Kevesebb mint két hónap maradt a NIS2 hazai megfelelési folyamatának egyik legfontosabb mérföldkövéig: az érintett cégeknek 2026. június 30-ig kötelezően teljesíteniük kell a kiberbiztonsági auditot. A szakértők szerint azonban a felkészülés sokuknál még mindig nemcsak technológiai, hanem szervezeti és működési kihívás is. A tét ráadásul jóval túlmutat a bírságok elkerülésén: a kiberbiztonság ma már közvetlen üzleti kockázatkezelési kérdéssé vált.
Az Európai Unió NIS2 irányelvéhez igazodó magyar szabályozás alapján az érintett szervezeteknek legkésőbb 2026. június 30-ig kell teljesíteniük a kötelező kiberbiztonsági auditot. A határidő közeledtével egyre több vállalat szembesül azzal, hogy a megfelelés nem egyszeri IT-projekt, hanem a teljes szervezet működését érintő átalakulás.
A szabályozás elsősorban a kritikus és kiemelten fontos ágazatokban működő közép- és nagyvállalatokat érinti. Az energiaipar, a közlekedés, az egészségügy, a gyártóipar, a digitális infrastruktúra, valamint számos élelmiszeripari és informatikai szolgáltató is a kötelezettek közé tartozik. A korábbi becslések szerint Magyarországon mintegy 2500–4000 vállalkozás lehet közvetlenül vagy közvetve érintett a NIS2 előírásaiban.
Már nem csak megfelelési kérdés
A szakértők szerint az elmúlt egy évben jelentősen megváltozott a vállalatok hozzáállása is. Míg kezdetben sok cég adminisztratív teherként tekintett a NIS2-re, ma már egyre inkább üzleti kockázatkezelési kérdésként kezelik a kibervédelmet.
„Az informatikai biztonság kérdése ma már messze túlmutat az előírásoknak való megfelelésen. A globális kockázati rangsorok szerint a kiberincidensek 2026-ra a legjelentősebb üzleti fenyegetések közé emelkedtek” – hangsúlyozza Zala Mihály, az EY partnere.
A szakember szerint a vállalatok számára különösen fontos felismerés, hogy a kibervédelem gyenge pontjai gyakran nem a látványos rendszerekben, hanem az évek óta nem frissített szerverekben, elfeledett eszközökben vagy éppen a nem megfelelően szabályozott hozzáférésekben rejtőznek.
A legnagyobb kockázat továbbra is az ember
A NIS2 egyik központi eleme az alkalmazottak tudatosságának a növelése. A tapasztalatok szerint ugyanis a sikeres kibertámadások döntő része ma is emberi hibára vagy megtévesztésre épít.
Az EY adatai szerint az adathalász támadásokat szimuláló teszteken a munkavállalók 40 százaléka kattint a megtévesztő üzenetekre a képzések előtt, míg a rendszeres tudatosságnövelő programokat követően ez az arány 8 százalékra csökken.
Ez különösen fontos azért, mert a NIS2 nemcsak technológiai kontrollokat vár el, hanem dokumentált incidenskezelési folyamatokat, rendszeres kockázatelemzést, sérülékenységvizsgálatokat és működő üzletmenet-folytonossági terveket is.
A GDPR „főpróbának” bizonyult
A NIS2 bevezetését sok szakértő a GDPR utáni legnagyobb vállalati megfelelési hullámként írja le. Korábbi iparági értékelések szerint a GDPR-hoz képest a NIS2 jóval mélyebben avatkozik bele a cégek napi működésébe, hiszen nemcsak adatkezelési, hanem technológiai, szervezeti és beszállítói oldalról is új követelményeket ír elő.
A magyarországi tapasztalatok alapján különösen nehéz helyzetben vannak azok a cégek, ahol még az alapvető IT-eszközleltár vagy naprakész digitális nyilvántartás sem áll rendelkezésre. Több szakértő szerint sok vállalat csak a NIS2 kapcsán szembesült azzal, hogy a teljes infrastruktúrájáról sincs pontos képe.
Európában sem egységes a kép
Bár a NIS2 uniós irányelv, a tagállamok eltérő tempóban haladnak a gyakorlati végrehajtással. Több országban még mindig zajlik a részletszabályok finomhangolása, illetve az auditorok és felügyeleti rendszerek kialakítása. Magyarország ugyanakkor az elsők között kezdte meg a konkrét hazai megfelelési rendszer kiépítését, ezért a piaci szereplők már jó ideje aktív felkészülési nyomás alatt működnek.
A vállalatok számára emiatt egyre fontosabbá válik az úgynevezett kiberreziliencia, vagyis az a képesség, hogy egy esetleges támadás után gyorsan helyre tudják állítani működésüket, minimalizálva az üzleti kiesést és a reputációs károkat.
Nem egyszeri projekt lesz
A szakértők szerint az egyik legnagyobb tévhit továbbra is az, hogy a NIS2 egy egyszer kipipálható megfelelési feladat.
„A kiberbiztonságra szánt ráfordítás ma már nem luxus, hanem üzleti kényszer a cégek számára. Az egyszeri megfelelés kevés, hiszen működőképes, tesztelt és folyamatosan fejlesztett védelmi rendszert kell kialakítani” – emeli ki Zala Mihály.
A következő hónapok ezért várhatóan nemcsak az auditorok, hanem a kibervédelmi szolgáltatók, tanácsadók és információbiztonsági szakemberek számára is rendkívül intenzív időszakot hoznak majd.
Mit vár el a NIS2 a cégektől?
• kötelező kockázatelemzés és incidenskezelés
• rendszeres sérülékenységvizsgálat
• dokumentált üzletmenet-folytonossági terv
• beszállítói lánc biztonsági ellenőrzése
• munkavállalói kiberbiztonsági képzések
• incidensek gyors jelentése a hatóságok felé
• rendszeres audit és folyamatos megfelelőség
