Ebben az adásban  Érczfalvi Andrással, a TrendFM műsorvezetőjével beszélgettünk a első NIS2 adutitokról és a kapcsolódó feladatokról.  Az adás 2026.03.02-án került adásba.

Résztvevők

Célkeresztben a NIS2: amit minden cégvezetőnek tudnia kell az első kötelező kiberbiztonsági auditról

2026 június 30. Ennyi ideje maradt a vállalatoknak.

Ez nem újabb homályos határidő, amit majd elhalasztanak. Ez egy konkrét dátum, amikorra az első kiberbiztonsági auditnak meg kell történnie – és aki nem készül fel rá, az komoly bírságokra és működési kockázatokra számíthat.

Március 2-án a TrendFM Délutáni Monitor műsorában Érczfalvi András vendégeként beszélgettem erről a témáról. A teljes felvételt itt hallgathatja meg. Ebben a cikkben összefoglalom a legfontosabb gondolataimat.

Az érettségi-effektus

A NIS2 irányelv körüli helyzet kísértetiesen emlékeztet az érettségire. Mindenki az utolsó pillanatig hagyja a felkészülést. Aztán jön a nagy felfordulás, a pánik, a rettegés – majd valahogy túl leszünk rajta.

A cégek életében ezt a mintát már láttuk a GDPR-nál, az ISO auditoknál, most pedig a NIS2-nél. A különbség annyi, hogy az érettségin bukott diáknak van pótérettségi. A NIS2-nél a helyzet más: az audit megállapításai azonnali cselekvési kötelezettséget jelentenek, és a mulasztásnak ára van, ami fájhat is.

A számok, amik számítanak

Magyarországon legalább 2500 szervezet tartozik a NIS2 hatálya alá – egyes becslések 4-5000-t is említenek. A besorolás az árbevétel, a létszám, az ügyfélszám és a nemzetgazdasági kritikusság alapján történik.

A követelmények listája több mint 900 tételt tartalmaz. Ebből közel 400 a „magas" besoroláshoz kapcsolódik, és az informatikai rendszerekre vonatkozóan közel 200 konkrét elvárás van. Ez nem 10 és nem 5. Ez 160-180 tétel, amiket rendszerenként ki kell pipálni.

Ez az a pont, ahol sok vezető szembesül azzal a kérdéssel, hogy az informatikai rendszerei egyáltalán képesek-e megfelelni ennek?

Miért nincs több halasztás?

A rádiós beszélgetésben felmerült az a kérdés, hogy fog-e a hatóság megint halasztani? Az én válaszom egyértelmű nem.

Korábban voltak csúszások – részben azért, mert Magyarországon a tételes lebontás és a szervezeti háttér is később állt fel. De most már megvan a szabályozási keret, megvannak a kategóriák és a kritériumlisták. A cégek 2025 nyarán önbevallásos alapon regisztráltak, megadták a besorolásukat. Az első audit június 30-ig esedékes.

Az auditnak lesznek megállapításai. Akár az is megtörténhet, hogy egy szervezetnek azt mondják: te jelentős besorolást adtál meg, de ez inkább magas. És akkor a magashoz tartozó teljes követelménylistának kell megfelelni.

A bírságok viszonylag magasak. Az MNB-s és hasonló jellegű auditoknál láttuk, hogy az elsőnél jellemzően azt mondják: javítsuk ki. De ha a második körben ugyanaz a hiányosság kimutatható, az már bírságot von maga után.

A támadási felület drámaian megnőtt

A kiberbiztonság kérdése messze túlmutat a NIS2 megfelelésen. Érdemes megnézni, mennyit változott az elmúlt években az a felület, ahol egy vállalat sérülékeny lehet.

Először is ott a felhő. Amint egy szervezet elkezd felhőszolgáltatásokat használni, kettős felelősség jön létre: a szolgáltatóé és a sajátja. Láttunk már olyan adatbázisokat, amelyek jelszó nélkül kerültek fel a felhőbe – és tartalmazták emberek milliárdjainak személyes adatait.

Másodszor ott az AI-használat. Tudjuk, hogy az adatokkal mi történik? Az induláskor a világ összes elérhető adatát letöltötték az internetről a rendszerek betanításához, mindenféle hozzájárulás nélkül. Most sorban jönnek a perek az Egyesült Államokban is, de a szellem már régen kint van a palackból. A chateket hat hónapig tárolniuk kell a szolgáltatóknak, hogy vizsgálat esetén (pl. FBI) át tudják adni, hogy mi hangzott el.

Ezek a rendszerek emellett folyamatos támadásoknak vannak kitéve. Ha biztonsági incidens történik a szolgáltatónál, akár hat hónapra visszamenőleg elérhetővé válhatnak az adatok. Nem biztos, de az esélye megvan, és ez a kockázatkezelés lényege.

Harmadszor ott vannak az API interfészek, a belső rendszerek közötti kommunikációs csatornák. Sok szervezetnél ezek az interfészek authentikáció nélkül működnek, mert „úgyis a belső hálózatból kérdeznek". Valaki megkérdezi a HR adatbázist, ki a vezérigazgató – a rendszer visszaadja. Mennyi a fizetése? Visszaadja azt is. Mert nincs beállítva, hogy ki kérdez, milyen jogosultsággal, és milyen adatokhoz férhet hozzá.

És akkor jöjjön a valóság: volt olyan nagy magyar pénzintézet, ahol a külső fejlesztőknek két gépük volt. Egy a belső hálózaton a munkához, és egy másik az interneten a céges e-mailekhez. A fejlesztők pár hónapig bírták. Aztán mivel évekig ott dolgoztak, egy idő után a külső gép internetkábelét egyszerűen bedugták a belső hálózatba. És ez évekig így ment. A belső hálózat ki volt nyitva az internetre, senki nem vette észre.

Már biztos, hogy az ottani biztonsági megoldások azóta fejlődtek. De az is elképzelhető, hogy a fejlesztők szofisztikáltabbá váltak. Az API-k auditálása, a horizontális és vertikális jogosultsági szűkítések bevezetése – ezek mind olyan követelmények, amivel foglalkozni kell. Különösen fontos ez akkor, amikor az ember felhőbe költözik, ahol az „izolált belső hálózat" fogalma értelmét veszti.

A NIS2 ezeket a dolgokat próbálja szabályozni. Nem azért, mert EU-ban unatkoznak, hanem mert a fenyegetettség valós és exponenciálisan növekszik.

Amit az informatikai rendszerektől elvárnak

A közel 200 IT-rendszerekre vonatkozó követelmény komoly fejlesztéseket igényelhet azoktól a szállítóktól, akik eddig nem foglalkoztak kifejezetten a biztonsági architektúrával.

Vannak rendszerek, amelyeknél ez néhány hónap munkát jelent. De láttam olyanokat is, ahol tíz-tizenöt-húsz hónap az átfutás – és ez nem arról szól, hogy száz programozót odateszünk és egy hónap alatt megvan. Optimálisan öt-tíz ember dolgozhat értelmesen egy ilyen projekten párhuzamosan.

Mi a Quattrosoftnál 2024 elején kezdtünk ezzel foglalkozni, amikor még az irányelv tételes lebontásának draftja sem volt végleges. 2024 közepére felmértük az eltéréseket, és az év végére teljesítettük az összes magas szintű kritériumot, valamint az opcionális tételek jelentős részét is.

Miért kezdtünk ilyen korán? Fontosnak tartottuk, hogy 2025 végére befejezzük a fejlesztéseket. A BürOffice alapjai jók voltak, a korábbi Vízum rendszer fejlesztéséből örökölte a biztonsági és audit képességeket – ezt a technológiai alapot építettük be a rendszerünkbe. A biztonsági gondolkodás nem utólagos toldozás volt nálunk, hanem az eredetileg tervezett architektúra része. Ennek köszönhetően az eltérés nem volt óriási, de azért kellett vele foglalkozni. Ügyfeleink számára a NIS2 megfelelés semmilyen plusz költséget nem jelent és nem is fog jelenteni. Amit a magas szintű megfelelés megkövetel, azt a BürOffice „out of the box” teljesíti.

Ha most indulna, két kérdéssel kezdjen

Ha cégvezetőként most szembesül azzal, hogy a NIS2 hatálya alá tartozik, két dolgot érdemes elsőként átgondolnia:

Az első a szervezeti oldal. Ki kell dolgozni a folyamatokat, el kell végezni a kockázatelemzést, be kell vezetni a kockázatkezelést, és meg kell oldani a behatolásvizsgálatot. Ez a szervezet saját feladata, és ehhez jellemzően külső tanácsadókat is be kell vonni.

A második az informatikai rendszerek. Rendszerenként végig kell nézni, hogy a kilencszázas követelményhalmazból mi vonatkozik rájuk. Egy átlagos nagyvállalatnál – gondoljunk egy pénzintézetre, amelynek néhány száz rendszere van – ez rendszerenként külön feladat. Az infrastruktúra komponenseit (alkalmazásszerver, adatbáziskezelő, webszerver) és az alkalmazás szintű elvárásokat egyaránt vizsgálni kell.

A pénzintézeti szektorban egyébként nem közvetlenül a NIS2, hanem a DORA szabályozás vonatkozik a szereplőkre – ez az NIS2 irányelv pénzügyi cégekre vonatkozó adaptációja. Érdekes, hogy míg a NIS2-nél létezik a több mint 900 tételes, jól strukturált kritériumlista, addig a DORA informatikai elvárásainak hasonló tételes lebontását egyelőre nem láttam. Jelenleg szerződéstechnikai kérdésként kezelik – de valószínűleg idővel ennek is meglesz a részletes követelményrendszere.

Az IT rendszerek megfelelésének biztosítása a szoftverszállítók felelőssége – de ha egy szállító rendszere nem felel meg, két lehetőség van: kivezetni a rendszert, vagy módosítani. A halogatás nem opció.

Ha most szerez be valaki egy új rendszert, és tudja, hogy a NIS2 hatálya alá tartozik, az legyen az első kérdés, hogy a rendszer megfelel-e a NIS2 magas szintű elvárásainak. Ha egyedi fejlesztést rendel, a NIS2-es követelmények kerüljenek bele a nem funkcionális követelmények közé már az induláskor. Utólag beépíteni jóbal drágább és kockázatosabb is.

Ne a rendszer legyen a szűk keresztmetszet

Gondoljon bele: van egy funkcionális igénye – legyen szó számlázásról, dokumentumkezelésről vagy ügyfélkiszolgálásról. Ehhez jönnek a NIS2-es elvárások. Ha a szállítóválasztásnál csak a funkcionális igényekre kér ajánlatot, nem biztos, hogy a nyertes szállító lesz a legjobb választás akkor is, amikor pluszba be kell építeni a biztonsági követelményeket is.

Ezeket a követelményeket együtt kell kezelni már az ajánlatkéréskor is.

Versenyelőny vagy kényszer?

Mindkettő. Rövid távon kényszer, amit teljesíteni kell. Hosszabb távon viszont azok a szervezetek, amelyek most tisztességesen felkészülnek, versenyelőnyre tesznek szert.

Mi történik az első audit után?

Az audit lezárása után a szervezet egy nemmegfelelőségi jelentést kap, hasonlóan az ISO auditokhoz. Benne lesznek a hiányosságok, és meghatározott határidőn belül pótolni kell őket.

Az MNB és más hatóságok hasonló eljárásaiból tudjuk, hogy az első körben jellemzően türelmesek, azt várják, hogy javítsuk ki. De ha a kitűzött határidőre – mondjuk 2026 végére – nem történik meg, és esetleg egy rendkívüli audit is ezt állapítja meg, az már nem úszható meg figyelmeztetéssel. A bírságok komolyak, és a szabályozó rendelkezik az eszközökkel a betartatáshoz.

A NIS2 megfelelés nem papírmunka. Egy megfelelően audit csökkenti a működési kockázatokat, növeli az ügyfelek bizalmát, és egyszerűbbé teszi a partneri együttműködéseket. Előbb-utóbb a beszállítói láncban is elvárás lesz – aki nem tudja felmutatni a megfelelést, az kimarad.

A kérdés nem az, hogy megéri-e befektetni a NIS2 megfelelésbe. A kérdés az, hogy megengedheti-e magának, hogy ne tegye meg.

Hallgassa meg a teljes beszélgetést a TrendFM Délutáni Monitor műsorában: Célkeresztben a NIS2: közeleg az első kötelező kiberbiztonsági audit határideje

Tresch András, a Quattrosoft Kft. ügyvezetője