// KIBERBIZTONSÁGI KISOKOS · 03. MODUL

Kockázatkezelés — a fontosat véded, nem mindent

Q: Mi a különbség a kockázatértékelés és a kockázatkezelés között?

A kockázatértékelés (risk assessment) a felmérés: azonosítod, mi fenyeget, mekkora a valószínűsége és a hatása, és rangsorolod a kockázatokat. A kockázatkezelés (risk management) ennél tágabb, folyamatos tevékenység: tartalmazza az értékelést, de a döntéseket is (elfogadod, csökkented, áthárítod vagy megszünteted a kockázatot), a végrehajtást és a rendszeres felülvizsgálatot. Az értékelés egy pillanatkép; a kezelés a köré épülő ciklus.

Q: Mi az a maradványkockázat (residual risk)?

A maradványkockázat az a kockázat, ami az intézkedések bevezetése UTÁN is megmarad. Nullára csökkenteni a kockázatot általában lehetetlen vagy aránytalanul drága, ezért minden intézkedés után marad egy elfogadott szint. Ezt tudatosan kell vállalni: a vezetésnek látnia és jóvá kell hagynia, mekkora maradványkockázattal él a cég — ez maga is dokumentálandó döntés.

C · I · A kb. 7 perc olvasás

A kockázatkezelés a NIS2 motorja: nem mindent maximalizálsz, hanem a kockázat arányában döntöd el, mire költesz. Előbb felméred, mi az értékes és mi fenyegeti, majd a fenyegetés valószínűsége és hatása alapján rangsorolsz — és csak utána intézkedsz. Ez a modul megmutatja, hogyan végzel el egy egyszerű kockázatértékelést egy kis cégnél is, drága eszközök nélkül.

Hogyan értékeld? → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Mi a kockázatkezelés?

A kockázatkezelés azt jelenti, hogy nem próbálsz mindent egyformán megvédeni — hanem a kockázat arányában teszed. Először felméred, mi az értékes és mi fenyegeti, kiszámolod, hol a legnagyobb a baj esélye és súlya, és oda teszed a pénzt meg az időt, ahol a legtöbbet ér. A kockázatot egy egyszerű képlettel lehet elképzelni: kockázat = fenyegetés × valószínűség × hatás.

Képzeld el a házad zárjaival Nem teszel páncélzárat minden ajtóra. A bejárati ajtóra, ahol könnyen besétálhat egy betörő és sok érték van bent, erős zárat és riasztót teszel. A kerti fészerre, ahol csak egy gereblye áll és úgyis rálátsz, elég egy egyszerű lakat. A padlásablakra, amit alig lehet elérni és úgysincs mögötte semmi, talán semmit. Ugyanannyi pénzből így több biztonságot kapsz, mintha minden ajtóra ugyanazt a drága zárat raknád. A kockázatkezelés pontosan ez: a fenyegetés esélye (mennyire könnyű bejutni) és a hatása (mennyi érték van mögötte) együtt mondja meg, hova mennyit érdemes költeni.

A digitális világban az „ajtók" a rendszereid (könyvelőprogram, webshop, e-mail), az „értékek" az adataid és folyamataid, a „betörő" pedig a zsarolóvírus, az adathalászat vagy egy emberi hiba. A valószínűség azt mondja meg, mekkora eséllyel következik be a baj; a hatás azt, mennyibe kerülne, ha mégis bekövetkezik (kiesés, bírság, jó hírnév, helyreállítás). A kettő szorzata adja a kockázat súlyát — és ez dönti el a sorrendet. A buktató, ha mindent egyformán fontosnak veszel: akkor vagy túlköltekezel, vagy épp a legfontosabbra nem marad erő.

2 · A gyakorlatban

Miért NIS2-szempont?

A kockázatkezelés nem egy a sok intézkedés közül — ez az a logika, amiből az összes többi következik. A NIS2 nem ad fix, mindenkire egyforma pipa-listát; kockázatarányos intézkedéseket vár el. Vagyis előbb fel kell mérned a kockázataidat, és ennek arányában eldöntened, mire költesz. Ezért hívjuk a kockázatkezelést a megfelelés motorjának.

Mi ez?

Folyamatos tevékenység, amely felméri (kockázatértékelés), rangsorolja és kezeli a kockázatokat: minden fontos kockázathoz döntést és — ahol kell — intézkedést rendel, majd rendszeresen felülvizsgálja. A kimenete jellemzően egy karbantartott kockázati regiszter.

Miért NIS2-kötelező elem?

A NIS2-t átültető szabályozás kifejezetten kockázatarányos intézkedéseket vár el, és a kockázatkezelési politika a vezetés átruházhatatlan felelőssége. A pontos elvárás a szervezet érintettségétől függ — itt szándékosan nem idézünk konkrét paragrafust; az értelmezés mindig egyedi.

Hogyan segít?

Ha a kockázat arányában döntesz, ugyanabból a keretből több valódi biztonságot kapsz: a fontosat erősen véded, a lényegtelenre nem pazarolsz. Egyúttal bizonyíthatóvá teszi a döntéseidet — egy auditnál pont ezt a logikát kérik majd számon.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan végezz kockázatértékelést? — hat lépés

Nem kell hozzá drága rendszer; egy táblázattal és némi józan ésszel el lehet kezdeni. A lényeg, hogy a döntéseid ne megérzésen, hanem egy ismételhető, leírt folyamaton alapuljanak.

Eszközök és adatok számbavétele

Nem véded, amiről nem tudsz. Vedd számba, mi az értékes: milyen rendszereid, adataid és folyamataid vannak, és mi lenne a kiesésük üzleti hatása. Ez a kockázatkezelés bemenete — és egyben a CIA triász kérdése: melyik adatnál fáj a legjobban a bizalmasság, a sértetlenség vagy a rendelkezésre állás sérülése.

Fenyegetések azonosítása

Sorold fel, mi fenyegeti ezeket az értékeket: zsarolóvírus, adathalászat, rendszerkiesés, kilépő munkatárs, elveszett laptop, beszállítói incidens. Nem kell teljesnek lennie — a leggyakoribb, legreálisabb fenyegetésekkel kezdd.

Valószínűség × hatás becslése

Minden kockázatnál becsüld meg, mekkora a bekövetkezés valószínűsége és mekkora lenne a hatása. Elég egy egyszerű alacsony / közepes / magas skála — a cél a rangsorolás, nem a tizedespontos pontosság.

Kockázati regiszter és mátrix

Vezesd egy táblázatba — ez a kockázati regiszterKockázati regiszter: élő nyilvántartás a kockázatokról. Soronként egy kockázat, oszlopaiban a leírás, a valószínűség, a hatás, a tervezett intézkedés, a felelős és a határidő. —, és helyezd el a kockázatokat egy valószínűség × hatás mátrixban. A jobb felső sarok (magas valószínűség, magas hatás) a piros zóna: ezekkel foglalkozz először.

Kezelési döntés

Minden kockázatnál dönts a négy lehetőség közül: elfogadod (tudatosan vállalod), csökkented (intézkedéssel, pl. MFA, mentés), áthárítod (pl. biztosítás, szerződéses felelősség) vagy megszünteted (elhagyod a kockázatos tevékenységet). A döntést a regiszterbe is írd be.

Maradványkockázat és éves felülvizsgálat

Az intézkedések után megmaradó maradványkockázatot a vezetésnek tudatosan el kell fogadnia. Utána a regiszter nem alszik el: vizsgáld felül legalább évente — vagy nagyobb változáskor (új rendszer, új beszállító, incidens után).

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a kockázatkezelésért felelős kollégának szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

Kvalitatív vs. kvantitatív kockázatértékelés

A kvalitatív megközelítés szöveges/skálás kategóriákkal dolgozik (alacsony / közepes / magas) — gyors, érthető, és kis cégnél tökéletesen elég. A kvantitatív módszer számszerű becsléseket használ: pl. az ALE (Annualized Loss Expectancy, várható éves veszteség) az egyszeri kárérték és az éves bekövetkezési gyakoriság szorzata. Ez akkor hasznos, ha egy konkrét beruházást pénzben kell indokolni („megéri-e X forintot költeni rá?"), de sokkal több megbízható adatot igényel. A legtöbb KKV jól jár, ha kvalitatívan kezd, és csak a legnagyobb tételeknél számol kvantitatívan.

Kockázati étvágy és kockázattűrés

A kockázati étvágy (risk appetite) az a kockázati szint, amit a vezetés a céljai elérése érdekében hajlandó tudatosan vállalni; a kockázattűrés (risk tolerance) az ettől megengedett, konkrét eltérés. Ezeket előre, vezetői szinten érdemes kimondani, mert ez adja a mércét a kezelési döntésekhez: ami az étvágy alá esik, azt elfogadhatod; ami fölé, azt csökkentened, áthárítanod vagy megszüntetned kell. Enélkül minden döntés ad-hoc, és nehéz bizonyítani, miért épp úgy döntöttél.

Keretrendszerek és a kontroll-leképezés

A kockázatkezeléshez léteznek nemzetközi keretrendszerek — pl. az ISO/IEC 27005 (információbiztonsági kockázatkezelés), az ISO 31000 (általános kockázatkezelés) vagy a NIST kockázatkezelési keretei. Ezeket nem kötelező betűre követni, de jó vázat adnak. A gyakorlatban a kulcs a kontroll-leképezés: minden azonosított, csökkentendő kockázathoz hozzárendelsz egy konkrét intézkedést (kontrollt) — pl. „ellopott admin-fiók" → MFA + legkisebb jogosultság; „zsarolóvírus" → tesztelt, leválasztott mentés. Így a kockázati regiszter közvetlenül összeköthető a hozzáférés-kezeléssel, a mentéssel és a többi kontrollal — és a Szabályzat-csomag kockázati regiszter sablonjával (NYV-01) is.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Kockázati lista

Van-e leírt listátok arról, mik a legnagyobb kiberkockázataitok (pl. zsarolóvírus, adatszivárgás, kiesés)? Ha fejből, szóban tudjátok csak, akkor még nincs kockázatkezelés — csak érzés.

2 · Döntés a kockázathoz

A felismert kockázatokhoz tartozik-e tudatos döntés (elfogadjuk / csökkentjük / áthárítjuk / megszüntetjük) és felelős? A „tudunk róla, de nem csinálunk vele semmit" nem döntés.

3 · Felülvizsgálat

Mikor néztétek át utoljára a kockázataitokat? Ha az új rendszerek és beszállítók óta egyszer sem, valószínűleg elavult a kép — és pont a friss kockázatok a legveszélyesebbek.

1 · Laikusan

Gyakori tévhit

Tévhit

„A biztonság az, ha mindent maximálisan levédünk."

Mindent egyformán, maximálisan védeni nem biztonság, hanem pazarlás — és a gyakorlatban kivitelezhetetlen. Véges a pénz, az idő és a figyelem: ha mindenre egyformán szórod, a fontosra sosem jut elég. A jó kockázatkezelés épp a választásról szól: a kockázat arányában a legnagyobb fenyegetéseket erősen véded, a kicsiket tudatosan elfogadod. A NIS2 is ezt várja — nem a „mindent maximalizálunk", hanem a „kockázatarányosan, bizonyíthatóan döntünk" hozzáállást.

Gyakori kérdések

GYIK a kockázatkezelésről

Mi a különbség a kockázatértékelés és a kockázatkezelés között?

A kockázatértékelés a felmérés: azonosítod, mi fenyeget, mekkora a valószínűsége és a hatása, és rangsorolod a kockázatokat. A kockázatkezelés ennél tágabb, folyamatos tevékenység: tartalmazza az értékelést, de a döntéseket is (elfogadod, csökkented, áthárítod vagy megszünteted), a végrehajtást és a rendszeres felülvizsgálatot. Az értékelés egy pillanatkép; a kezelés a köré épülő ciklus.

Túl bonyolult ez egy kis cégnek? Kell hozzá szoftver?

Nem kell drága szoftver. Egy kis cégnél elég egy táblázat: oszlopok a kockázat leírására, a valószínűségre, a hatásra, a tervezett intézkedésre és a felelősre. A lényeg nem az eszköz, hanem a fegyelem: hogy a fontos kockázatokat felírd, döntést rendelj hozzájuk, és időnként visszanézd. A bonyolultabb, automatizált megoldások később, a növekedéssel jönnek.

Mi az a maradványkockázat (residual risk)?

A maradványkockázat az, ami az intézkedések bevezetése után is megmarad. Nullára csökkenteni a kockázatot általában lehetetlen vagy aránytalanul drága, ezért minden intézkedés után marad egy szint. Ezt tudatosan kell vállalni: a vezetésnek látnia és jóvá kell hagynia, mekkora maradványkockázattal él a cég — ez maga is dokumentálandó döntés.

Miért a kockázatkezelés a NIS2 motorja?

Mert a NIS2 nem ad fix, mindenkire egyforma technikai pipa-listát: kockázatarányos intézkedéseket vár el — azt, hogy a védelmed a tényleges kockázataidhoz igazodjon. Előbb fel kell mérned és rangsorolnod a kockázataidat, és ennek arányában dönteni, mire költesz. A kockázatkezelés adja azt a logikát, amiből a többi intézkedés (hozzáférés-kezelés, mentés, incidenskezelés) prioritása és mértéke következik.

TOVÁBB

Folytasd a felkészülést

Következő és kapcsolódó témák

← Előző modul Eszközleltár és adatosztályozás Következő modul → Szabályzatok és kormányzás

Következő lépés

Megvan az elv - hol a legnagyobb kockázatotok?

A kockázati regiszter felépítése szervezeti munka, amit magadnak kell elvégezned — de a technikai kockázatok egy részét (kitett bejelentkező felületek, hiányzó biztonsági fejlécek, gyenge konfiguráció) egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Jó kiindulópont a kockázatértékeléshez.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz