Hír

A NIS 2 a közszférában – amikor az eddigi rendszer már nem elég

dr. Boros Balázs Sándor|2025. május 14.

Új szabályozás, új logika, új felelősség – a közintézmények információbiztonsága teljesen új alapokra került 2024-től.

Mi történt eddig? És mi változik most?

A közszféra szervezetei az elmúlt években megszokták és kiépítették az információbiztonsági működésüket a 2013. évi L. törvény, valamint az annak követelményeit részletesen kibontó  41/2015. (VII. 15.) BM rendelet alapján.
Ez a szabályozás jól ismert struktúrákat rögzített, például:

  • a védelmi intézkedések hármas felosztását (Adminisztratív – Fizikai – Logikai), – az EIR  (elektronikus információs rendszer) IBF, (elektronikus információs rendszer biztonságáért felelős személy) fogalmakat,
  • az üzemeltetői és felhasználói szerepkörökre vonatkozóm differenciált elvárások rendszerét,
  • az NKI által kibocsátott, a kontrollok kapcsán segítséget nyújtó ”OVI táblát”

Ez a rendszer a maga logikájában stabilnak és kezelhetőnek tűnt – de a 2024-es év folyamán, különös tekintettel a végén kiadott új jogszabályokra –  minden megváltozott. A 2024. évi LXIX. törvénnyel új kiberbiztonsági törvény született, aminek új végrehajtási rendelete is van, és a kontrollokra vonatkozóan is új MK rendelet került kiadásra.

A NIS 2 implementációja felborította a korábbi kereteket

2024-ben nemcsak a 2013. évi L. törvény került hatályon kívül, de még a 2023. évi XXIII. törvény is – emiatt gyakorlatilag a régi és az új jogszabályi környezet is lecserélésre került és teljesen új struktúra alakult ki.

Az új szabályozás a NIS 2 irányelv alapján jött létre, és teljesen más logikát követ, mint amit eddig a közintézmények ismertek.

  • Az informatikai – kiberbiztonsági kontrollok új rendszerezésben jelennek meg,
  • a megfeleléssel kapcsolatos elvárások komplexebbek és szigorúbbak, hiszen a kiberfenyegetések jelentősége is megnőtt az elmúlt évtized alatt,
  • a korábbi struktúrák nem vihetők át egy az egyben az új érába.

A megfelelést előbb-utóbb ellenőrizni fogják

A NIS 2 és hazai implementációja nemcsak elvárásokat fogalmaz meg, hanem kötelező ellenőrzési rendszert is tartalmaz.
A közszféra szervezeteinek is számítaniuk kell arra, hogy az NKI (Nemzeti Kibervédelmi Intézet) auditálja majd a megfelelést, a korábbi, formális „kipipálás” nem lesz elegendő, valós és működő információbiztonsági rendszer meglétét kell igazolni.

Ez most csak egy újabb EU-s teher? Vagy lehetőséget is rejt?

Jogosan érezhetjük úgy, hogy ismét egy adminisztratív terhet raktak a szervezetünkre – új új szabályzatokat, új megfelelési dokumentumokat kell kialakítani, új fogalmakkal is meg kell ismerkedni, sőt akár szükséges lehet a működésünkben is változtatásokat eszközölni. De ha a lényeget nézzük, a NIS 2 célja rólunk szól: a biztonságunkról.
Mert közben a támadások egyre kifinomultabbak:

  • exponenciálisan nő a kiberbiztonsági incidensek száma,
  • a támadók eddig is egyre rafináltabb trükköket használtak, de az utolsó években már automatizált, mesterséges intelligenciával támogatott módszereket alkalmaznak,
  • az intézményi rendszerek ma már célpontok – és nem csak elméletben, nemcsak a központi rendszereknél, hanem akár a mi saját, helyi vagy szakosított intézményünk esetében is.

Mi a tét, ha nem lépünk időben?

Sok közintézmény úgy érzi, „mi nem lehetünk célpontok”. A valóság viszont mást mutat:
az elmúlt években jelentősen megnőtt az állami és önkormányzati rendszerek elleni kibertámadások száma – nemcsak Európában, hanem Magyarországon is.

A támadások célja nem feltétlenül az adatlopás, hanem gyakran a működés ellehetetlenítése. És ha egy intézmény működése megbénul, az nemcsak belső probléma, hanem társadalmi hatással is jár.

Mi történhet, ha nem készülünk fel?

1. Leálló ügyintézési folyamatok

Egy támadás következtében elérhetetlenné válhatnak, leállhatnak:

  • szakrendszerek,
  • teljes ügyfélkiszolgálás,
  • személyi állományhoz kapcsolódó nyilvántartások,
  • dologi nyilvántartások.

Ez nem csupán kellemetlenség, hanem jogi és működési kockázat is – mert a jogszabályban előírt határidős kötelezettségeket nem lehet teljesíteni, továbbá kihathat az intézményünkkel kapcsolatban álló állampolgárok saját kötelezettségeinek határidőben történő teljesítésére is.

2. Adatvesztés vagy kiszivárgás

Különösen érzékeny probléma a közszférában a személyes adatok és hivatalos dokumentumok, minősített adatok biztonsága.
Ha ezek megsérülnek, elvesznek vagy nyilvánosságra kerülnek:

  • adatvédelmi hatósági eljárás indulhat,
  • az intézménybe vetett bizalom súlyosan sérül, ami továbbá kihathat a közigazgatás egészébe vetett bizalomra is,
  • és akár bírság is kiszabható a GDPR vagy NIS 2 alapján.

3. Bizalomvesztés a lakosság vagy partnerek részéről

Egy intézmény hírneve hosszú idő alatt épül ki, de egyetlen biztonsági incidens elég lehet ahhoz, hogy:

  • a lakosság bizalmatlanná váljon, tömegesen panaszt tegyen az intézmény ellen,
  • a média megjelenjen, és kellemetlen kérdéseket tegyen fel,
  • és a személyes vezetői hitelesség is meginogjon.

Ez nemcsak külső, hanem belső következményekkel is jár: motivációcsökkenés, munkatársi frusztráció, elvándorlás, a felügyeleti szerv részéről történő elmarasztalás

4. Komoly anyagi és jogi következmények

  • A helyreállítás technikai költségei (rendszerek újraindítása, adatmentés, szakértők bevonása).
  • A támadás miatt kieső működés, hatékonyságvesztés.
  • Esetleges kártérítési felelősség (bírósági eljárás) vagy bírságok (pl. NAIH, NKI).

Ezek összeadódva többszörösére nőhetnek, mint amennyibe a megelőző felkészülés került volna.

A régi rendszer nem tudja kezelni az új típusú fenyegetéseket. Az új környezethez új eszközök, új megközelítés, és új felelősségvállalás szükséges. A NIS 2 és az azt implementáló magyar jogszabályok nem csupán egy újabb „adminisztratív csomag”. Ez az első olyan szabályozás, ami közvetlen kapcsolatot teremt a technológiai biztonság és a közszolgálati hitelesség között.

Az ORCON ebben tud segíteni

Az ORCON tanácsadói csapata tapasztalt a közszféra sajátos működésében – és abban is, hogyan lehet meglévő rendszerekből átvezetni egy szervezetet az új követelményrendszerbe.

Miben segítünk?

  • A NIS 2 és az azt implementáló magyar jogszabályok követelményeinek értelmezésében – közérthetően, célzottan,
  • A meglévő dokumentáció és folyamatok új alapokra helyezésében,
  • A vezetői döntés-előkészítés támogatásában,
  • A szervezet hatósági ellenőrzésre való felkészítésében,
  • Végezetül pedig abban, hogy ne csak megfeleljen a szervezet, hanem valóban felkészült legyen egy esetleges támadással szemben.

Nem baj, ha újra kell építeni

A NIS 2 nem nosztalgiázik a múlt struktúráival. De ha hajlandók vagyunk a megszokott kereteken túllépni, akkor egy hatékonyabb, átláthatóbb, és valósabban védett informatikai működés jöhet létre.
A kérdés most nem az, várhatunk-e még. Hanem az, hogy mit teszünk ma azért, hogy holnap is működhessen, amit ma felépítettünk.

Előző cikk
Következő cikk