NIS2 audit kontrollok: mit fog ténylegesen kérni az
auditor 2026-ban?
Nem checklist lesz – hanem működésvizsga
A NIS2-ről sokáig az volt a fő kérdés, hogy kikre vonatkozik és mik a határidők. Mostanra
viszont jön a kellemetlenebb rész: mit fog ténylegesen megnézni az auditor? És ami még
fontosabb – mit nem.
A rövid válasz: nem a szabályzatokat. Hanem azt, hogy a kritikus kontrollok tényleg
működnek-e. Van-e nyomuk, ritmusuk, felelősük. Vagy csak „papíron rendben” minden.
Amikor a valóság utoléri a szabályzatot
Tipikus helyzet: a dokumentáció elkészült, ISO is megvan, minden szépen össze van rakva.
Aztán jön az audit, és kiderül, hogy amit leírtatok, az nem mindig történik meg – vagy
legalábbis nem visszakereshetően.
Az auditor ugyanis nem egy checklistet pipál. Azt nézi, hogy a szervezet képes-e kezelni a
kiberkockázatokat a gyakorlatban. Ez három szinten jelenik meg: van-e vezetői kontroll,
működnek-e az IT-folyamatok köré épített kontrollok, és mindez bizonyítható-e.
Ha nincs log, riport vagy jegyzőkönyv, akkor a kontroll az auditor szemében nem létezik.
Akkor sem, ha „mindenki tudja”, hogy amúgy csináljátok.
Mit fog biztosan nézni? (És miért pont azt)
A fókusz szinte mindig ugyanazokra a területekre esik: incidenskezelés, hozzáférések,
változáskezelés, naplózás, sérülékenységek, mentések, beszállítók. Nem azért, mert ezek jól
hangzanak egy szabályzatban, hanem mert ezek mutatják meg, hogy egy szervezet tényleg
észlelni, reagálni és helyreállni képes-e.
Ismerős terep lehet ez az ITGC vagy ISO 27001 világból. A különbség az, hogy itt nem a
keretrendszer számít, hanem az, hogy a kontrollok élnek-e. Az ISO segít – de nem ment meg,
ha nincs mögötte működés.
A valódi kérdés: készen állsz az auditra – vagy tényleg
működsz?
A legtöbb szervezet „audit readiness”-ben gondolkodik. Gyors felkészülés, hiányosságok
betömése, dokumentumok rendbetétele. Ez rövid távon működhet – de a NIS2 nem erről szól.
Ez valójában egy működési próba. Azt méri, hogy a kontrollkörnyezet tényleg irányítja-e a
szervezet digitális működését.
Ha ez most kezd el foglalkoztatni, jó hír: a legtöbb kontroll már valamilyen formában létezik.
A kérdés csak az, hogy látszik-e. Mert az auditon végül mindig ugyanaz derül ki: nem az
számít, hogy mit írtál le – hanem az, hogy mit tudsz megmutatni.
