Főoldal/Kiberbiztonsági Kisokos/Fenntartás — a PDCA-ciklus
// KIBERBIZTONSÁGI KISOKOS · 14. MODUL

Fenntartás — a PDCA-ciklus

C · I · A kb. 7 perc olvasás

A megfelelőség nem projekt, hanem ciklus: tervezz, valósíts meg, ellenőrizz, javíts — évente újra. Egy egyszeri felkészülés eredménye fél év múlva már elavult kép; a kockázatok, a technológia és a szabályok folyamatosan változnak. Ez a modul megmutatja, hogyan tartod életben a megfelelőséget a PDCA-ciklussal, élő szabályzatokkal és a hatékonyság mérésével — egy kis cégnél is, túlbonyolítás nélkül.

Hogyan tartsd életben? → Gyors önellenőrzés Vissza a Kisokoshoz
1 · Laikusan

Mi a fenntartás?

A fenntartás azt jelenti, hogy a megfelelőséget nem egyszer „letudod", hanem életben tartod. Felkészülni nem olyan, mint felépíteni egy falat, amit aztán békén hagysz — inkább olyan, mint karbantartani egy élő rendszert. A világ körülötted változik: új programokat vezetsz be, új beszállítókkal dolgozol, megjelennek új fenyegetések. Ha a védelmed nem mozdul velük, lassan elavul. Ezért a megfelelőség nem projekt, hanem ciklus: tervezz, valósíts meg, ellenőrizz, javíts — és kezdd elölről.

Képzeld el az edzettséggel Ha lefutsz egy maratont, attól még nem maradsz örökre fitt. Az edzettség nem egyszeri teljesítmény, hanem állapot, amit fenn kell tartani: ha hónapokra abbahagyod a mozgást, az erőnléted leépül, és a következő nehézségnél már nem bírod. Ráadásul a tested és a céljaid is változnak, ezért időnként felül kell vizsgálnod, mit és hogyan edzel. A kiberbiztonsági megfelelőség pontosan ilyen: nem az a kérdés, hogy egyszer megfeleltél-e, hanem hogy folyamatosan formában tartod-e magad. Az egyszeri felkészülés a maraton; a fenntartás a heti edzés, ami megőrzi, amit elértél.

A gyakorlatban ez egy ismétlődő kört jelent. Először megtervezed, mire van szükség (mi a kockázat, milyen intézkedés kell). Aztán megvalósítod — tényleg bevezeted, nem csak papíron. Majd ellenőrzöd: működik-e, amit beállítottál, tényleg csökken-e a kockázat. Végül javítasz azon, ami nem vált be, és frissíted a dokumentumaidat. Ezután kezdődik elölről — jellemzően évente. A buktató, ha a felkészülést egyszeri projektnek hiszed: a fiókba tett szabályzat fél év múlva már nem írja le, hogyan működtök valójában.

2 · A gyakorlatban

Miért NIS2-szempont?

A NIS2 nem egy egyszeri vizsga, amit leteszel és kész. A megfelelőség folyamatos kötelezettség: nemcsak bevezetni kell az intézkedéseket, hanem mérni is a hatékonyságukat, és a vezetésnek rendszeresen felül kell vizsgálnia az egészet. Ezért a fenntartás — a PDCA-ciklus működtetése — nem extra, hanem a megfelelőség természetes állapota.

Mi ez?

Ismétlődő irányítási kör (PDCA): tervezel, megvalósítasz, ellenőrzöl és javítasz, majd újrakezded. A kimenete élő dokumentumrendszer (szabályzatok, kockázati regiszter) és a hatékonyság mérésének nyilvántartása — nem egy lezárt projektmappa.

Miért NIS2-kötelező elem?

A NIS2-t átültető szabályozás folyamatos megfelelőséget, a hatékonyság mérését és a vezetői felülvizsgálatot várja el. A pontos elvárás a szervezet érintettségétől függ — itt szándékosan nem idézünk konkrét paragrafust; az értelmezés mindig egyedi.

Hogyan segít?

Ha ciklusban dolgozol, a védelmed együtt mozog a valós kockázataiddal, nem avul el két audit között. Egyúttal bizonyíthatóvá teszi, hogy a megfelelőség él: dátumozott, verziózott szabályzatok és mérési eredmények mutatják, mikor és mit tettél.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

A PDCA-ciklus — négy fázis, évente újra

A PDCA (Plan-Do-Check-Act, azaz Tervezz-Valósíts meg-Ellenőrizz-Javíts) egy egyszerű, ismételhető kör. Nem kell hozzá drága rendszer; a lényeg, hogy a négy fázis tényleg körbeérjen, és legalább évente — vagy nagyobb változáskor — újrainduljon.

01

Plan — tervezz

Frissítsd a kockázatértékelést, és határozd meg, milyen intézkedések kellenek. Minden ponthoz tartozzon cél, felelős és határidő. A terv válaszol arra: mit akarunk elérni, és miből tudjuk majd, hogy sikerült.

02

Do — valósítsd meg

Vezesd be a tervezett intézkedéseket a gyakorlatban: konfiguráció, eljárás, munkatársak oktatása, dokumentáció. Itt dől el, hogy a szabályzat élő gyakorlat lesz-e, vagy csak egy fiókba tett papír. Ne csak leírd — csináld is meg.

03

Check — ellenőrizz

Mérd a hatékonyságot: néhány egyszerű mutató (KPI), egy belső auditBelső audit: saját, rendszeres ellenőrzés, amely megnézi, hogy az intézkedések a leírt módon működnek-e a gyakorlatban. Nem ugyanaz, mint a hatósági/független megfelelőségi audit. vagy a kockázatok újramérése. Tényleg működik, amit bevezettél? Például: hány gépen van bekapcsolva az MFA, sikerül-e visszaállítani a mentést, mennyi idő alatt javítjátok a kritikus hibákat.

04

Act — javíts

Az ellenőrzés tanulságai alapján korrigálj: javítsd, ami nem vált be, és frissítsd a szabályzatokat meg a kockázati regisztert. Ez zárja vissza a kört a tervezésbe — és ezért nem áll meg soha a folyamat, csak újraindul.

Két dolgot tarts észben a ciklus körül. Először: az éves felülvizsgálat nem elhagyható — legalább évente (vagy nagyobb változáskor: új rendszer, beszállító, incidens) a vezetés tekintse át az egészet. Másodszor: a szabályzatok élő dokumentumok. Mindegyiken legyen dátum, verziószám és jóváhagyás, hogy bizonyítható legyen, mikor és ki nézte át utoljára. A hatékonyság mérésének eredményeit pedig vezesd külön nyilvántartásban (a Szabályzat-csomag NYV-06 mérési nyilvántartása) — ez köti össze a élő szabályzatokat a bizonyítható működéssel.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a megfelelőségért felelős kollégának szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

A NIS2 mint folyamatos kötelezettség
A NIS2 logikájában a megfelelőség nem egy állapot, amit elérsz, hanem egy folyamat, amit fenntartasz. A szabályozás a kockázatarányos intézkedések bevezetésén túl kifejezetten elvárja a hatékonyság mérését és a vezetői felülvizsgálatot: a vezetésnek rendszeresen meg kell győződnie arról, hogy az intézkedések nemcsak léteznek, hanem működnek is. A magyar átültetés alapja a 2024. évi LXIX. törvény (a kiberbiztonsági tárgyú jogszabály) és a kapcsolódó végrehajtási rendeletek — a konkrét, fenntartásra és felülvizsgálatra vonatkozó rendelkezés részleteit a hatályos szövegből kell ellenőrizni. A pontos elvárás a szervezet besorolásától függ, ezért szándékosan nem idézünk találomra paragrafust.
KPI-ok és a hatékonyság mérése
A „mérd a hatékonyságot" a gyakorlatban néhány jól megválasztott KPI-t (kulcsmutatót) jelent, amit rendszeresen rögzítesz: pl. az MFA-lefedettség aránya, a kritikus sérülékenységek javítási ideje (patch-átfutás), a sikeres mentés-visszaállítási próbák száma, a phishing-teszt kattintási aránya, vagy az incidensekre adott válaszidő. A lényeg nem a sok mutató, hanem hogy néhány, a kockázataidhoz illő számot következetesen kövess, trendként nézz, és a Check-fázisban ezekből vonj le következtetést. Ezt érdemes a Szabályzat-csomag hatékonyság-mérési nyilvántartásában (NYV-06) vezetni — így a mérés bizonyíthatóan visszacsatol a tervezésbe.
Belső audit, vezetői felülvizsgálat és a PDCA gyökerei
A PDCA-ciklus (Deming-kör) nem NIS2-specialitás: ez az ISO menedzsmentrendszerek (pl. ISO/IEC 27001 információbiztonsági irányítási rendszer) közös váza. Onnan jön a két fontos visszacsatoló elem is: a belső audit (saját, tervezett ellenőrzés, hogy az eljárások a leírt módon működnek-e) és a vezetői felülvizsgálat (management review: a felső vezetés rendszeres, dokumentált értékelése a rendszer alkalmasságáról és hatékonyságáról). A kettő együtt adja a Check→Act átmenet bizonyítékait. Kis cégnél nem kell teljes ISO-tanúsítás ahhoz, hogy a logikát átvedd: a fegyelmezett éves kör — mérés, belső átnézés, vezetői döntés a javításokról — már önmagában érdemben emeli a megfelelőség szintjét és bizonyíthatóságát.
2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Élő dokumentumok

Van-e a szabályzataitokon dátum, verziószám és jóváhagyás, és frissültek-e az elmúlt évben? Ha egy dokumentumon sincs dátum, vagy egyik sem mozdult, valószínűleg már nem azt írja le, ahogy ténylegesen működtök.

2 · Mérés

Mértek-e bármilyen mutatót a védelem működéséről (pl. MFA-lefedettség, mentés-visszaállítás, javítási idő)? Ha csak annyit tudtok, hogy „be van vezetve", de hogy működik-e, azt nem, akkor a Check-fázis hiányzik.

3 · Éves felülvizsgálat

Volt-e az elmúlt egy évben vezetői átnézés a kockázatokról és a szabályzatokról? Ha az utolsó komoly áttekintés a felkészülés óta nem ismétlődött meg, a ciklus megállt — és a megfelelőség lassan elavul.

1 · Laikusan

Gyakori tévhit

Tévhit

„Megcsináltuk a NIS2-felkészülést, ezzel kész is vagyunk."

A felkészülés nem cél, hanem kiindulópont. A kockázatok, a technológia, a beszállítók és a jogszabályok folyamatosan változnak, ezért egy egyszeri projekt eredménye hónapok alatt elavul. A megfelelőség állapot, amit fenn kell tartani: mérni kell a hatékonyságot, frissíteni az élő szabályzatokat, és a vezetésnek rendszeresen felül kell vizsgálnia az egészet. A „kész vagyunk" gondolkodás épp ott bukik meg, ahol a legtöbbet számítana — a következő incidensnél vagy auditnál, ahol a friss, működő gyakorlatot kérik számon, nem a tavalyi papírt.

Gyakori kérdések

GYIK a fenntartásról

Azt, hogy a megfelelőséget nem lehet egyszer „letudni". A kockázatok, a technológia, a beszállítóid és a jogszabályok folyamatosan változnak, ezért a védelem is csak akkor marad érvényes, ha rendszeresen újratervezed, bevezeted, ellenőrzöd és javítod. Ez a PDCA-ciklus: Plan-Do-Check-Act, évente legalább egyszer újra. Egy egyszeri projekt eredménye fél év múlva már elavult kép — a ciklus tartja életben.
Általános gyakorlat a legalább évente egyszeri felülvizsgálat, plusz minden nagyobb változáskor: új rendszer, új beszállító, szervezeti átalakulás vagy incidens után. A szabályzatok élő dokumentumok: mindegyiken legyen dátum, verziószám és jóváhagyás, hogy bizonyítható legyen, mikor és ki nézte át utoljára.
Nem elég bevezetni egy intézkedést — bizonyítani kell, hogy működik is. A hatékonyság mérése azt jelenti, hogy mutatókat (KPI), belső auditot vagy újramérést használsz annak ellenőrzésére, hogy az intézkedés tényleg csökkenti-e a kockázatot. Például: hány felhasználón van bekapcsolva az MFA, sikeres-e a mentés visszaállítása, mennyi idő alatt javítják a kritikus sérülékenységeket. Ezt érdemes nyilvántartásban (NYV-06) vezetni.
A NIS2 logikájában a megfelelőség vezetői felelősség. A vezetésnek nemcsak jóvá kell hagynia a szabályzatokat, hanem rendszeresen — jellemzően évente — felül is kell vizsgálnia az egész rendszer működését és hatékonyságát, és döntenie a szükséges javításokról. Ez a vezetői felülvizsgálat (management review) zárja le és indítja újra a PDCA-ciklust.
TOVÁBB
Folytasd a felkészülést
Következő és kapcsolódó témák
← Előző modul NIS2-megfelelőség Következő → Kiberbiztonsági fogalomtár
Biztonsági szabályzatok Kockázatkezelés Megfelelőség
Következő lépés

Megvan az elv - de él-e a gyakorlatban?

A PDCA-ciklus működtetése — élő szabályzatok, mérés, vezetői felülvizsgálat — szervezeti munka, amit magadnak kell életben tartanod. De a Check-fázis technikai részét egy ingyenes szivárgás-audit pár perc alatt megmutatja: a saját domained alapján láthatod a kitett felületeket, a hiányzó biztonsági fejléceket és a gyenge konfigurációt. Jó kiindulópont a következő körhöz.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz
Indíts ingyenes auditot →