A NIS2 audit nem a szabályzataidat olvassa – hanem azt
nézi, ami tényleg működik
2026. június 30. – ennyi idő maradt arra, hogy az első NIS2 kiberbiztonsági auditot ne
improvizálva vészeljétek át. A jó hír: a legtöbb szervezetnél a kontrollok nagy része már
létezik. A kevésbé jó hír: az auditor nem a dokumentumokat hiszi el, hanem a
bizonyítékokat kéri. Mutatjuk, mi a különbség – és hogyan érdemes hozzáállni.
Volt egyszer egy szabályzat…
Ismerős a helyzet: a megfelelési projekt lezárult, a dokumentumok megvannak, a
folyamatok le vannak írva. Mindenki megkönnyebbül egy kicsit – aztán valaki
rákérdez, hogy na de az auditot mikor csináljuk meg?
A NIS2 ugyanis nem a szépen formázott PDF-eket vizsgálja. Az auditor arra kíváncsi,
hogy a leírt folyamatok tényleg élnek-e a szervezetben, van-e felelősük, és ha valami
elromlik, valaki valóban cselekszik-e – vagy csak a szabályzatban szerepel, hogy
cselekszik.
Ez az a pont, ahol sok szervezet meglepődik. Nem azért, mert nem csinálnak semmit,
hanem mert amit csinálnak, az nem hagy maga után visszakereshető nyomot.
Márpedig az auditor számára, ha nincs bizonyíték, nincs kontroll.
Mit keres az auditor? (Nem azt, amit gondolsz)
A NIS2 logikája szerint a kiberbiztonság szervezeti kockázatkezelési kérdés – nem
csak az IT-osztály ügye. Ezért az auditor sem konfigurációkat pötyög végig, hanem azt
nézi: van-e olyan rendszer, amely tartósan képes kezelni a kiberkockázatokat.
A vizsgált területek – hozzáférések kezelése, sérülékenységek, incidenskezelés,
beszállítói kockázatok – ismerősek lehetnek, hiszen az ISO 27001 vagy a NIST
keretrendszerekből is köszönnek vissza. A lényeg azonban nem az, hogy ezek a
területek szerepelnek-e valahol a dokumentációban. A lényeg az, hogy működnek-e
rendszeresen, van-e felelősük, és tudod-e bizonyítani.
Konkrétan: hozzáférés-felülvizsgálati jegyzőkönyvek, sérülékenységkezelési riportok,
incidenskezelési naplók, oktatások dokumentációja. Ezek az úgynevezett „operatív
evidenciák” – és ezek hiányán szokott elakadni a legtöbb audit.
Hogyan ne kapj hidegzuhanyos audit-reggelt
A felkészülés szinte minden szervezetnél egy gap assessmenttel kezdődik – egy
strukturált felméréssel, amely megmutatja, hol van tényleges hiányosság, és hol
„csak” a dokumentáltság vagy a következetesség hiányzik. Ez utóbbi egyébként sokkal
gyakoribb.
A fő feladat három dologban sűrűsödik össze: ki a felelőse az egyes kontrolloknak,
milyen ritmusban kell elvégezni őket, és hol keletkezik a bizonyíték. Erre szolgál az
evidencia-katalógus: egy egyszerű, strukturált nyilvántartás, amely kontrollonként
megmutatja, mi a bizonyíték, hol van, és ki állítja elő.
Egy utolsó praktikus szempont: a NIS2 auditot csak a felügyelet által nyilvántartott
auditorok végezhetik, az érintett szervezetek száma viszont nagy. 2026 első felében az
auditkapacitás szűkös lesz – aki most kezd el foglalkozni a kérdéssel, időpontot is
könnyebben talál.
A kontrollokat viszonylag gyorsan fel lehet állítani. Azt azonban, hogy azok tényleg
működnek, csak az idő tudja bizonyítani – és pontosan ezt méri majd az auditor
2026 nyarán.
