A kiberbiztonság sokáig olyan témának tűnt, amelyet a cégek többsége az informatikusokra bízott. Ha működött a levelezés, volt vírusirtó, és nem villogott pirosan a szerver, akkor sok vállalkozás úgy érezte, nagyjából rendben van a digitális háztartás. A NIS2-höz kapcsolódó kötelezettségek azonban ezt a szemléletet látványosan átrendezik.
Az érintett vállalkozásoknak 2026. június 30-ig kell teljesíteniük az első kiberbiztonsági auditot. A határidő nem csupán adminisztratív mérföldkő, hanem annak ellenőrzése, hogy a cég mennyire képes védeni az informatikai rendszereit, az üzleti adatait, a partnerei információit és a működés folytonosságát.
A Magyar Kereskedelmi és Iparkamara friss közlése szerint tizenkét alkalmas, ingyenes online kiberbiztonsági rendezvénysorozat indult a kkv-szektor számára. A cél az, hogy az érintett vállalkozások ne az utolsó pillanatban, félhomályban tapogatózva próbálják kitalálni, mit kell tenniük, hanem gyakorlati segítséget kapjanak a felkészüléshez.
A NIS2-megfelelés vezetői feladattá vált
A NIS2 lényege nem az, hogy a vállalkozás vásároljon még egy szoftvert, majd ünnepélyesen hátradőljön. A szabályozás sokkal inkább azt várja el, hogy a cég tudatosan kezelje a digitális kockázatokat. Ez már vezetői szintű kérdés, mert a kibertámadás nemcsak technikai problémát okozhat, hanem üzleti leállást, adatvesztést, szerződéses vitát, reputációs kárt és komoly működési zavart is.
Egy rosszul kezelt incidens pillanatok alatt átcsúszhat abból, hogy „nem megy a rendszer”, oda, hogy a vállalkozás nem tud számlázni, rendelést teljesíteni, ügyfelekkel kommunikálni vagy hozzáférni a saját dokumentumaihoz. Ez már nem IT-bakiparádé, hanem céges túlélőpálya.
Ezért a cégvezetésnek nem elég annyit kérdeznie, hogy „van-e valami kiberbiztonság”. A fontosabb kérdés az, hogy van-e felelős, folyamat, dokumentáció, jogosultságkezelés, mentési rend, incidenskezelési terv és ellenőrizhető működés.
Az audit nem papírgyártás, hanem állapotfelmérés
A kiberbiztonsági audit egyik legfontosabb szerepe, hogy tükröt tartson a vállalkozás digitális működésének. Megmutathatja, hol vannak sérülékeny pontok, milyen rendszerek nincsenek megfelelően védve, ki fér hozzá túl sok adathoz, működnek-e a biztonsági mentések, és van-e terv arra az esetre, ha baj történik.
Sok cégnél a kockázat nem látványos. Nem feltétlenül egy drámai filmes jelenettel indul, ahol kapucnis alakok zöld kódsorok előtt ülnek. Gyakrabban egy gyenge jelszóval, egy elmaradt frissítéssel, egy túl széles jogosultsággal, egy rosszul beállított felhős tárhellyel vagy egy adathalász e-maillel kezdődik.
A megfelelés ezért akkor ér valamit, ha valódi működés van mögötte. A dokumentum önmagában kevés, ha a gyakorlatban senki nem tudja, mit kell tenni incidens esetén. A szabályzat szép dolog, de ha a dolgozók nem ismerik, akkor legfeljebb digitális tapéta.
A kkv-knál a felkészülés különösen érzékeny kérdés
A nagyvállalatoknál általában van külön informatikai, jogi, compliance vagy biztonsági csapat. A kisebb és közepes vállalkozásoknál viszont sokszor ugyanaz az ember intézi a szerződéseket, a beszállítókat, a rendszergazdát, a telefonflottát és néha még a kávégépet is. Emiatt a NIS2-felkészülés a kkv-knál nagyobb szervezési teher lehet.
A legfontosabb első lépés annak tisztázása, hogy a vállalkozás érintett-e. Nem minden cég tartozik automatikusan a szabályozás hatálya alá, de amelyik igen, annak nem érdemes az utolsó napokra hagynia a teendőket. A határidő közeledtével a megfelelő szakértők, auditorok és tanácsadók kapacitása is szűkösebbé válhat.
A felkészülés nem feltétlenül óriási beruházással kezdődik. Sok esetben már az is sokat javít a helyzeten, ha a cég feltérképezi a rendszereit, rendbe teszi a jogosultságokat, ellenőrzi a biztonsági mentéseket, frissíti az elavult szoftvereket, és belső rendet alakít ki az incidensek kezelésére.
A jogosultságkezelés sok cégnél rejtett kockázat
A kiberbiztonság egyik leggyakoribb gyenge pontja a hozzáférések kezelése. Sok vállalkozásnál évek alatt kialakul egy digitális kulcscsomó, amelyen már senki nem tudja pontosan, melyik kulcs mit nyit. Régi munkatársak hozzáférései maradnak aktívak, külsős partnerek túl széles jogosultságot kapnak, közös jelszavak keringenek, vagy ugyanazt a belépést használja több ember.
Ez nemcsak biztonsági, hanem felelősségi probléma is. Egy incidensnél nagyon fontos, hogy visszakövethető legyen, ki, mikor, milyen rendszerhez fért hozzá. Ha mindenki ugyanazzal a felhasználóval dolgozik, akkor a rendszer olyan, mint egy céges kulcsosdoboz címkék nélkül: lehet, hogy működik, de baj esetén nagy a káosz.
A NIS2-megfelelés egyik gyakorlati haszna éppen az lehet, hogy rákényszeríti a cégeket ezeknek a belső rendetlenségeknek a felszámolására.
A biztonsági mentés csak akkor ér valamit, ha vissza is állítható
Sok vállalkozás megnyugszik attól, hogy „van mentés”. Ez azonban csak az első félmondat. A valódi kérdés az, hogy a mentés rendszeres-e, védett-e, elkülönül-e az éles rendszertől, és szükség esetén tényleg visszaállítható-e belőle a működés.
Egy zsarolóvírusos támadásnál például nem sokat ér az a mentés, amelyet ugyanaz a támadás ugyanúgy titkosít. Ugyancsak kevésbé megnyugtató az a mentési rendszer, amelyről éles helyzetben derül ki, hogy hónapok óta hibásan futott.
Ezért a cégeknek érdemes tesztelniük is a mentéseiket. Nem elég hinni benne, mint egy digitális kabalában. Ki kell próbálni, hogy baj esetén valóban működik-e.
Az emberi tényező továbbra is döntő
A kibervédelem nem csak technológia. A munkavállalók tudatossága legalább ennyire fontos. Egy jól megírt adathalász e-mail, egy sürgetőnek tűnő fizetési kérés, egy hamis belépési oldal vagy egy megtévesztő csatolmány még a jobb technikai védelem mellett is gondot okozhat.
Ezért a vállalkozásoknak érdemes rendszeres, érthető belső képzést tartaniuk. Nem kell minden munkatársból kiberbiztonsági szakértőt faragni, de azt tudniuk kell, mikor gyanús egy e-mail, kinek szóljanak incidens esetén, hogyan kezeljék a jelszavaikat, és milyen adatokat nem szabad ellenőrizetlen csatornán továbbítani.
A legjobb szabályzat sem segít, ha a dolgozók nem értik. A kiberbiztonsági tudatosság akkor működik, ha nem ijesztgetés, hanem mindennapi rutin.
A határidő előtti hetekben gyors belső ellenőrzés szükséges
Az érintett vállalkozásoknak a következő hetekben érdemes gyors, célzott belső ellenőrzést tartaniuk. Elsőként azt kell tisztázni, hogy a cég a szabályozás hatálya alá tartozik-e, megvan-e az auditorral kapcsolatos szükséges folyamat, és milyen dokumentumok, technikai intézkedések, belső szabályok hiányoznak még.
Ezt követően célszerű áttekinteni a legfontosabb rendszereket, a kritikus adatköröket, a hozzáféréseket, a biztonsági mentéseket, a külső szolgáltatókat és az incidenskezelési rendet. Ha van rendszergazda vagy informatikai szolgáltató, vele is érdemes külön egyeztetni, mert sok vezető csak ekkor szembesül azzal, hogy a technikai működés és a jogszabályi megfelelés nem ugyanaz a polc.
Aki most kezd el kapkodni, még mindig jobb helyzetben van, mint aki június végén veszi észre, hogy az audit nem egy délutáni PDF-varázslat. A kiberbiztonság nem pánikgomb, hanem folyamat.
A megfelelés üzleti biztonságot is adhat
A NIS2-kötelezettség elsőre újabb adminisztratív tehernek tűnhet, de jól kezelve üzleti előnyt is jelenthet. Egy rendezett kiberbiztonsági működés növeli a partnerek bizalmát, csökkenti a leállások kockázatát, védi az ügyféladatokat, és segít abban, hogy a cég krízishelyzetben is gyorsabban reagáljon.
A digitális működés ma már nem háttérfolyamat. A legtöbb vállalkozás levelezése, ügyfélkezelése, számlázása, dokumentumtára, belső kommunikációja és pénzügyi adminisztrációja online rendszereken fut. Ha ezek sérülnek, a vállalkozás működése is sérül.
A június 30-i határidő ezért nemcsak jogszabályi dátum, hanem jó alkalom arra, hogy a cégek rendet tegyenek a digitális gépházban. Aki ezt komolyan veszi, nemcsak egy auditnak felelhet meg, hanem ellenállóbb vállalkozást építhet.