A NIS2-irányelv várhatóan sokkal szélesebb körben érintheti a vállalatokat, mint ahányan eddig tudomást vettek róla.

Üzleti

Az EU NIS2-irányelve forradalmi átalakulásokat hoz a kiberbiztonság világában, érintve nemcsak a nagyvállalatokat, hanem a kis- és középvállalkozásokat is. Ez a szabályozás egységes jogi keretet biztosít 18 különösen fontos szektor számára, amelyhez való alkalmazkodás érdekében a cégeknek szervezeti kultúraváltásra, technológiai innovációkra és a beszállítói láncok újragondolására van szükségük. Az előkészületek gyakorlati aspektusairól, a beszállítói kapcsolatok információbiztonsági kihívásairól, valamint az egyedi szoftverfejlesztés és a mesterséges intelligencia szerepéről Uzsoki Máté, a Serpentarius Software Kft. ügyvezetője nyújtott részletes tájékoztatást a Portfolio számára.

A magyar vállalatokat érő kibertámadások egyre kifinomultabbá válnak, a leggyakoribb fenyegetések közé tartoznak az adathalász támadások, a zsarolóprogramok és a pszichológiai manipuláció. A NIS2 ugyanakkor nemcsak a kibertámadásokkal foglalkozik, hanem a vállalati IT-rendszerek szakszerű kialakításával és üzemeltetésével is, ami a tulajdonosok és vezetők érdekeit védi.

A Portfolio a Serpentarius Software Kft. ügyvezetőjét, Uzsoki Mátét kérdezte a NIS2 irányelvvel kapcsolatos felkészülési lépésekről. A beszélgetés során szóba kerültek a beszállítói kapcsolatok információbiztonsági szempontjai, valamint az egyedi szoftverfejlesztés és a mesterséges intelligencia szerepe ebben a komplex folyamatban.

Magyarországon a becslések alapján körülbelül 3500-4000 vállalkozásra vonatkoznak a NIS2 által megfogalmazott kötelezettségek.

Az érintett vállalkozásoknak 2026. június 30-ig el kell végezniük egy auditvizsgálatot, illetve ennek nyomán - ha szükséges - meg kell erősíteniük a kibervédelmi képességeiket.

A NIS2-megfelelés első lépéseként a vállalatoknak fel kell mérniük, hogy az általuk végzett tevékenységek és a cég mérete alapján a szabályozás hatálya alá tartoznak-e. Az érintett cégeknek már el kellett végezniük a regisztrációt a megfelelő hatóságnál, amely a legtöbb esetben a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) székhelyén történik.

A folyamat következő szakaszában kockázatalapú információbiztonsági értékelést kell végezni, amely feltárja a sebezhetőségeket és meghatározza a szükséges intézkedéseket. Emellett részletes incidenskezelési tervet is ki kell dolgozni. A magyar jogszabály előírja, hogy a megfelelést az SZTFH által elismert auditor által végzett tanúsítással kell igazolni.

Javasolt, hogy már a felkészülés első lépéseinél válasszunk ki egy NIS2-felkészítő tanácsadót, aki átfogóan irányítja a folyamatot és segít a szükséges dokumentáció előkészítésében. Fontos tudni, hogy a tanúsítást legalább kétévenként meg kell ismételni, de előre nem látható auditok is bekövetkezhetnek.

Bár a kisebb vállalkozások jelenleg nem feltétlenül tartoznak a NIS2 hatálya alá, a szabályozás közvetett hatásai rájuk is kiterjedhetnek, különösen a beszállítói láncokon keresztül.

A nagyobb vállalatok egyre inkább elvárják, hogy partnereik is megfeleljenek az információbiztonsági követelményeknek. Ez a tendencia különösen hangsúlyos az IT-szolgáltatók, szoftverfejlesztők és egyéb technológiai beszállítók körében, ahol a biztonság kulcsfontosságú a megbízhatóság és a versenyképesség fenntartásához.

Az auditáló cégek kiválasztásakor fontos tényezőként kell kezelni az auditorok és a szervezet besorolását. Jelenleg csupán 10 auditor cég rendelkezik az alapszintű besorolás elvégzésére vonatkozó jogosultsággal, miközben több ezer vállalat várja a soron következő auditálást. A megfelelő cég kiválasztásához célszerű figyelembe venni a felkészítő cég ajánlásait, az auditálás költségeit, valamint az auditor elérhetőségét is.

Azok a cégek, amelyek korábban is rendelkeztek tanúsított információbiztonsági irányítási rendszerrel (például ISO/IEC 27001), előnyben vannak a NIS2-megfelelés szempontjából. Ugyanakkor a meglévő rendszereket is át kell világítani, és biztosítani kell, hogy összhangban legyenek a NIS2 követelményeivel.

A NIS2 egyik jelentős újítása, hogy a vállalatoknak nemcsak saját informatikai rendszereik védelméért, hanem beszállítóik biztonsági helyzetéért is felelősséget kell vállalniuk. Ez azt jelenti, hogy a partnerkiválasztás során a biztonsági érettség is kulcsfontosságú tényezővé válik, nem csupán az ár vagy a teljesítmény.

- Emelte ki Uzsoki Máté, a vállalat ügyvezetője. Kiemelten fontos a szigorú ellenőrzés alkalmazása azon partnereknél, akik hozzáférést nyernek a cég rendszereihez vagy információihoz.

A NIS2 kiterjeszti a felelősséget a külső szolgáltatókra is, beleértve a felhőalapú megoldásokat és a menedzselt IT-szolgáltatókat. A szervezet nem háríthatja át a kockázatokat pusztán azzal, hogy kiszervezi az infrastruktúráját vagy az üzemeltetést. A szerződésekben egyértelműen rögzíteni kell a biztonsági elvárásokat és az incidensjelentési kötelezettségeket.

A NIS2-megfelelés technológiai aspektusai gyakran messze túlmutatnak a puszta szabályozási és szervezeti kereteken, különösen azoknál a vállalatoknál, amelyek egyedi fejlesztésű alkalmazásokat és mesterséges intelligenciát alkalmaznak. A Serpentarius csapata nem csupán szoftvermérnöki szakértelemmel bír, hanem képes a kiberbiztonsági követelmények integrálására is az ügyfelek által használt egyedi rendszerekbe, legyenek akár AI-alapúak. Ezzel biztosítjuk, hogy a technológiai megoldások ne csupán megfeleljenek a jogi elvárásoknak, hanem a legmagasabb szintű védelmet is nyújtsák.

Magyarország Statútum Törvény Írország Informatika Pszichológia Technológia Mesterséges intelligencia Felhőalapú számítástechnika Ár Szoftverfejlesztés Nemzetközi Szabványügyi Szervezet Szoftverfejlesztő