A NIS2 nem egyszerűen újabb uniós szabályozás, hanem korszakváltás a vállalati kiberbiztonságban: most először a megfelelés nem papíron, hanem a gyakorlatban válik mérhetővé. A KÜRT Zrt. szakértői szerint ez a szemléletváltás a teljes piacot új alapokra helyezi – és a SeCube GRC platformmal abban segítenek, hogy a szabályok mögött valódi működési biztonság álljon.
NIS2: új szabályozás, új elvárások
A kiberbiztonság ma már nem versenyelőny, hanem üzleti túlélési feltétel. A 2024-ben hatályba lépett NIS2 irányelv alapjaiban formálja át a vállalatok információbiztonsági működését, és olyan követelményrendszert vezet be, amely a kritikus infrastruktúráktól a kisebb iparági szereplőkig kiterjed. A cél: egységesen magas szintű védelmet biztosítani az Európai Unió digitális ökoszisztémájában.
„A NIS2 nemcsak új kötelezettségeket ír elő, hanem számon is kéri azok teljesítését” – magyarázza Tóthmajor Máté, a KÜRT Zrt. információbiztonsági szakértője. – „Az új szabályozás már nemcsak a felkészültséget várja el, hanem annak auditálását is. Az érintett szervezeteknek kiberbiztonsági auditon kell bizonyítaniuk, hogy valóban megfelelnek a kiberbiztonsági érettségi szintnek.”
Korábban a megfelelés gyakran az ISO 27001-es szabványon alapult, amely sok szervezet számára a biztonság szinonimája lett. Csakhogy a NIS2 megfeleléshez ez a tanúsítás már nem elég.„A hazai kiberbiztonsági audit az ISO 27001 tanúsításnál szélesebb körű részletesebb és komplexebb audit, amit 2 évente ismételni is szükséges, nem teljesítése pedig hatósági intézkedéseket vonhat maga után.. Továbbá nemcsak az számít, hogy van-e papírunk, hanem hogy a biztonság ténylegesen és folyamatosan működik-e” – hangsúlyozza Kmetty József, a KÜRT Zrt. vezérigazgatója.
Ez új működési kultúrát kíván – és ezzel együtt új megoldásokat is.
A változás léptéke pedig példátlan: míg korábban csak néhány iparágban volt elvárás a megfelelés, most több ezer vállalat tartozik az előírás hatálya alá. Ennek következtében soha nem látott méretű auditfolyamat indult el Magyarországon, amely a 2026-os határidőig fokozatosan minden kijelölt szervezetet érint majd.
Üzleti kockázatok és felkészülési hiányosságok
A szabályozás új korszakot nyitott a vállalati kiberbiztonságban, de az átállás messze nem zökkenőmentes. „A piac most tanulja meg, mit is jelent valójában az audit” – mondja Kmetty József – „Nem lehet elégszer hangsúlyozni: sokan még mindig úgy gondolják, hogy ez csak egy pecsétes papír, pedig a valóságban a NIS2 egy folyamatos működést vizsgáló rendszer, ahol a biztonságot nem csak dokumentálni, hanem bizonyítani kell.”
Kmetty szerint ez a szemléletváltás a cégek működését is alapjaiban formálja át:
„Eddig, ha valaki nem fordított kellő figyelmet az informatikai biztonságra, a felhasználó ezt talán észre sem vette. Most viszont a szabályozás mindenkire egyenlő elvárásokat ró – ez egy szintemelő hatás. Aki eddig komolyan vette a biztonságot, annak könnyebb dolga lesz, aki viszont halogatta, annak most gyorsan kell felzárkóznia.”
A kihívás sokrétű: a legtöbb szervezetnél hiányzik a kijelölt információbiztonsági felelős, a kiberbiztonsági stratégia, és gyakran az sem egyértelmű, kivel kell szerződni az audit előtt. „Vannak vállalatok, amelyek már tavaly megkezdték a felkészülést, de sokan még mindig alapvető kérdésekben sem biztosak” – erősíti meg Dakó Balázs, a KÜRT vezérigazgató-helyettese.
A felkészülés hiányának másik oka, hogy sok vállalat nem tervezett költséget a megfelelésre. „A NIS2 előírja, hogy a kijelölt szervezeteket auditálni kell, mégis számos cég csak most döbben rá, hogy a felkészülésre sem szakembert, sem költségvetést nem tervezett, pedig a határidők nem fognak csúszni – az auditor 2026 júniusáig mindenképp meg fog jelenni” – teszi hozzá Dakó.
A helyzet tehát világos: a szabályozás nemcsak IT-feladat, hanem komplex üzleti probléma, amely érinti a döntéshozatalt, a pénzügyi tervezést és a szervezeti kultúrát is.
GRC: a megfelelésből működésbiztonság
A KÜRT Zrt. az elmúlt években több száz információbiztonsági projektet valósított meg, és most egy régi-új megoldással válaszol a piaci igényekre: a SeCube GRC (Governance, Risk, Compliance és BCM) platformmal, hogy a megfelelés ne egyszeri projekt, hanem tartós működési gyakorlat legyen. A megoldás célja, hogy automatizálja és rendszerezze a kiberbiztonsági működést, ezzel támogatva a vállalatokat a NIS2 megfelelés elérésében és fenntartásában.A szoftver azoknak a közép- és nagyvállalatoknak készült, amelyek nemcsak a kötelező auditon akarnak megfelelni, hanem hosszú távon szeretnék fenntartani az információbiztonsági érettségüket. A rendszer bármely iparágban alkalmazható, ahol a NIS2 előírásai relevánsak – az energetikától a gyártáson át az egészségügyig.
A SeCube GRC a vállalatok kiberbiztonsági „edzőpartnere”: segít felkészülni az auditra, és abban is támogat, hogy az eredmény tartós maradjon.
„Sok vállalatnál a felkészülés Excel-táblákban, Word-dokumentumokban és e-mailváltásokban történik. Ezek a projektek a lezárás után gyakran elhalnak” – mondja Tóthmajor Máté. – „A SeCube GRC célja, hogy ezt a munkát rendszerszinten vigye tovább: a szervezet ne csak egyszer megfeleljen, hanem folyamatosan képes legyen a biztonsági működés fenntartására.”
A platform egyfajta digitális irányítási központként működik, ahol a vállalatok nyomon követhetik információbiztonsági állapotukat, kezelhetik a kockázatokat, és megtervezhetik a fejlesztési lépéseket. „Olyan ez, mint egy személyi edző a kiberbiztonságban” – magyarázza Máté. – „Segít felkészülni az auditra, de utána is ott marad, hogy az eredmény tartós legyen.”
A rendszer több ezer követelményt képes értelmezni és leképezni a vállalat működésére, miközben indexpontokkal mutatja meg, hol tart a szervezet a megfelelésben. „Egy kisebb audit esetén akár 1200 követelményt kell teljesíteni. Ember nincs, aki ezt fejben átlátná – ehhez szoftveres támogatás kell” – teszi hozzá Máté.
A SeCube GRC tehát nem csupán egy eszköz, hanem egy új működési filozófia: a megfelelés nem egyszeri projekt, hanem folyamat. „Mi nem csak auditálunk vagy tanácsot adunk, hanem segítünk a vállalatoknak beépíteni a kiberbiztonságot a napi működésükbe” – foglalja össze Dakó Balázs.
NIS2, ébresztő!
A NIS2 nemcsak egy újabb uniós szabályozás: egy ébresztő a vállalatok számára, hogy a digitális biztonság immár a működés alapfeltétele. A KÜRT ebben a változásban nem kívülről figyel, hanem aktívan formálja azt.
„A hitelesség és a függetlenség az, ami a KÜRT szakmai pozícióját valóban értékessé teszi ebben a piacban.” – emeli ki Dakó Balázs. –„A célunk, hogy a megfelelés mögött valódi működési biztonság álljon. Ez az, ami hosszú távon megtérül – a szervezetnek és az ügyfeleknek is” – zárja Kmetty József.
A címlapkép illusztráció. Forrás: Freepik
