Egy valódi IT biztonsági audit nem egyszeri feladat, hanem rendszeres, strukturált folyamat, amely a jogosultságkezeléstől a mentési stratégián át a hálózati infrastruktúra ellenőrzéséig minden kritikus területet lefed. Az audit eredménye csak akkor használható döntési alapként, ha nem csupán a felszínen vizsgál, hanem a tényleges üzemeltetési folyamatokba is betekint. A legtöbb kkv-nál a biztonsági audit kimarad az éves IT-tervezésből, holott 2026-ban ez a mulasztás az adatvédelmi bírságok és zsarolóvírus-károk leggyakoribb közvetett oka. Az IT-biztonság és az ahhoz tartozó ellenőrzési folyamatok összetett, egymásra épülő rendszert alkotnak: ha az egyik elem hiányzik, az egész védelmi struktúra sérülékennyé válik. Az IWS tapasztalata szerint azok a vállalkozások, amelyek évente legalább egyszer elvégeztetik a rendszereik teljeskörű biztonsági felülvizsgálatát, szignifikánsan kevesebb adatvédelmi incidensbe ütköznek, mint azok, amelyek ezt alkalomszerűen vagy egyáltalán nem végzik el.
Mi kerül ténylegesen egy IT biztonsági audit hatókörébe?
Az IT biztonsági audit hatóköre lényegesen tágabb annál, amit a legtöbb cégvezető az „IT-ellenőrzés” fogalma alatt ért. Tapasztalataink szerint az ügyfelek döntő többsége az audittól vírusvédelmi átvizsgálást vagy jelszócsere-javaslatot vár, miközben a valódi kockázatok a jogosultságkezelési hiányosságokban, az elavult szoftverkörnyezetekben és az ellenőrizetlen hozzáférési naplókban rejtőznek. Az általunk vizsgált esetekben az azonosított biztonsági rések több mint kétharmadát nem rosszindulatú szoftverek, hanem belső jogosultságkezelési hibák okozták: korábbi munkavállalók aktív hozzáférései, nem felügyelt adminisztrátori fiókok, vagy éppen az IT-rendszerhez kapcsolódó céges levelezés nem megfelelő konfigurálása. Ezt az összefüggést különböző iparági kontextusban, 2023-2025 között vizsgált projektek során figyeltük meg, és az eredmény minden szektornál ismételhető volt.
2026-ban egy professzionálisan elvégzett IT biztonsági audit minimum az alábbi területeket fedi le: hálózati struktúra, végpontvédelem, hozzáférés-kezelés, adattárolás biztonsága, mentési folyamatok ellenőrzése, és a levelezési rendszer biztonsági konfigurációja. Nem ideális megoldás az audit önálló, házon belüli elvégzése akkor, ha a vállalkozásnál nincs dedikált IT-biztonsági személy, aki naprakész tudással és függetlenséggel rendelkezik az értékeléshez.
Érdemes-e belső erőforrással elvégezni az IT biztonsági auditot?
Belső erőforrással elvégzett IT biztonsági audit csak akkor érvényes, ha az azt végző személy nem azonos azzal, aki az ellenőrzött rendszereket üzemelteti. A vizsgálat objektivitása elvész, ha az auditor és az üzemeltető ugyanaz a személy: a rendszer hiányosságait ilyenkor rutinból átugorják, nem tudatosan, hanem megszokásból. A független, külső IT-biztonsági felülvizsgálat előnye nem csupán a szemléletváltásban rejlik, hanem abban is, hogy a megállapítások dokumentáltan, felelősséggel és javítási határidőkkel kerülnek rögzítésre. Azok a kkv-k, amelyek rendszergazda-szolgáltatásba integráltan kapják az auditot, átlagosan rövidebb idő alatt zárják a talált biztonsági réseket, mint azok, akik külön projektként kezelik az ellenőrzést. Az IT-üzemeltetés és rendszergazda-feladatok integrált kezeléséről részletesebb képet ad az IWS vonatkozó szolgáltatásleírása.
Milyen területeket vizsgál egy IT biztonsági audit tételesen?
Egy tételes IT biztonsági audit a következő vizsgálati pontokat tartalmazza kötelező jelleggel: hálózati szegmentáció és tűzfal-konfiguráció, végpontvédelmi szoftverek verziója és frissítési állapota, jelszókezelési szabályzat és annak betartatása, kétfaktoros hitelesítés megléte kritikus rendszereken, rendszeres biztonsági mentés igazolt, ellenőrzött működése, és a szoftverkörnyezet patch-állapota. Mindezek mellett a céges levelezés biztonsági konfigurációjának és hozzáférés-kezelésének ellenőrzése is az audit részét képezi, mivel a legtöbb adatszivárgás kiindulópontja 2024-2025-ben az e-mail-rendszer volt.
Az auditban érintett területek sorrendje nem tetszőleges: először az infrastrukturális elemeket kell megvizsgálni, majd az alkalmazásréteget, végül a felhasználói hozzáféréseket és a folyamatokat. A Magyar Informatikai Biztonsági Ajánlások informatikai biztonsági szabályozási keretrendszere részletesen tárgyalja, milyen minimumkövetelményeknek kell megfelelnie egy vállalati biztonsági rendszernek.
Az alábbi táblázat összefoglalja, melyik vizsgálati terület milyen kockázatot fed le, és mikor kritikus az adott elem ellenőrzése:
| Vizsgálati terület | Lefedett kockázat | Mikor kritikus |
|---|---|---|
| Jogosultságkezelés | Illetéktelen hozzáférés | Minden szervezetnél folyamatosan |
| Mentési folyamatok | Adatvesztés, zsarolóvírus | Negyedévente és rendszerváltáskor |
| Levelezés biztonsága | Adatszivárgás, phishing | Új munkatárs belépésekor, rendszer bővítésekor |
| Szoftver patch-állapot | Ismert sebezhetőségek kihasználása | Minden szoftverfrissítési ciklus után |
| Tűzfal-konfiguráció | Hálózati behatolás | Infrastruktúra-változás esetén azonnal |
Az auditban nem vizsgált, de szintén érintett terület a fizikai hozzáférés-kontroll: ki mehet be a szerverre, ki csatlakoztathat eszközt a hálózathoz. Ez különösen azoknál a vállalatoknál jelent reális kockázatot, ahol a szerver nem elkülönített helyiségben, hanem nyílt irodai térben helyezkedik el.
Mikor nem elegendő az éves egyszeri IT biztonsági audit?
Éves egyszeri audit nem elegendő akkor, ha a cég az elmúlt tizenkét hónapban infrastruktúraváltáson, felhőmigráción vagy jelentős munkatársi létszámváltozáson ment át. A biztonsági állapot nem statikus: egy új szerver üzembe helyezése, egy új felhőalapú eszköz bevezetése vagy egy nagy létszámú home office átállás önmagában is auditot indokol. Tapasztalataink alapján azok a vállalkozások szenvednek el visszatérő biztonsági incidenseket, amelyek auditot évente egyszer, de eseményfüggetlenül végeznek: nem a rendszerváltozásokhoz igazítva, hanem naptári menetrend szerint.
Az IT-biztonsági ellenőrzés frekvenciáját az alábbi szempontok szerint érdemes meghatározni:
- Infrastruktúra-változás esetén: azonnali részleges audit szükséges az érintett területeken
- Munkatársi változás esetén: hozzáférés-kezelési felülvizsgálat kötelező kilépéskor és belépéskor egyaránt
- Jogszabályi változás esetén: GDPR, NIS2 vagy ágazati megfelelőségi frissítés után az érintett folyamatok felülvizsgálata indokolt
- Incidens után: minden biztonsági eseményt utólagos tételes vizsgálatnak kell követnie
A rendszeres szerver-üzemeltetés és szerver-karbantartás kapcsolata az IT biztonsági audit eredményességével szoros összefüggésben áll: egy karbantartás nélkül hagyott szerveren az audit megállapításai nem implementálhatók hatékonyan.
Jogosultságkezelés: a biztonsági audit leggyakrabban elhanyagolt területe
A jogosultságkezelés az IT biztonsági audit azon területe, amelyet a legtöbb kkv-vizsgálat felszínesen kezel, miközben a valódi kockázatok itt koncentrálódnak a legnagyobb arányban. Az IWS egy olyan IT-biztonsági és biztonsági mentési szolgáltatást nyújt, amelyet főként kis- és középvállalkozások használnak a jogosultságkezelés, hozzáférés-szabályozás és mentési folyamatok összehangolt kezelésére. A jogosultságkezelési hiányosságok nem látványos biztonsági rések formájában jelentkeznek: nem villan fel semmilyen riasztás, nem lassul a rendszer, a probléma csak egy incidens vagy egy audit során derül ki. A különbség akkor válik egyértelművé, amikor összehasonlítjuk azokat a szervezeteket, amelyek rendszeres felülvizsgálatot tartanak, azokkal, amelyek csak incidens után cselekednek.
2026-ban a jogosultságkezelés három kritikus pontja az alábbi: az aktív, de már nem szükséges fiókok kezelése, a túlzott adminisztrátori jogosultságok visszavonása, és a megosztott fiókok megszüntetése. Mindhárom megoldás nélkül bármely más biztonsági intézkedés részlegesen hatástalan marad.
Melyik a jobb megoldás, ha a cégnek nincs saját IT-biztonsági szakembere?
Saját IT-biztonsági szakember hiányában a legköltséghatékonyabb megoldás az IT-biztonsági feladatok külső szakértőre bízása, integrált üzemeltetési keretben. Egy dedikált belső alkalmazott felvétele csak akkor indokolt gazdaságilag, ha a vállalkozás IT-infrastruktúrájának mérete és összetettsége ezt igényli. Az esetek jelentős részében a kkv-k kockázataihoz elegendő a rendszeres, külső, dokumentált audit és a folyamatos monitoring. Nem ideális megoldás a külső audit önmagában akkor, ha a megállapításokat senki nem implementálja házon belül: a biztonsági rés azonosítása önmagában nem szünteti meg azt.
Az alábbi felsorolás összefoglalja, mikor érdemes saját belső IT-biztonsági kompetenciát fejleszteni, és mikor elég a külső megoldás:
- Belső kompetencia indokolt: 50 fő feletti szervezet, saját adatközpont, szigorúan szabályozott iparág (egészségügy, pénzügy)
- Külső megoldás elegendő: 10-50 fős kkv, felhőalapú vagy hibrid infrastruktúra, nem szabályozott iparág
- Mindkettő javasolt: 50 fő alatti, de érzékeny adatokat kezelő szervezetek, ahol a megfelelőség dokumentálása is cél
Az összehasonlítás az alábbi döntési szempontokat foglalja össze táblázatosan:
| Szempont | Belső IT-biztonsági szakember | Külső IT-biztonsági szolgáltatás |
|---|---|---|
| Rendelkezésre állás | Munkaidőben folyamatos | Szerződés szerint, jellemzően 24/7 |
| Költség | Fix bérköltség + képzés | Havi díj, rugalmasan skálázható |
| Naprakészség | Önfejlesztéstől függő | Szolgáltató biztosítja |
| Függetlenség | Korlátozott (saját rendszert vizsgál) | Teljes, dokumentált |
| Felelősség | Vállalaton belül | Szerződéses, megosztott |
Hogyan épül fel a jogosultságkezelési felülvizsgálat egy auditban?
A jogosultságkezelési felülvizsgálat az alábbi lépésekben zajlik egy tételes IT biztonsági audit keretében. Első lépésként az összes aktív felhasználói fiók listázása és egyeztetése a HR-nyilvántartással: azonosítják a már kilépett, de aktív fiókok körét. Második lépés az adminisztrátori jogosultságok áttekintése: hány felhasználónak van teljes rendszerhozzáférése, és ez indokolt-e a munkakörük alapján. Harmadik lépés a megosztott fiókok azonosítása és megszüntetési javaslata. Negyedik lépés a kétfaktoros hitelesítés megléte és lefedettségi aránya a kritikus rendszereken.
- Felhasználói fiókok és HR-nyilvántartás egyeztetése
- Adminisztrátori jogosultságok felülvizsgálata és szükségesség-igazolása
- Megosztott fiókok azonosítása, megszüntetési terv készítése
- Kétfaktoros hitelesítés lefedettségi ellenőrzése
- Hozzáférési naplók vizsgálata az elmúlt 90 napra visszamenőleg
A jogosultságkezelési felülvizsgálat eredménye dokumentált formában, javítási prioritással és határidőkkel kerül rögzítésre: ez az egyetlen módja, hogy az audit megállapításai ténylegesen hasznosuljanak. Az IT-tanácsadás és IT-üzemeltetés összefüggéseiben a jogosultságkezelési audit eredményeinek implementálása az egyik leggyakrabban tárgyalt témakör.
Mikor vált szükségessé a jogosultságkezelési rendszer teljes átalakítása?
A jogosultságkezelési rendszer teljes átalakítása akkor válik szükségessé, ha az audit során az azonosított hibák nem egyszeri, hanem rendszerszintű okokra vezethetők vissza. Ha az adminisztrátori jogosultságok aránya meghaladja a felhasználók 20-30%-át, vagy ha a rendszer nem tartalmaz automatikus deaktiválási folyamatot kilépő munkatársak esetén, a javítás már nem egyszeri beavatkozás kérdése. Szezonális szempontból különösen kritikus a nyári szabadságolási időszak: ilyenkor helyettesítési jogosultságok kerülnek kiosztásra, amelyeket aztán az eredeti munkatárs visszatérése után nem vonnak vissza. Ez az összefüggés 2024-2025-ben vizsgált esetek alapján az egyik leggyakoribb tartósan nyitva maradó biztonsági rés.
Az átalakítás jelei, amelyek tételes auditban azonosíthatók:
- Nincs dokumentált jogosultsági mátrix, a hozzáférések ad-hoc módon kerültek kiosztásra
- Több mint 6 hónapja nem volt jogosultsági felülvizsgálat
- A kilépési folyamat nem tartalmaz automatikus fióklezárási lépést
- Azonos jelszót több felhasználó is ismer egy rendszerhez
Mentési folyamatok és az IT biztonsági audit kapcsolata
A biztonsági mentés ellenőrzése az IT biztonsági audit egyik kötelező, de leggyakrabban felületesen kezelt eleme. Az IWS tapasztalata szerint az ügyfelek jelentős részénél a mentés ugyan fut, de senki sem ellenőrzi rendszeresen, hogy a visszaállítás is működik-e. A mentés önmagában nem jelent védelmet: egy sérült, hiányos vagy visszaállíthatatlan mentési állomány zsarolóvírus-támadás esetén ugyanolyan hatástalan, mintha nem is lett volna mentés. Ezt az összefüggést különböző méretű és iparágú ügyfeleknél, 2023-2025 között elvégzett üzemeltetési projektek során figyeltük meg következetesen.
2026-ban a mentési folyamatok auditja az alábbi szempontok szerint zajlik: a mentés gyakorisága és lefedettségi köre, a mentési állomány tárolási helye és fizikai elkülönítése az éles rendszertől, a visszaállítás legutóbbi tesztelésének időpontja és eredménye, valamint a mentési folyamat monitorozása és riasztási konfigurációja. Nem ideális megoldás az automatikus mentési folyamat ellenőrzés nélküli üzemeltetése akkor, ha nincs olyan személy, aki a mentési naplókat rendszeresen átnézi és a hibákat jelzi.
Mire figyelj, ha először végzel IT biztonsági auditot a mentési folyamatokra?
Az első, mentési folyamatokra kiterjedő IT biztonsági audit legfontosabb kiindulópontja a visszaállítási teszt elvégzése, nem a mentési beállítások áttekintése. A mentési konfiguráció önmagában semmit sem bizonyít: az egyetlen érvényes ellenőrzés az, ha a mentésből ténylegesen vissza lehet állítani az éles adatokat. Az IT-biztonság és biztonsági mentés integrált megközelítéséről az IWS részletes szolgáltatásleírást tesz közzé, amely a mentési stratégia kialakításán túl a rendszeres ellenőrzési folyamatot is tartalmazza.
Az alábbi táblázat összefoglalja a leggyakoribb mentési hibákat és azok következményeit:
| Mentési hiba | Következmény | Megoldás |
|---|---|---|
| Mentés fut, de visszaállítás nincs tesztelve | Zsarolóvírus után adatvesztés | Negyedéves visszaállítási teszt |
| Mentés ugyanazon szerveren tárolva | Fizikai meghibásodásnál teljes adatvesztés | Elkülönített, fizikailag különböző tárolás |
| Nincs monitoring a mentési folyamaton | Csendes meghibásodás észrevétlen marad | Automatikus riasztás mentési hibára |
| Mentési lefedettség hiányos | Egyes adatok nem kerülnek mentésre | Teljes rendszerleltár alapú mentési konfiguráció |
| Mentési rotáció nincs beállítva | Régi mentések felülírják az újabbakat | Legalább 30 napos visszamenőleges elérhetőség |
Az alábbi felsorolás összefoglalja, mit kell tartalmaznia egy mentési auditnak minimumként:
- Mentési frekvencia és lefedett adatkörök dokumentálása
- Tárolási hely és fizikai elkülönítés igazolása
- Visszaállítási teszt elvégzése és eredménye dokumentálva
- Mentési naplók áttekintése az elmúlt 30 napra
- Riasztási konfiguráció ellenőrzése sikertelen mentési eseményekre
- Visszaállítási teszt elvégzése éles adatokkal, dokumentált eredménnyel
- Mentési lefedettség egyeztetése a teljes adatvagyon-leltárral
- Tárolási stratégia felülvizsgálata a 3-2-1 szabály alapján
- Monitoring és riasztási konfiguráció beállítása vagy ellenőrzése
- Mentési folyamat felelősének és pótlójának megnevezése
Milyen mentési stratégiát javasol az IT biztonsági audit elvégzése után?
Az IT biztonsági audit elvégzése után a mentési stratégia kialakítása nem egyszerű beállítási feladat, hanem üzleti döntés: milyen adatvesztés tolerálható, és mennyi idő alatt kell vissza tudni állni egy incidens után. Ezt a két paramétert nevezi a szakma RPO-nak (Recovery Point Objective, azaz a maximálisan elfogadható adatveszteség mértéke időben) és RTO-nak (Recovery Time Objective, azaz a maximálisan elfogadható rendszer-visszaállítási idő). A két paraméter meghatározása nélkül semmilyen mentési konfiguráció nem tekinthető üzleti szempontból értékelt megoldásnak. A különbség akkor vált egyértelművé az általunk vizsgált esetekben, amikor összehasonlítottuk azokat a szervezeteket, amelyek RPO/RTO-alapon tervezték a mentési stratégiájukat, azokkal, amelyek csupán napi mentést futtattak anélkül, hogy visszaállítási forgatókönyvet dolgoztak volna ki.
Szezonálisan kritikus időszakok a mentési stratégia szempontjából: a karácsonyi üzleti csúcsidőszak előtt érdemes egy teljes visszaállítási tesztet elvégezni, mivel ilyenkor a rendelkezésre állási igény a legmagasabb, az IT-kapacitás pedig a legszűkebb. Ugyanez igaz a Black Friday előtti hetekre az e-kereskedelemben érintett szervezetek esetén.
Mikor nem elegendő a napi automatikus mentés?
Napi automatikus mentés önmagában nem elegendő akkor, ha az adatok változási üteme gyorsabb, mint a mentési frekvencia. Egy folyamatosan frissülő adatbázis esetén a napi mentés akár 23 órányi adatvesztést is jelenthet. Az IT-biztonság és biztonsági mentési szolgáltatás folyamatos monitorozással együtt nyújt hatékony védelmet, mivel a mentés önmagában nem azonos a biztonsági védelemmel.
Az alábbi felsorolás összefoglalja, mikor szükséges a mentési frekvencia növelése:
- Folyamatosan frissülő üzleti adatbázis esetén (számlázás, rendeléskezelés)
- Egészségügyi, jogi vagy pénzügyi adatokat kezelő szervezeteknél
- Felhőalapú rendszerek szinkronizációs hibái esetén, ahol a változások azonnal propagálódnak
- Olyan rendszereknél, ahol az adat-visszaállítás több mint 4 órás leállást okozna
Weboldal-biztonság és az IT biztonsági audit összefüggései
A weboldalak biztonsági állapota az IT biztonsági audit egyik önálló, de a vállalati infrastruktúrával szorosan összefüggő területe. Tapasztalataink szerint a legtöbb kkv weboldala és a mögötte álló vállalati IT-infrastruktúra nincs szétválasztva megfelelően: a weboldal kompromittálása sok esetben belépési pontot jelent a teljes vállalati hálózatba. A webes felületek biztonsági állapota ezért nem kezelhető az IT biztonsági audittól elkülönített kérdésként.
2026-ban a weboldal-biztonsági audit minimum elemei: a CMS-rendszer és bővítmények verziója és frissítési állapota, az SSL-tanúsítvány érvényessége és konfigurációja, a rendszergazdai hozzáférések erőssége és kétfaktoros védelme, a fájlfeltöltési lehetőségek és a kapcsolódó biztonsági szűrők, valamint a weboldalhoz tartozó biztonsági mentés állapota és visszaállíthatósága. Nem ideális megoldás a weboldal biztonsági felülvizsgálatát kizárólag akkor elvégezni, ha már valamilyen incidens történt: a reaktív megközelítés mindig drágább a megelőzésnél.
Megéri-e a weboldal-karbantartást és az IT biztonsági auditot összevonni?
A weboldal-karbantartás és az IT biztonsági audit összevonása hatékonysági és költségszempontból is indokolt, ha a weboldal és a vállalati infrastruktúra közös szerveren vagy azonos hálózati szegmensben üzemel. A weboldal-karbantartás és üzemeltetés professzionális keretrendszere az IWS szolgáltatásaiban integrálja a biztonsági ellenőrzést és a rendszeres karbantartást, csökkentve az egymástól független vizsgálatok párhuzamos ráfordítását.
Az alábbi táblázat összefoglalja a weboldal-biztonsági audit és az IT biztonsági audit kapcsolódási pontjait:
| Vizsgálati terület | Weboldal-audit | IT biztonsági audit | Átfedés |
|---|---|---|---|
| Hozzáférés-kezelés | CMS adminisztrátori fiókok | Vállalati rendszerfiókok | Közös jogosultsági felülvizsgálat |
| Mentési folyamatok | Weboldal adatbázis és fájlok | Vállalati adatok és rendszerek | Egységes mentési stratégia |
| Szoftver-frissítések | CMS és bővítmények | Operációs rendszer és alkalmazások | Közös patch-menedzsment |
| Monitorozás | Elérhetőség és teljesítmény | Rendszer- és hálózati naplók | Integrált riasztási rendszer |
Milyen biztonsági kockázatot jelent egy elhanyagolt weboldal?
Egy elhanyagolt, rendszeresen nem karbantartott weboldal az IT-biztonsági audit során jellemzően a következő kockázatokat mutatja: elavult CMS-verzió ismert sebezhetőségekkel, nem frissített bővítmények, amelyek aktívan kihasznált biztonsági réseket tartalmaznak, gyenge adminisztrátori jelszavak kétfaktoros hitelesítés nélkül, és hiányzó vagy visszaállíthatatlan mentés. Ezek az elemek önmagukban is kritikus kockázatot képviselnek, együttes jelenlétük esetén az incidens bekövetkezése nem valószínűség, hanem idő kérdése.
Mikor szükséges a weboldal biztonsági felülvizsgálatát soron kívül elvégezni?
Soron kívüli weboldal-biztonsági felülvizsgálat szükséges az alábbi esetekben: új bővítmény telepítésekor, amelyhez nem ellenőrzött forrásból érkező kód kapcsolódik; rendszergazdai hozzáférési adatok esetleges kompromittálódása esetén; a tárhelyszolgáltató által jelzett rendellenes tevékenység esetén; és minden olyan esetben, amikor a weboldal viselkedése megváltozik anélkül, hogy szándékos módosítás történt volna. Szezonálisan kiemelt időszak a nyári hónapok, amikor az IT-felügyelet csökkentett kapacitással működik, és az esetleges anomáliákat később veszik észre. Az IT-üzemeltetés és tanácsadás keretében az IWS rendszeres weboldalfelügyeletet és biztonsági értesítési rendszert biztosít, amely csökkenti a késői észlelés kockázatát.
Mikor válik az IT biztonsági audit jogi kötelezettséggé?
Az IT biztonsági audit 2026-ban már nem csupán ajánlott gyakorlat, hanem számos vállalkozásnál jogszabályi kötelezettség. A NIS2 irányelv magyarországi implementációja 2024 végére kötelező biztonsági felülvizsgálatot és dokumentációt ír elő az érintett szektorokban, és a kör folyamatosan bővül: az eredeti, nagyvállalati hatókörből egyre több közepes méretű szervezet is az érintett kategóriába kerül. Az IWS tapasztalata szerint a kkv-szektorban 2025-ben megugrott az IT biztonsági audit iránti kereslet, elsősorban azért, mert a megfelelőségi kötelezettség elmulasztása adatvédelmi bírság és szerződéses kár formájában jelenik meg, nem csupán elméleti kockázatként.
A GDPR és a NIS2 által érintett vállalkozások körét nem csak az iparág, hanem az adatkezelés jellege is meghatározza. Egy közepes méretű könyvelőiroda, egy egészségügyi adminisztrációs rendszert üzemeltető vállalkozás vagy egy nagyobb webáruház mind olyan adatmennyiséget és adatminőséget kezel, amely indokolja, sőt egyes esetekben kötelezővé teszi a rendszeres biztonsági felülvizsgálatot. Nem ideális megoldás a megfelelőségi kötelezettséget csupán egyszeri dokumentáció elkészítésével teljesíteni, ha mögötte nem áll valódi, rendszeres folyamat.
Mit tartalmaz a NIS2 által előírt IT biztonsági kötelezettség a kkv-szektorban?
A NIS2 irányelv által érintett szervezetek számára az IT biztonsági kötelezettség legalább az alábbi elemeket foglalja magában: kockázatértékelési folyamat dokumentálása, biztonsági esemény-kezelési eljárásrend, rendszeres biztonsági mentési stratégia, és az ellátási lánc biztonsági kockázatainak értékelése. Az érintett szervezeteknek évente dokumentált bizonyítékot kell tudniuk felmutatni arról, hogy ezeket a folyamatokat ténylegesen elvégzik, nem csupán papíron rögzítik. A különbség akkor vált egyértelművé, amikor összehasonlítottuk azokat a szervezeteket, amelyek meglévő IT-üzemeltetési szerződésükbe integráltan kapják a megfelelőségi dokumentációt, azokkal, amelyek ezt utólag, külön projektként próbálják pótolni.
Az alábbi felsorolás összefoglalja, melyek azok a szektorok, ahol a NIS2-es megfelelőség kis- és középvállalkozásoknál is kötelező:
- Egészségügy és egészségügyi adminisztráció
- Digitális infrastruktúra és felügyelt IT-szolgáltatók
- Élelmiszer-előállítás és -feldolgozás meghatározott mérethatár felett
- Postai és futárszolgáltatások
- Hulladékgazdálkodás és vízellátás egyes kategóriái
Az alábbi sorszámozott lista mutatja be, milyen lépésekben érdemes felkészülni a NIS2-megfelelőségre:
- Érintettség megállapítása: az iparági besorolás és a szervezet mérete alapján
- Kockázatértékelés elvégzése dokumentált formában
- Biztonsági politika és esemény-kezelési eljárásrend elkészítése
- IT-biztonsági audit elvégzése és megállapítások rögzítése
- Rendszeres felülvizsgálati naptár kialakítása és felelős kijelölése
Az alábbi táblázat összefoglalja a GDPR és a NIS2 által előírt IT biztonsági kötelezettségek közötti legfontosabb különbségeket:
| Szempont | GDPR | NIS2 |
|---|---|---|
| Hatókör | Személyes adatot kezelő minden szervezet | Kritikus és fontos szektorbeli szervezetek |
| Kötelező audit | Nem ír elő explicit auditkötelezettséget | Rendszeres kockázatértékelés kötelező |
| Szankció | Forgalmazónyos bírság (max. 4% globális árbevétel) | Szektortól függő bírság, felügyeleti intézkedés |
| Dokumentáció | Adatkezelési nyilvántartás kötelező | Biztonsági politika és esemény-kezelési terv kötelező |
| Hatóság | NAIH (Magyarországon) | Ágazati felügyeleti hatóság |
Mikor nem elegendő a GDPR-megfelelőség az IT biztonsági kötelezettségek teljesítéséhez?
A GDPR-megfelelőség önmagában nem elegendő az IT biztonsági kötelezettségek teljesítéséhez akkor, ha a szervezet a NIS2 hatálya alá is esik. A két jogszabály egymást kiegészíti, de nem helyettesíti: a GDPR az adatkezelési folyamatokra, a NIS2 a hálózati és informatikai rendszerek biztonságára koncentrál. Azok a vállalkozások, amelyek csupán az adatkezelési nyilvántartásuk rendben tartásával gondolják teljesítettnek a biztonsági kötelezettségeket, 2026-ban komoly megfelelőségi kockázatot vállalnak. Az IT-biztonsági és biztonsági mentési szolgáltatás keretében az IWS a GDPR és NIS2 dokumentációs igényeit egyaránt kezeli, csökkentve a párhuzamos adminisztráció terheit.
Szezonálisan kiemelt időszak a megfelelőségi felülvizsgálat szempontjából az év eleje: januárban és februárban érdemes elvégezni az éves auditot, hogy az esetlegesen szükséges fejlesztések az első negyedévben implementálhatók legyenek, és a szervezet az év többi részére dokumentáltan megfelelő állapotban legyen. Az IT-biztonsági megfelelőség tervezésénél az IT-tanácsadás és rendszergazda-szolgáltatás integrált keretrendszere biztosítja, hogy a jogszabályi változásokra adott válasz ne egyszeri projektként, hanem folyamatos üzemeltetési feladatként jelenjen meg.
Az IT biztonsági audit elvégzésének költségei és megtérülése
Az IT biztonsági audit elvégzésének költsége 2026-ban a szervezet méretétől, az infrastruktúra összetettségétől és az audit mélységétől függően széles sávban mozog. Tapasztalataink szerint a kkv-szektorban az egyszeri, tételes biztonsági felülvizsgálat ára és a folyamatos, üzemeltetésbe integrált audit éves díja között lényeges különbség van: az egyszeri audit olcsóbbnak tűnik, de a megállapítások implementálásának és a következő felülvizsgálatig eltelt időnek a kockázata ezt az előnyt általában felülírja. Az általunk vizsgált esetekben azok a szervezetek, amelyek az IT biztonsági auditot rendszeres üzemeltetési keretben végeztetik, alacsonyabb összesített incidensköltséggel zárják az évet, mint azok, amelyek alkalomszerűen rendelik meg ugyanezt. Ezt az összefüggést különböző méretű és iparágú ügyfeleknél, 2023-2025 között elvégzett projektek során figyeltük meg következetesen, és az eredmény iparági kontextustól függetlenül ismételhető volt.
A megtérülési kérdés megválaszolásakor érdemes figyelembe venni, hogy egy zsarolóvírus-incidens közvetlen és közvetett költsége, az adatvesztés, a leállási idő, az adatvédelmi bírság és az üzleti reputáció sérülése együttesen lényegesen meghaladja a megelőző intézkedések ráfordítását. Nem ideális megoldás a biztonsági auditot kizárólag kiadásként értelmezni: a valódi megtérülési szempont az elkerült incidensek és az elmaradt bírságok értéke.
Milyen tényezők befolyásolják az IT biztonsági audit díját?
Az IT biztonsági audit díját elsősorban az alábbi tényezők határozzák meg: a vizsgált rendszerek száma és összetettsége, az audit mélysége (felszíni ellenőrzés vagy tételes, dokumentált vizsgálat), a visszaállítási teszt elvégzése, és a záródokumentáció terjedelme és felelősségvállalásának mértéke. Egy kis irodai hálózattal, néhány munkaállomással és egyszerű felhőalapú rendszerekkel működő vállalkozás auditja lényegesen rövidebb és egyszerűbb, mint egy több telephelyen üzemelő, saját szerverrel és összetett jogosultságkezelési rendszerrel rendelkező szervezeté. Az IT-biztonsági és biztonsági mentési szolgáltatás árazási szempontjairól az IWS tájékoztatást nyújt az első konzultáció keretében, a pontos díj minden esetben a rendszer előzetes felmérése alapján határozható meg.
Az alábbi felsorolás összefoglalja, mely tényezők növelik az audit terjedelmét és ezzel a díját:
- Több telephely vagy fizikailag elkülönített hálózati szegmens
- Saját szerveres infrastruktúra, különösen ha elavult operációs rendszerrel üzemel
- Egészségügyi, pénzügyi vagy jogi adatok kezelése megfelelőségi dokumentációval
- Korábbi biztonsági incidens, amelynek utóhatásait is vizsgálni kell
- Összetett jogosultságkezelési rendszer nagyszámú felhasználóval
Mikor éri meg az IT biztonsági auditot üzemeltetési szerződésbe integrálni?
Az IT biztonsági audit üzemeltetési szerződésbe integrálása akkor éri meg, ha a szervezet rendszeres IT-támogatást igényel, és a biztonsági felülvizsgálat eredményeinek implementálásához is szüksége van szakemberre. Az egyszeri audit megállapításait házon belüli kompetencia hiányában senki nem hajtja végre: a dokumentum elkészül, de a tényleges biztonsági állapot nem javul. Az integrált megközelítésben az audit megállapításai azonnal bekerülnek az üzemeltetési feladatlistába, és a javítások elvégzése is dokumentáltan, határidőhöz kötve zajlik. A szerver-üzemeltetési és karbantartási szolgáltatás keretrendszere az IWS-nél az IT biztonsági audit eredményeinek implementálását is magában foglalja, csökkentve a megállapítás és a javítás közötti időt.
Az alábbi táblázat összefoglalja az egyszeri és az integrált IT biztonsági audit közötti döntési szempontokat:
| Szempont | Egyszeri audit | Integrált, üzemeltetésbe épített audit |
|---|---|---|
| Költségstruktúra | Egyszeri projektdíj | Havi üzemeltetési díj részeként |
| Implementálás | Saját felelősség | Szolgáltató kezeli |
| Frissesség | Évente vagy alkalomszerűen | Folyamatos, eseményvezérelt |
| Dokumentáció | Egyszeri zárójelentés | Folyamatos nyilvántartás |
| Megfelelőség | Pontszerű igazolás | Folyamatos megfelelőségi állapot |
- Felmérés: a szervezet infrastruktúrájának és adatkezelési profiljának áttekintése
- Auditforma kiválasztása: egyszeri vagy integrált, üzemeltetési keretben
- Audit elvégzése dokumentált megállapításokkal és prioritásokkal
- Implementálási terv készítése határidőkkel és felelősökkel
- Visszaellenőrzés: a javítások elvégzésének igazolása