NIS2 és kiberbiztonság érthetően
Nem tankönyv, hanem térkép. Végigvezet a kiberbiztonságon a hétköznapi analógiáktól a technikai mélységig — a CIA triász mint vezérfonal. Megérted, mit véd a NIS2, hol állsz most, és mi a következő lépésed. Akkor is hasznos, ha nem vagy technikai.
Érint engem a NIS2? Jellemzően akkor, ha az érintett ágazatban működsz, és eléred a középvállalkozói méretet: legalább 50 fő és 10 millió eurónak megfelelő árbevétel/mérlegfőösszeg felett. A pontos választ a szektori besorolás dönti el.
Mi felkészítünk, nem mi auditálunk. Ez a tudásbázis általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot SZTFH-nyilvántartásba vett auditor végzi, külön díjért. A jogszabályi adatok 2026. júniusi állapot szerint.
A lényeg egy dobozban
- A kiberbiztonság vezetői felelősség, nem „IT-ügy" — a NIS2 ezt jogszabályba is foglalja.
- Minden védelmi intézkedés a CIA triász egy lábát erősíti: bizalmasság, sértetlenség, rendelkezésre állás.
- Van néhány szervezeti (szabályzat, hozzáférés, mentés, incidens) és technikai kontroll, amit be kell vezetni.
- A technikai réseket egy ingyenes szivárgás-audit azonnal megmutatja; a szervezetit önellenőrzéssel kezdheted.
- Felkészülés ≠ audit. Mi felkészítünk; a hatósági auditot regisztrált auditor végzi.
A vezérfonal: a CIA triász
A teljes tananyag egyetlen kérdés-hármasra fűzhető fel. Minden intézkedésnél ezt kérdezd:
Bővebben a CIA triászról — analógiák, példák, technikai mélység →
A teljes út — 15 téma A-tól Z-ig
Olvasd végig sorban, vagy ugorj arra, ami most fáj. A vastag bal szegélyű témáknak külön, mélységi oldaluk is van.
Miért most?
A kiberbiztonság ma üzleti és jogi kockázat, nem informatikai apróság. A NIS2 a vezetés átruházhatatlan felelősségévé teszi.
A CIA triász
A közös mentális keret: minden kontroll a bizalmasság, a sértetlenség vagy a rendelkezésre állás védelmét szolgálja.
Mélységi oldalMit védünk? (eszközleltár)
Nem véded, amiről nem tudsz. Eszköz- és adatleltár, adatosztályozás — ez a kockázatkezelés bemenete.
Kockázatkezelés
A NIS2 motorja: a kockázat arányában döntöd el, mire költesz. Nem mindent maximalizálsz, hanem a fontosat véded.
Szabályzatok és kormányzás
Ki mit tehet, számonkérhetően — amit az auditor először kér. A leírt, betartatott szabály a bizonyíték.
Mélységi oldalHozzáférés-kezelés (least privilege)
Mindenki csak annyi jogot kapjon, amennyi a munkájához kell. A leggyorsabb, legolcsóbb biztonsági nyereség.
Mélységi oldalHálózati zónák, tűzfalak
Vízzáró rekeszek a hálózaton: egy feltört gép ne fertőzhesse meg az egész céget. Szegmentáció és tűzfal.
Mélységi oldalRendszer- és adatvédelem
Titkosítás, frissítések (patch), hardening. A mérhető technikai réteg — épp ezt nézi meg az ingyenes audit.
Detektálás (naplózás, SIEM)
Híd a megelőzés és a reagálás között. Ha nincs napló, vakon repülsz — és a NIS2-bejelentés is erre épül.
Incidenskezelés és bejelentés
A NIS2 legkonkrétabb, határidős kötelezettsége: korai jelzés 24 órán belül, bejelentés 72 órán belül, zárójelentés 1 hónapon belül.
Mentés és üzletmenet-folytonosság
A rendelkezésre állás végső biztosítéka zsarolóvírus ellen. RTO/RPO, tesztelt visszaállítás, BCP/DRP.
Ellátási lánc
A támadás gyakran a gyengébb beszállítón át jön. A NIS2 elvárja a partnerek kockázatának kezelését is.
Emberi tényező
A legjobb megtérülésű „puha" kontroll: biztonságtudatossági képzés. A támadások többsége embert céloz, nem gépet.
Megfelelőség, bizonyíték, audit
A kör zárása: hatály, határidők, bizonyíték-struktúra — és a felkészülés vs auditálás éles elválasztása.
Mélységi oldalFenntartás (PDCA)
A megfelelőség nem projekt, hanem ciklus: tervezz, valósíts meg, ellenőrizz, javíts. Évente újra.
Hol tartasz most? — 6 szervezeti kontroll
Hat igen/nem kérdés a NIS2 legfontosabb szervezeti elvárásairól. Nincs adatküldés, nincs regisztráció — a válaszaid csak a böngésződben maradnak. A végén megmondjuk, hol a leggyengébb láncszemed.
Önellenőrzés — 6 kontroll
Válaszolj őszintén. A cél nem a jó pontszám, hanem a rések feltárása.
Van leírt, dátumozott információbiztonsági szabályzatotok, amit a dolgozók ismernek?
Pontosan tudjátok, ki mihez fér hozzá, és a kritikus rendszereken van MFA?
Van rendszeres, tesztelt mentésetek, amiből zsarolóvírus után is helyreálltok?
Van incidenskezelési tervetek, és tudnátok 24/72 órán belül bejelenteni egy súlyos esetet?
Felmértétek a fontosabb beszállítók/partnerek kiberbiztonsági kockázatát?
Kapnak a dolgozók rendszeres biztonságtudatossági képzést (pl. adathalászat ellen)?
Ki a felelős, hol a határ?
Fontos tisztán látni a szereposztást, mielőtt bárkivel szerződsz:
Amit mi adunk
Felkészítés és modernizáció: a technikai rések feltárása, javítócsomag, a szervezeti kontrollok bevezetésének támogatása, dokumentáció. Ez szabadpiaci szolgáltatás.
Amit az auditor ad
A független, kötelező megfelelőségi auditot SZTFH-nyilvántartásba vett auditor végzi, külön díjért. Ezt mi nem helyettesítjük — és nem is ígérünk „garantált megfelelést".
Amit te adsz
A felelősség a cégé — a NIS2 szerint átruházhatatlanul a vezetésé. Mi a keretet és a bizonyíték-struktúrát adjuk; a döntéseket és a bevezetést a szervezet hozza meg.
Mi felkészítünk, nem mi auditálunk. A jogszabályi hivatkozások (2024. évi LXIX. törvény és kapcsolódó rendeletek) a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik. Konkrét érintettség és kötelezettségek ügyében jogi szakértő/auditor a mérvadó.
GYIK a NIS2-ről és a Kisokosról
Megvan a térkép — hol állsz valójában?
A technikai réseket (titkosítás, biztonsági fejlécek, elérhetőség) egy ingyenes szivárgás-audit pár perc alatt megmutatja, a saját domained alapján. A szervezeti kontrollokat magadnak kell bevezetned — de már nem vakon: tudod, mit keresel.