kiberbiztonsági, jogi, IT- és iparági ismereteket egyaránt megkövetel. Jelenleg kevés az olyan szakember, aki mindezzel a tudással rendelkezik, és kész NIS2 auditorként dolgozni.
  • Képzési idő: Bár elindultak tanfolyamok és képzési programok, ezek többsége csak mostanában ér véget, így az új auditorok csak fokozatosan lépnek be a piacra.

A fentiek miatt kialakult helyzetben a tanácsadók és az auditáló szervezetek túlterheltek, a vállalatok pedig hosszú várólistákkal, csúszásokkal és sokszor átláthatatlan auditfolyamatokkal találják szembe magukat.

A megfelelés kihívásai

Az egyik legnagyobb félreértés, hogy sokan még mindig „egyszeri projektként” kezelik a NIS2-re való felkészülést, miközben az egy folyamatos kockázatmenedzsment-alapú működési modell bevezetését igényli.

A leggyakoribb buktatók:

  • Hiányos kockázatelemzés: A cégek gyakran nem tudják pontosan feltérképezni, hogy milyen IT-eszközök, folyamatok vagy beszállítók tartoznak a kritikus infrastruktúrájukba.
  • Dokumentációs hiányosságok: A NIS2 nem elégszik meg azzal, hogy „mindent jól csinálunk” – szükség van ennek dokumentálására is.
  • Infrastruktúra és monitoring hiányosságok: Sokan még most sem rendelkeznek megfelelő naplózással, biztonsági eseménykezelő rendszerekkel (SIEM) vagy incidenskezelési eljárásokkal.
  • Vállalati kultúra: A kiberbiztonság nem csak IT-kérdés – ha a vezetőség nem érti és nem támogatja, akkor a megfelelés csak látszólagos marad.

Hogyan érdemes felkészülni a NIS2 auditra?

A sikeres megfelelés nem pusztán technikai, hanem stratégiai kérdés. Az alábbi lépések segíthetnek:

1. Tisztázd, érintett vagy-e!

Első lépésként érdemes elvégezni egy önértékelést, hogy a NIS2 szabályozás rád vonatkozik-e. A legtöbb ország – így Magyarország is – ehhez online önbevalló felületet biztosít.

2. Kockázatelemzés és érettségi szint felmérése

Végezz átfogó felmérést a meglévő IT-biztonsági és szervezeti állapotodról. (Ha ehhez nincs kellő tapasztalatod, érdemes külső tanácsadót bevonni.)

3. Tervezz hosszú távra!

A megfelelés nem egyszeri audit, hanem folyamatos kockázatmenedzsment. Érdemes éves tervet és büdzsét készíteni a fejlesztésekre.

4. Vonj be szakértőket időben!

A tanácsadók és auditorok naptára gyorsan telik – ne az utolsó pillanatban keress partnert.

5. Dokumentálj mindent!

A NIS2 egyik legfontosabb követelménye a transzparencia. Minden kockázatkezelési döntést, folyamatot és kontrollt írásban is rögzíteni kell.

Összegzés: nincs több haladék

2025 júliusában már nem lehet halogatni. Bár látszólag még sok idő van 2026. június 30-ig (ez az első kiberbiztonsági audit határideje), addig még rengeteg a tennivaló.Akik eddig kivártak vagy csak minimális erőforrást fordítottak a NIS2-re való felkészülésre, komoly kockázatnak teszik ki magukat – mind jogi, mind üzleti értelemben.

A jó hír: még most sem késő elindulni, ha proaktívan és stratégiai szemlélettel állunk hozzá. Az IT-biztonság nem csak megfelelési kötelezettség, hanem üzleti előny is lehet – feltéve, ha jól csináljuk.

Gyakran Ismételt Kérdések a NIS2 direktívával kapcsolatban

Kikre vonatkozik a NIS2 irányelv?

A NIS2 irányelv a kritikus és fontos ágazatok szereplőire vonatkozik. Ide tartoznak például az energia-, közlekedés-, egészségügyi, ivóvíz- és szennyvízszolgáltatók, valamint a digitális szolgáltatók (pl. felhőszolgáltatók, domainregisztrátorok), bankok, biztosítók, hulladékgazdálkodók, távközlési szolgáltatók és egyes IT-cégek. Az irányelv kiterjed mind középvállalatokra (50 fő felett), mind nagyvállalatokra, ha tevékenységük érinti ezeket az ágazatokat.

Mi történik, ha egy cég nem tesz eleget a NIS2 előírásainak?

A megfelelés elmulasztása súlyos pénzbírsággal, hatósági kötelezéssel vagy akár a cégvezetés személyes felelősségre vonásával is járhat. A szabályozás célja nemcsak a megfelelés ellenőrzése, hanem az is, hogy az információbiztonsági kockázatokat ténylegesen csökkentsék. Az illetékes hatóság (Magyarországon a SZTFH) jogosult szankcionálni a mulasztásokat.

Ki minősül hivatalos NIS2 auditornak?

Csak olyan tanúsító szervezetek vagy szakemberek minősülnek hivatalos auditornak, akik megfelelnek az akkreditációs követelményeknek és szerepelnek a nemzeti hatóság által jóváhagyott listán. Magyarországon ezeket az akkreditációkat az Ibtv. alapján lehet megszerezni, de jelenleg kevés ilyen auditor érhető el, ami kapacitáshiányt okoz a piacon.

Mennyi időbe telik felkészülni a NIS2 megfelelésre?

Ez nagyban függ a cég jelenlegi IT-biztonsági és szervezeti állapotától. Egy jól szervezett középvállalatnál a felkészülés 3–6 hónapot is igénybe vehet, míg komplex szervezeteknél akár 12 hónapra is szükség lehet. A kulcs a korai kezdés, a pontos felmérés és a fokozatos építkezés.

Hol tudom ellenőrizni, hogy a cégem érintett-e?

Magyarországon az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) biztosít egy önértékelési kérdőívet, amely segít meghatározni, hogy egy adott cégre vonatkoznak-e a NIS2 előírásai. Érdemes ezen felül szakértővel is konzultálni, mert az ellátási láncban betöltött szerep vagy alvállalkozói státusz is érintettséget eredményezhet.

Így készülj fel a NIS2 auditra!

NIS2. Vajon ki az az informatikai vezető, aki ne ismerné ezt a rövidítést?

Röviden: A NIS2 egy irányelv, aminek célja az EU kibervédelmi képességeinek megerősítése a folyamatosan növekvő kiberfenyegetésekkel szemben.

A NIS2 nálunk nagyjából 4000 céget érint közvetlenül. Ha nem teljesítik a NIS2 követelményeit, amit egy NIS2 audittal ellenőriznek, akkor a cég és annak vezetője is nagyon súlyos bírságra számíthat.

A jelek szerint azonban sok érintett szakember és cégvezető úgy volt ezzel, mint a laikus közönség a Födhöz közeli aszteroidákkal: “Még sok idő, mire ideér, talán addig eltérül, vagy a légkörbe lépve elég.”

Nos, a NIS2 esetében nem így történt. Az egész valóban messziről indult, a teljes nevén (amit senki sem használ) Network and Information Systems Directive 2 irányelvet az EU 2021. december 27-én hirdette ki és 2023. január 16-án lépett hatályba.

Hogy akkor miért mostanában riogatják ezzel az érintett cégeket? Az EU tagországai némi haladékot kaptak arra, hogy a NIS2 irányelveit saját jogrendjükbe ültessék át, de a legtöbben nem tartották be az előírt határidőt. Magyarország végül 2024. december 17-én fogadta el azt az új törvényt, ami 2025. január 1-jén lépett hatályba.

Felkészülés a NIS2 auditra.

Szerencsére nem kell tartani attól, hogy a kiberbiztonsági felügyeletet ellátó Nemzetbiztonsági Szakszolgálat és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) emberei napokon belül kopogtatnak a céged ajtaján. Először is, az elfogadott törvény nem vonatkozik mindenkire. Elsősorban az 50 főnél nagyobb, vagy 10 millió eurót meghaladó cégek, illetve a fontos szolgáltatók – a Postától a  hulladékfeldolgozókig – esnek a NIS2 hatálya alá. (Ha még mindig nem vagy biztos benne, hogy a céged érintett-e a témában, érdemes tanulmányoznod ezt az infografikát. 

A NIS2 alá eső cégeknek december 31-ig maradt ideje, hogy teljesítsék  az előírt követelményeket, vagy pótolják a feltárt hiányosságokat.

“A NIS2 audit már egy folyamat vége. Erre már sokkal korábban el kell kezdeni a felkészülést.”

Kalmár István

IT Architect, CISO

Felkészülés a NIS2 auditra

Bár egyesek azt gondolják, hogy a NIS2 csupán “papírok kitöltögetéséről szól”, egyáltalán nem így van. A NIS2 megfelelőség alapja a jól megtervezett, kitűnően működő kiberbiztonsági rendszer. Ezt követheti a kiberbiztonsági hiányosságokat feltáró GAP analízis, az adathalász-, illetve kibertámadás-szimulációk.

Hazánkban nagyjából 500 szakember rendelkezik IT-biztonsági auditor képzettséggel, de csak egy részük felel meg a NIS2 követelményeinek. A céged tehát csak az SZTFH honlapján szereplő auditorok közül választhat.

Út az auditálás felé

Ahhoz, hogy a céged sikeresen vághasson bele a NIS2 auditba, alaposan fel kell készülni. Ennek fontos része a megfelelő eszközök és szoftverek beszerzése, beüzemelése, de legalább ilyen fontos az informatikus kollégák és a cég vezetőinek folyamatos kiberbiztonsági képzése. 

A Panor tanácsadással és előzetes audittal ebben is segíti a cégedet. Így még idejében felfedhetők az esetleges problémák és a “hivatalos” audit előtt orvosolhatók azok.

A 2025-i NIS2 audit mindenki számára különleges lesz, hiszen idehaza először kerül erre sor. Kérj szakértői tanácsadást, tedd fel kérdéseidet, vedd fel kollégánkkal a kapcsolatot még ma!

Gyakran Ismételt Kérdések – NIS2 audit

Milyen cégekre vonatkozik a NIS2 irányelv?

A NIS2 elsősorban az 50 főnél nagyobb, vagy 10 millió eurót meghaladó árbevételű cégekre, valamint a létfontosságú szolgáltatásokat nyújtó szervezetekre vonatkozik.

Mikor kell teljesíteni a NIS2 követelményeit?

A cégeknek 2025. december 31-ig van idejük teljesíteni a NIS2 előírásait és pótolni az esetleges hiányosságokat, hogy elkerüljék a bírságokat.

Mit tartalmaz egy NIS2 audit?

Az audit során ellenőrzik a cég kiberbiztonsági rendszereit, az alkalmazott védelmi intézkedéseket, valamint az esetleges sebezhetőségeket egy GAP analízis és szimulációk segítségével.

Ki végezheti el a NIS2 auditot?

Csak az SZTFH által jóváhagyott, hivatalosan regisztrált auditorok végezhetik el a NIS2 auditot. A megfelelő szakember kiválasztása kulcsfontosságú a sikeres megfelelés érdekében.