Magyar Kiberbiztonsági Klaszter
Csatlakozom
Magyar Kiberbiztonsági Klaszter
Csatlakozom

NIS2
MUNKACSOPORT

Gyakorlati segítség a megfeleléshez

Az Európai Unió NIS2 irányelve (2022/2555/EU) új szintre emeli a kiberbiztonsági követelményeket. Segítünk eligazodni a szabályozásban, és választ adunk a gyakorlati kérdésekre.

Mi az a NIS2?

Az Európai Unió kiberbiztonsági irányelve, amely az érintett szervezetek számára kötelező információbiztonsági és kockázatkezelési követelményeket ír elő a digitális infrastruktúrák és szolgáltatások védelme érdekében.

Kire vonatkozik?

A NIS2 irányelv elsősorban a kritikus és fontos ágazatokban működő közép- és nagyvállalatokra, valamint olyan szervezetekre vonatkozik, amelyek működése kiemelt jelentőségű az ország és a gazdaság digitális biztonsága szempontjából.

Miért fontos?

Segít a szervezeteknek felkészülni a kibertámadásokra, csökkenti az üzleti és működési kockázatokat, valamint növeli az ügyfelek, partnerek és hatóságok felé a biztonságba vetett bizalmat.

Eddig beérkezett észrevételek

Átfogó hatástanulmány és rendszerértékelés készítése: Mielőtt a jelenlegi NIS2 környezeten érdemi módosítás történik, szükség lenne egy átfogó hatástanulmányra, amely az elmúlt két év tapasztalatai alapján rendszerszinten elemzi a kialakult helyzetet. Ennek vizsgálnia kellene az egyes stakeholderek (érintett szervezetek, auditorok, tanácsadók, hatóság, beszállítók) motivációit, kapacitásproblémáit és az egymásnak sokszor ellentmondó ösztönzőket. A tanulmány második része (vagy szakasza) azt értékelné, hogy az egyes szabályozási vagy módszertani változtatások milyen piaci, működési és kiberbiztonsági hatásokat eredményezhetnének rövid és hosszú távon.

Fázisos, érettség-alapú bevezetési modell kialakítása (de hatékonyabban, mint a régi IBtv. szerinti szervezeti biztonsági szint): A jelenlegi rendszer egyik legnagyobb problémája, hogy túl rövid idő alatt próbál nagyon magas szintű megfelelést kikényszeríteni rendkívül eltérő érettségű szervezetektől. Célszerű lenne a kötelezettségeket legalább „essential” és „important” kategóriák mentén, de akár tényleges kiberbiztonsági érettség alapján is fokozatosan bevezetni. Egy alacsony érettségű középvállalat számára először az alapvető kontrollok stabil működtetését kellene elérni, majd több éves (nyomonkövetett) roadmap mentén lehetne továbblépni komplexebb követelmények felé. Ez nem gyengítené a biztonságot, hanem reálisabb és fenntarthatóbb fejlődési pályát biztosítana.

A követelményrendszer egyszerűsítése kisebb és alacsonyabb érettségű szervezetek számára: A NIST SP 800-53 rendkívül részletes és komplex kontrollrendszer, amelyet eredetileg nagyobb és fejlettebb szervezetekre optimalizáltak az amerikai kritikus infrastruktúrák számára. Sok magyar szervezetnél jelenleg nem a kontrollok finomhangolása, hanem az alapvető biztonsági működés megteremtése lenne a cél. Érdemes lenne egy egyszerűbb baseline modellt alkalmazni (például a NIST Cybersecurity Framework vagy egy maturity-alapú megközelítés irányába elmozdulni), amely jobban támogatná a fokozatos fejlődést és nem a "papírgyártás" felé tolja az auditmegfelelési gyakorlatot.

Külön OT/ICS módszertan és követelményrendszer bevezetése: A jelenlegi megközelítés túlságosan IT-központú, miközben számos érintett szervezet ipari, gyártási vagy egyéb OT környezetben működik. Az OT rendszerek működési logikája, kockázatai és technológiai korlátai alapvetően eltérnek a klasszikus IT környezettől. Érdemes lenne a NIST SP 800-82 vagy az IEC 62443 logikájára épülő külön útmutatókat és auditelvárásokat kialakítani, hogy ne ugyanazzal a szemlélettel próbálják auditálni egy gyártósor PLC hálózatát, mint egy vállalati Active Directory környezetet.

Külön felhőbiztonsági (cloud security) követelményrendszer és auditmódszertan kialakítása: A jelenlegi szabályozási és auditálási logika alapvetően hagyományos, on-premise infrastruktúrákra épül, miközben a modern szervezetek jelentős része már hibrid vagy teljesen felhőalapú környezetben működik. Egy cloud-native architektúra működése, felelősségi modellje és biztonsági kockázatai alapvetően eltérnek egy klasszikus szerverközpontú infrastruktúrától. A jelenlegi kontrollok sok esetben nehezen értelmezhetők SaaS, PaaS vagy multi-cloud környezetben, illetve túlzott adminisztratív terhet okoznak. Célszerű lenne külön cloud security útmutatót és auditmódszertant kialakítani, amely figyelembe veszi a shared responsibility modellt, a modern identitás- és hozzáféréskezelést, a CSPM-megoldásokat, a DevSecOps működést, valamint a felhőszolgáltatók és az érintett szervezetek közötti felelősségi határokat. Ez csökkentené az auditok bizonytalanságát, egységesebb értelmezést teremtene és jobban illeszkedne a modern infrastruktúrák valós működéséhez.

Külön AI governance és AI-biztonsági követelményrendszer bevezetése: Az AI-eszközök robbanásszerű terjedése alapjaiban változtatja meg a megfelelési, szabályozási és auditálási környezetet, miközben a jelenlegi NIS2-rendszer gyakorlatilag nem foglalkozik ezzel a területtel. A szervezetek tömegesen kezdenek AI-t használni szabályzatgenerálásra, kontrollértelmezésre, dokumentációkészítésre vagy akár auditálási támogatásra, sok esetben megfelelő kontrollok nélkül. Emiatt könnyen kialakulhat egy olyan „AI-optimalizált compliance”, amely papíron jól működik, de mögötte nincs valódi működési érettség vagy emberi megértés. Emellett a hétköznapokban is egyre inkább alkalmazott AI eszközök szintén nagyon sok security problémát okoznak, melyekre ez az EIR központú rendszer (a mostani követelményrendszerrel főleg) nem alkalmas. Célszerű lenne külön AI governance és AI security követelményeket kialakítani.

A kockázatalapú működés valódi támogatása és kikényszerítése: A jogszabály lehetőséget ad a kontrollok személyre szabására, kizárására vagy helyettesítő védelmi intézkedések alkalmazására, azonban ezt a gyakorlatban sok szervezet nem érti vagy nem meri alkalmazni. Emiatt a szervezetek sokszor mechanikusan próbálnak minden kontrollnak megfelelni, valódi kockázatelemzés nélkül. A hatóságnak és a szakmai közösségnek sokkal erősebben kellene támogatnia a tényleges kockázatalapú döntéshozatalt, konkrét példákkal és módszertani útmutatókkal.

Részletes hatósági útmutatók és evidencia-katalógus kiadása: Jelenleg a piac jelentős része bizonytalanságban működik, mert nincs egységes értelmezés arról, hogy pontosan milyen bizonyítékok elfogadhatóak egy-egy kontroll teljesítésére. Érdemes lenne kontrolltípusonként meghatározni, hogy például szabályzat, képernyőkép, konfiguráció-export, naplófájl, interjú vagy működési teszt szükséges-e. Ez jelentősen csökkentené a szervezetek, tanácsadók és auditorok közötti konfliktusokat, valamint növelné az auditok összehasonlíthatóságát.

Az auditdíj-rendszer újragondolása: A jelenlegi díjstruktúra több esetben torz ösztönzőket hoz létre, különösen az EIR-ek számához kapcsolódó szorzók miatt. Emiatt sok szervezet üzleti vagy szakmai szempontból nem optimális módon próbálja összevonni rendszereit, csak azért, hogy csökkentse az auditköltséget. Olyan modellt kellene kialakítani, amely nem bünteti a részletesebb és szakmailag korrektebb rendszerfelmérést.

Az EIR-azonosítás és csoportosítás egységesítése: Az EIR fogalma jelenleg sok szervezetnél továbbra is bizonytalan, különösen komplex vagy vegyes IT/OT környezetekben. Szükség lenne részletes, szektor-specifikus példákra, referencia-architektúrákra és konkrét mintamodellekre, hogy a szervezetek és auditorok hasonló logika mentén gondolkodjanak. Ez különösen fontos lenne nagyvállalatok és több telephelyes cégcsoportok esetében.

A vezetői felelősség és edukáció megerősítése A NIS2 egyik legfontosabb célja az lenne, hogy a kiberbiztonság ne kizárólag technológiai kérdésként jelenjen meg, hanem (valóban) vezetői és üzleti felelősséggé váljon, mivel jelenleg elvileg az, de a gyakorlatban ez senkire nem hatott ösztönzően. Sok helyen azonban a megfelelés teljes terhe az IBF-re vagy az IT-osztályra kerül, miközben a felsővezetés nem érti a döntések üzleti és kockázati következményeit. Célszerű lenne kötelező vezetői képzéseket bevezetni, hasonlóan egyes nyugat-európai modellekhez.

A compliance helyett a működő reziliencia ösztönzése: A jelenlegi környezet túlzottan dokumentumcentrikus irányba tolja a piacot. Emiatt kialakulhat egy olyan helyzet, ahol egy szervezet papíron magas megfelelési szintet mutat, miközben a valós működésben gyenge marad. Az auditok során nagyobb hangsúlyt kellene kapnia a működési bizonyítékoknak, sérülékenységvizsgálatoknak, incidens-reakciós képességeknek, valós technikai kontrolloknak és akár red teaming jellegű validációknak.

Az auditori piac fokozatos és kontrollált bővítése: A jelenlegi kapacitáshiány hosszú távon fenntarthatatlan. Ugyanakkor a gyors piacbővülés könnyen a minőség rovására mehet. Olyan mentorált vagy több szintű auditori modellt lehetne kialakítani, ahol junior auditorok tapasztalt vezető auditorok mellett fejlődnek, miközben biztosított marad a szakmai minőség és az egységes módszertan.

Stabilabb és kiszámíthatóbb szabályozási környezet kialakítása: Egy új, összetett kiberbiztonsági szabályozás esetén természetes, hogy idővel módosításokra van szükség. Az azonban fontos lenne, hogy a változások átlátható roadmap mentén történjenek, megfelelő átmeneti időkkel és világos kommunikációval. A jogbiztonság és az előre tervezhetőség kulcsfontosságú ahhoz, hogy a szervezetek ne csak túlélni próbálják a megfelelést, hanem valódi fejlesztési programként tekintsenek rá.

Az EIR-alapú működés újragondolása és gyakorlati útmutatókkal való támogatása: Az EIR-alapú megfelelési modell önmagában nem feltétlenül hibás, azonban jelenlegi formájában sok esetben túl elméleti és nehezen alkalmazható a gyakorlatban. Különösen problémás ez úgy, hogy az auditálási díjszabás jelentős részben az EIR-ek számától függ, ami torz ösztönzőket hoz létre és szakmailag indokolatlan rendszerösszevonásokhoz vezethet. Az EIR-modell csak akkor működhet jól, ha részletes, szektor-specifikus gyakorlati útmutatók, referenciaarchitektúrák és konkrét példák támogatják az azonosítást és csoportosítást.

A definiált auditdíj-plafon és a piaci működés újragondolása: A jelenlegi auditdíj-plafon rövid távon ugyan védheti az érintett szervezeteket, hosszabb távon azonban kapacitás- és minőségi problémákat okozhat az auditori piacon. Valószínűsíthető, hogy a piac természetes módon képes lenne beárazni a különböző komplexitású auditokat, különösen akkor, ha a követelményrendszer és az auditmódszertan egyszerűbbé, arányosabbá és jobban standardizálttá válna. A jelenlegi modell túlzott költségnyomást helyezhet az auditorokra, ami a minőség rovására mehet és tovább erősítheti a tömegtermelés jellegű auditálási működést.

Nemzetközi jó gyakorlatok adaptálása a magyar piacra: Több európai ország (például Belgium) maturity-alapú, fokozatos és a szervezetek működési valóságához jobban illeszkedő megközelítést alkalmaz. A CyberFundamentals Framework például ötvözi a maturity modelleket, a gyakorlati kontrollokat és a nemzetközi standardokat. Érdemes lenne megvizsgálni, hogy ezekből milyen elemek lennének adaptálhatók a magyar szabályozási környezetbe.

Kevesebb néha több jeligére: a jelenlegi szabályozás, annak a megvalósítása és az auditori rendelet mind-mind abba az irányba hat, hogy az audit teljes egészében papírmunka lett. Át lehet menni úgy az auditon, hogy az adott szervezetnek minden szabályzata és dokumentuma megvan, de nincs se MFA-ja, se biztonsági mentése se erős jelszó policy-ja. De van 70 oldalas rendszerbiztonsági terve. A jelenlegi szabályozás nem segíti a vállalatok kiberbiztonsági szintjének növekedését, cserébe jelentős forrásokat emészt fel. Célszerűbb lenne kevesebb elvárás megfogalmazni, azonban a kevesebb elvárást szigorúbban ellenőrizni. Legyen kötelező a biztonsági mentés, az admin MFA, a jogosultságkezelés, az oktatás, de alap szinten tényleg hozzáad egy szervezet életéhez ha besorolja a munkaköröket biztonsági szempontból? Vagy ha hamisítás elleni képzést tart? A független auditorok megléte és az audit kötelem véleményem szerint jó dolog, de ha már "használjuk", akkor tehetnénk jól is: valódi biztonsági elvárások valódi vizsgálatára.

Az auditálandó vállalkozások, az auditor cégek és az auditorok száma, valamint egy időszak alatt elvárt auditok száma a valósággal összeegyeztethető kellene legyen, összhangban kellene legyen, szabályozni lenne érdemes, hogy egy auditor cég a rendelkezésre álló auditor kapacitásával (munkavállaló/alvállalkozó) maximum mennyi/milyen auditra kötelezett vállalkozást auditálhat egy bizonyos időszak (pl.: 1 év) alatt. Jelenleg a legtöbb auditor cég túlterhelt, ami az auditálás minőségére és az auditált szervezetekkel való kommunikáció milyenségére kihatással van, nem biztos, hogy a jelenlegi feltételek teljesítéséhez szükséges auditori állomány rendelkezésre áll most az országban.

Hogyan segít a NIS2 munkacsoport?

A Magyar Kiberbiztonsági Klaszter NIS2 munkacsoportja azért jött létre, hogy gyakorlati segítséget nyújtson a NIS2 irányelvre való átállás során felmerülő technikai, jogi és szervezeti kihívások kezelésében. A hazai implementációval, az auditokkal, az EIR-rel és az érintetti kör meghatározásával kapcsolatban számos kérdés, észrevétel és fejlesztési javaslat fogalmazódik meg a kötelezett szervezetek, tanácsadók, információbiztonsági felelősök, auditorok és más szakmai szereplők részéről.

A munkacsoport célja ezen tapasztalatok és szakmai vélemények összegyűjtése, rendszerezése és a jogalkotói oldal felé történő továbbítása, ezzel támogatva egy szélesebb szakmai párbeszéd kialakulását. A kezdeményezés lehetőséget teremt arra, hogy a szükséges módosítások és pontosítások szakmai konszenzus alapján szülessenek meg.

Az oldalon az érdeklődők közvetlenül is feltehetik kérdéseiket a munkacsoport szakértőinek, akik segítséget nyújtanak többek között a kockázatkezelés, az incidensjelentés, az ellátási lánc biztonsága és a megfelelőségi dokumentáció témaköreiben. 

Tegye fel kérdését - Tegye biztonságosabbá szervezete jövőjét!

Kérjük amennyiben észrevétele, tapasztalata, javaslata van a NIS2 hazai követelményekkel, alkalmazásával, alkalmazhatóságával kapcsolatban, azt ossza meg velünk, akár anonim módon!

Ha hozzájárul, felvetéseit megjelenítjük az oldalon, további közös gondolkodást elősegítendő és a szakmai diskurzus érdekében!

Süti beállítások módosítása
Copyright© 2025 Magyar Kiberbiztonsági Klaszter, Minden jog fenntartva.