A vállalkozások működésében ma már nemcsak a könyvelés, a szerződések vagy a munkaügyi adminisztráció jelenthet megfelelési feladatot. Egyre nagyobb szerepet kap az informatikai biztonság is, különösen azoknál a cégeknél, amelyek a kiberbiztonsági szabályozás hatálya alá tartoznak.
A NIS2-höz kapcsolódó hazai előírások alapján az érintett vállalkozásoknak kiberbiztonsági auditot kell teljesíteniük. A határidő különösen aktuális, mert a 2025. január 1-je előtt működő, auditkötelezett szervezeteknek az első kiberbiztonsági auditot 2026. június 30-ig kell elvégezniük. Az MKIK friss közlése szerint még jelentős számú vállalkozás állhat a teljesítés előtt.
A kiberbiztonság már nem kizárólag informatikai kérdés
Sok vállalkozás még mindig hajlamos úgy tekinteni a kiberbiztonságra, mint kizárólag informatikai feladatra. A valóságban azonban a megfelelés ennél jóval szélesebb körű. Nemcsak azt kell vizsgálni, hogy van-e vírusirtó, tűzfal vagy jelszókezelés, hanem azt is, hogy a cég hogyan kezeli az informatikai rendszerekhez kapcsolódó kockázatokat.
A kiberbiztonsági audit célja annak ellenőrzése, hogy a vállalkozás rendszerei, folyamatai és belső szabályai megfelelő védelmet biztosítanak-e a digitális fenyegetésekkel szemben. Ez érintheti az ügyféladatokat, a belső céges dokumentumokat, a pénzügyi rendszereket, a weboldalakat, az e-mail-fiókokat, a jogosultságkezelést és a mentési folyamatokat is.
Ezért a feladat nem állhat meg az informatikusnál. A cégvezetésnek is értenie kell, milyen adatokat kezel a vállalkozás, kik férnek hozzá ezekhez, milyen kockázatok jelenhetnek meg, és milyen intézkedésekkel lehet csökkenteni a sérülékenységet.
Az érintettség pontos tisztázása alapfeladat
A határidő közeledtével az első és legfontosabb lépés annak tisztázása, hogy a vállalkozás egyáltalán érintett-e a kötelezettségben. Nem minden cégnek kell NIS2-auditot teljesítenie, ugyanakkor azoknál, amelyek a szabályozás hatálya alá tartoznak, a halogatás komoly kockázatot jelenthet.
Az érintettség megállapításánál számíthat a vállalkozás mérete, tevékenységi köre, ágazati besorolása és az, hogy a cég milyen szolgáltatást nyújt. Kiemelten figyelniük kell azoknak a vállalkozásoknak, amelyek kritikus vagy fontos szolgáltatásokhoz kapcsolódnak, illetve olyan területen működnek, ahol az informatikai rendszer kiesése más szereplőkre is hatással lehet.
Ha a vállalkozás bizonytalan az érintettségben, nem érdemes megérzés alapján dönteni. Célszerű szakértővel, auditorral vagy jogi-informatikai megfelelésben jártas tanácsadóval áttekinteni a helyzetet. Egy tévesen elmulasztott kötelezettség később jóval kellemetlenebb lehet, mint egy időben elvégzett előzetes vizsgálat.
Az audit nemcsak papírokból áll
A kiberbiztonsági audit nem pusztán dokumentumgyártás. Természetesen szükség lehet szabályzatokra, nyilvántartásokra, felelősségi körök kijelölésére és belső eljárásokra, de ezek csak akkor érnek valamit, ha a vállalkozás tényleges működésében is megjelennek.
Egy audit során vizsgálható például, hogy a cégnél hogyan történik a hozzáférések kiosztása és visszavonása, van-e mentési rend, történik-e rendszeres frissítés, van-e incidenskezelési folyamat, hogyan védik az e-mail-rendszert, és milyen módon kezelik a külső szolgáltatókat.
Különösen érzékeny pont lehet a weboldal, az ügyfélkapcsolati rendszer, a felhőalapú tárhely, a számlázóprogram, a belső levelezés és minden olyan rendszer, amely üzleti vagy személyes adatokat tartalmaz. A kisebb vállalkozásoknál gyakori probléma, hogy ezek a rendszerek külön-külön működnek, de nincs egységes biztonsági gondolkodás mögöttük.
A vezetői felelősség hangsúlyosabbá válik
A kiberbiztonsági megfelelés egyik fontos tanulsága, hogy a cégvezető nem háríthat mindent az informatikai szolgáltatóra. A külső rendszergazda vagy IT-partner fontos szereplő lehet, de a döntések, a felelősségi körök és a belső kontrollok végső soron a vállalkozás működéséhez kapcsolódnak.
A vezetés feladata annak biztosítása, hogy a kockázatok felmérése megtörténjen, a szükséges intézkedések ne maradjanak el, és a vállalkozás ne csak formálisan, hanem ténylegesen is képes legyen kezelni egy informatikai incidenst.
Ez azért is fontos, mert egy kibertámadás ma már nemcsak technikai kellemetlenség. Egy sikeres adathalász támadás, zsarolóvírus vagy jogosulatlan hozzáférés üzletmenet-kiesést, adatvesztést, ügyfélbizalom-csökkenést és akár hatósági eljárást is eredményezhet.
A kisebb vállalkozásoknak is érdemes komolyan venniük a témát
A NIS2 kapcsán sokan elsősorban nagyvállalatokra gondolnak, pedig a digitális sérülékenység nem méret alapján válogat. Egy kisebb cég is kezelhet fontos adatokat, működtethet webes felületeket, használhat online fizetési, számlázási vagy ügyfélkezelési rendszereket.
A kkv-k esetében külön kihívás, hogy gyakran nincs külön belső informatikai vagy compliance csapat. Éppen ezért számukra különösen fontos, hogy a kötelezettségeket időben, gyakorlati szemlélettel és arányos megoldásokkal kezeljék.
Nem feltétlenül az a cél, hogy minden vállalkozás bonyolult, nagyvállalati szintű rendszert építsen ki. A cél inkább az, hogy a cég tudja, milyen rendszerei vannak, milyen adatokat kezel, hol vannak a gyenge pontok, és milyen lépésekkel lehet ezeket csökkenteni.
A határidő előtti teendők listája egyértelmű
Az érintett vállalkozásoknak célszerű mielőbb áttekinteniük, hogy megtörtént-e az érintettség vizsgálata, van-e auditorral kapcsolatos rendezett folyamat, rendelkezésre állnak-e a szükséges dokumentumok, és elindult-e a tényleges felkészülés.
Érdemes ellenőrizni a belső informatikai rendszerek nyilvántartását, a jogosultságokat, a mentési megoldásokat, az incidenskezelési eljárást, a külső szolgáltatókkal kötött szerződéseket és a munkatársak kiberbiztonsági tudatosságát is.
A határidő közelsége miatt a legrosszabb stratégia a kivárás. A kiberbiztonsági megfelelés nem olyan feladat, amelyet egyetlen délután alatt rendbe lehet tenni. Minél később kezdődik a felkészülés, annál nagyobb az esélye annak, hogy kapkodás, hiányos dokumentáció vagy drágább sürgősségi megoldás lesz belőle.
A digitális biztonság üzleti értékké vált
A kiberbiztonsági audit első ránézésre kötelezettségnek tűnhet, de megfelelő megközelítéssel üzleti előnyt is jelenthet. Egy rendezett informatikai működés csökkenti a leállások, adatvesztések és támadások kockázatát, miközben erősítheti az ügyfelek és partnerek bizalmát.
Egy vállalkozás ma már nemcsak az ár, a szolgáltatás minősége vagy a gyorsaság alapján versenyez. Az is számít, hogy biztonságosan kezeli-e az adatokat, megbízhatóan működnek-e a rendszerei, és képes-e reagálni egy váratlan digitális incidensre.
A június végi határidő ezért nem csupán adminisztratív dátum. Inkább figyelmeztetés arra, hogy a kiberbiztonság a vállalkozások alapműködésének részévé vált. Aki időben lép, nemcsak egy kötelezettséget teljesít, hanem a saját üzleti működését is stabilabb alapokra helyezheti.