Felkészülsé a NIS2 auditra - Panor Skip to content

NIS2: finisben

  • Kategóriák:

2025 közepén már nem kérdés: a NIS2 (Network and Information Security Directive 2) életbe lépett, azzal foglalkozni kell.

A cél világos: egységesebb, szigorúbb és hatékonyabb kibervédelmi követelményeket kell támasztani a kritikus és fontos ágazatokkal szemben. A megvalósítás azonban sokkal összetettebb, és számos vállalat számára komoly kihívásokat jelent – különösen a megfeleléshez szükséges auditorok hiánya és a gyakorlati felkészülés körülményei miatt.

Hol tart a NIS2 megvalósítása?

A NIS2 direktívát 2022-ben fogadta el az Európai Unió. Ennek célja, hogy korszerűsítse a 2016-os NIS irányelvet. Az új szabályozás nemcsak új ágazatokra terjeszti ki a kötelezettségeket (pl. egészségügy, digitális szolgáltatók, hulladékgazdálkodás, távközlés), hanem magasabb követelményeket is támaszt a kockázatkezelés, incidenskezelés és az ellátási lánc biztonsága terén.

>>

Magyarországon a megszabott határidőn belül, 2024 végére megjelent a vonatkozó  törvény és az azt értelmező rendelkezések, valamint az Ibtv. (Információs Biztonságról szóló törvény) módosítása. A szabályozás alapján 2025-ben elindult az érintett cégek regisztrációja, illetve az első körös megfelelőségi értékelések előkészítése.

Kritikus problémák: auditorkáosz és kapacitáshiány

Bár a jogszabályi háttér mostanra rendelkezésre áll, a gyakorlati megfelelés több akadályba is ütközik. Az éeintett cégeknek 2025. augusztus 31-ig szerződést kell kötniük egy akkreditált auditorral. Komoly probléma azonban a megfelelő felkészültséggel és jogosultsággal rendelkező NIS2 auditorok hiánya.

Miért nincs elég auditor?

NIS auditorok nem teremnek minden bokorban. Ezeknek a szakembereknek sokféle ismerettel és megfelelő akkreditációval kell rendelkezniük. Úgy tűnik, a feltételek teljesítéséhez nem volt elég az eddig eltelt idő.

  • Engedélyezési folyamatok késése: Az akkreditációs keretrendszerek csak késve indultak el, így a tanúsító szervezetek és auditorok hivatalos regisztrációja elhúzódott.
  • Szakértőhiány: A NIS2 által megkövetelt tudás rendkívül összetett: kiberbiztonsági, jogi, IT- és iparági ismereteket egyaránt megkövetel. Jelenleg kevés az olyan szakember, aki mindezzel a tudással rendelkezik, és kész NIS2 auditorként dolgozni.
  • Képzési idő: Bár elindultak tanfolyamok és képzési programok, ezek többsége csak mostanában ér véget, így az új auditorok csak fokozatosan lépnek be a piacra.

A fentiek miatt kialakult helyzetben a tanácsadók és az auditáló szervezetek túlterheltek, a vállalatok pedig hosszú várólistákkal, csúszásokkal és sokszor átláthatatlan auditfolyamatokkal találják szembe magukat.

A megfelelés kihívásai

Az egyik legnagyobb félreértés, hogy sokan még mindig „egyszeri projektként” kezelik a NIS2-re való felkészülést, miközben az egy folyamatos kockázatmenedzsment-alapú működési modell bevezetését igényli.

A leggyakoribb buktatók:

  • Hiányos kockázatelemzés: A cégek gyakran nem tudják pontosan feltérképezni, hogy milyen IT-eszközök, folyamatok vagy beszállítók tartoznak a kritikus infrastruktúrájukba.
  • Dokumentációs hiányosságok: A NIS2 nem elégszik meg azzal, hogy „mindent jól csinálunk” – szükség van ennek dokumentálására is.
  • Infrastruktúra és monitoring hiányosságok: Sokan még most sem rendelkeznek megfelelő naplózással, biztonsági eseménykezelő rendszerekkel (SIEM) vagy incidenskezelési eljárásokkal.
  • Vállalati kultúra: A kiberbiztonság nem csak IT-kérdés – ha a vezetőség nem érti és nem támogatja, akkor a megfelelés csak látszólagos marad.

Hogyan érdemes felkészülni a NIS2 auditra?

A sikeres megfelelés nem pusztán technikai, hanem stratégiai kérdés. Az alábbi lépések segíthetnek:

1. Tisztázd, érintett vagy-e!

Első lépésként érdemes elvégezni egy önértékelést, hogy a NIS2 szabályozás rád vonatkozik-e. A legtöbb ország – így Magyarország is – ehhez online önbevalló felületet biztosít.

2. Kockázatelemzés és érettségi szint felmérése

Végezz átfogó felmérést a meglévő IT-biztonsági és szervezeti állapotodról. (Ha ehhez nincs kellő tapasztalatod, érdemes külső tanácsadót bevonni.)

3. Tervezz hosszú távra!

A megfelelés nem egyszeri audit, hanem folyamatos kockázatmenedzsment. Érdemes éves tervet és büdzsét készíteni a fejlesztésekre.

4. Vonj be szakértőket időben!

A tanácsadók és auditorok naptára gyorsan telik – ne az utolsó pillanatban keress partnert.

5. Dokumentálj mindent!

A NIS2 egyik legfontosabb követelménye a transzparencia. Minden kockázatkezelési döntést, folyamatot és kontrollt írásban is rögzíteni kell.

Összegzés: nincs több haladék

2025 júliusában már nem lehet halogatni. Bár látszólag még sok idő van 2026. június 30-ig (ez az első kiberbiztonsági audit határideje), addig még rengeteg a tennivaló.Akik eddig kivártak vagy csak minimális erőforrást fordítottak a NIS2-re való felkészülésre, komoly kockázatnak teszik ki magukat – mind jogi, mind üzleti értelemben.

A jó hír: még most sem késő elindulni, ha proaktívan és stratégiai szemlélettel állunk hozzá. Az IT-biztonság nem csak megfelelési kötelezettség, hanem üzleti előny is lehet – feltéve, ha jól csináljuk.

Gyakran Ismételt Kérdések a NIS2 direktívával kapcsolatban

Kikre vonatkozik a NIS2 irányelv?

A NIS2 irányelv a kritikus és fontos ágazatok szereplőire vonatkozik. Ide tartoznak például az energia-, közlekedés-, egészségügyi, ivóvíz- és szennyvízszolgáltatók, valamint a digitális szolgáltatók (pl. felhőszolgáltatók, domainregisztrátorok), bankok, biztosítók, hulladékgazdálkodók, távközlési szolgáltatók és egyes IT-cégek. Az irányelv kiterjed mind középvállalatokra (50 fő felett), mind nagyvállalatokra, ha tevékenységük érinti ezeket az ágazatokat.

Mi történik, ha egy cég nem tesz eleget a NIS2 előírásainak?

A megfelelés elmulasztása súlyos pénzbírsággal, hatósági kötelezéssel vagy akár a cégvezetés személyes felelősségre vonásával is járhat. A szabályozás célja nemcsak a megfelelés ellenőrzése, hanem az is, hogy az információbiztonsági kockázatokat ténylegesen csökkentsék. Az illetékes hatóság (Magyarországon a SZTFH) jogosult szankcionálni a mulasztásokat.

Ki minősül hivatalos NIS2 auditornak?

Csak olyan tanúsító szervezetek vagy szakemberek minősülnek hivatalos auditornak, akik megfelelnek az akkreditációs követelményeknek és szerepelnek a nemzeti hatóság által jóváhagyott listán. Magyarországon ezeket az akkreditációkat az Ibtv. alapján lehet megszerezni, de jelenleg kevés ilyen auditor érhető el, ami kapacitáshiányt okoz a piacon.

Mennyi időbe telik felkészülni a NIS2 megfelelésre?

Ez nagyban függ a cég jelenlegi IT-biztonsági és szervezeti állapotától. Egy jól szervezett középvállalatnál a felkészülés 3–6 hónapot is igénybe vehet, míg komplex szervezeteknél akár 12 hónapra is szükség lehet. A kulcs a korai kezdés, a pontos felmérés és a fokozatos építkezés.

Hol tudom ellenőrizni, hogy a cégem érintett-e?

Magyarországon az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) biztosít egy önértékelési kérdőívet, amely segít meghatározni, hogy egy adott cégre vonatkoznak-e a NIS2 előírásai. Érdemes ezen felül szakértővel is konzultálni, mert az ellátási láncban betöltött szerep vagy alvállalkozói státusz is érintettséget eredményezhet.

Kalmár István

Kalmár István 2018-ban csatlakozott a Panor csapatához, ahol az IT Security Divízió vezetői posztját tölti be. Munkájában villamosmérnöki tudása mellett közgazdász végzettségére is támaszkodhat, Érdeklődése középpontjában a LAN WA, SDWAN WIFI és az IT security témák állnak, ahol elsősorban a CISCO, az ARUBA, A Fortinet .s a PaloAlt megoldásaira fókuszál.