Képzelje el a következőt. Egy üzemvezető megkapja az értesítést: az SZTFH-nak benyújtott kiberbiztonsági audit 2026. június 30-ig esedékes. Az IT-biztonsági csapat megnyugtat: „Megvan az ISO 27001, a tűzfalak működnek, a vírusvédelem naprakész."
Egy hónappal később az SZTFH-regisztrált auditor megérkezik, és az első kérdése: „Mutassák meg a SCADA-hálózat zóna- és csatornatérképét."
Csend.
A tűzfalszabályok látszanak, az ISO-megfelelés dokumentált — de az üzem padlóján, ahol a PLC-k vezérlik a szivattyúkat, a szelepeket és a biztonsági rendszereket, senki nem térképezte fel, hogy mi beszél mivel, milyen protokollon, és milyen védelemmel.
Ez nem elméleti forgatókönyv. Pontosan ezt látjuk az ipari szektorra irányuló NIS2-felkészülés során.
A nem nyilvánvaló felismerés
A NIS2 az ipari cégek számára alapvetően nem IT-biztonsági kérdés — hanem üzemi technológiai (OT) kérdés. A legtöbb szervezet mégis fordítva közelíti meg: a vállalati hálózattól lefelé haladva próbál megfelelni, és nem a gyártósor valóságából felfelé építkezve.
Az eredmény? Dokumentumok, amelyek papíron megfelelnek, de a valódi kockázatokat — az öregedő SCADA-rendszereket, a hitelesítés nélküli ipari protokollokat, a nem szegmentált hálózatokat — érintetlenül hagyják.
Mit követel valójában a törvény?
A 2024. évi LXIX. törvény (az egységes kiberbiztonsági törvény) 2025. január 1-jén lépett hatályba. Minden „alapvető" és „fontos" szervezetre vonatkozik — az energiaszektortól a vízgazdálkodáson, gyártáson és közlekedésen át a hulladékgazdálkodásig. Ha az Ön ipari vállalata legalább 50 főt foglalkoztat vagy legalább 10 millió eurós éves forgalmat generál, szinte biztosan érintett.
Biztonsági besorolás: Minden elektronikus információs rendszert — beleértve a SCADA-t, a PLC-hálózatot, a HMI-ket — „alap", „jelentős" vagy „magas" biztonsági osztályba kell sorolni a 7/2024. (XII. 30.) MK rendelet szerint.
Kockázatkezelési keretrendszer: Kockázatelemzés, sérülékenységkezelés, ellátási lánc biztonság, incidenskezelés, üzletmenet-folytonosság, képzés, és az IT-költségvetés kb. 5%-ának biztonsági célú felhasználása.
Biztonsági felelős kinevezése megfelelő kiberbiztonsági szakképesítéssel.
Incidensjelentés: 24 órán belül az NKI (Nemzeti Kibervédelmi Intézet) felé.
Független audit: SZTFH-regisztrált auditor által — dokumentáció-felülvizsgálat, interjúk, és a magasabb biztonsági osztályok esetén technikai tesztelés (szkennelés, penetrációs teszt).
A határidők
| Határidő | Követelmény | Státusz |
|---|---|---|
| 2024. jún. 30. | Regisztráció az SZTFH portálon | Lejárt |
| 2025. aug. 31. | Szerződés SZTFH-regisztrált auditorral | Lejárt |
| 2026. jún. 30. | Első átfogó kiberbiztonsági audit | 84 nap van hátra |
A bírságok komolyak: akár 10 millió euró vagy a globális árbevétel 2%-a az „alapvető" szervezetek esetében. A vezetők személyes felelőssége akár 15 millió forintig terjedhet.
Miért most kritikus ez?
Az auditorral már szerződésben kellene állniuk. Az első audit 84 napon belül esedékes. A legtöbb ipari szervezet, amellyel találkozunk, mégis most kezdi felismerni, hogy az IT-biztonsági auditjaik nem fedik le az üzemi technológiát.
Ez nem a határidő miatt sürgős. Azért sürgős, mert az OT-biztonság nem pótolható néhány hét alatt. Az üzemi hálózat feltérképezése, a zóna- és csatornamodell kialakítása, a kockázatelemzés elvégzése, és a szükséges intézkedések megtervezése — mindennek időre van szüksége. És a legtöbb lépést nem lehet leállás nélkül, éles üzem mellett elvégezni hanem gondos tervezést igényel.
Hogyan közelítjük meg?
Az ipari kiberbiztonsági felkészítést nem lehet felülről lefelé megközelíteni. Az IEC 62443 nemzetközi szabványsorozat — amelyet a magyar szabályozás is elismer, bár nem tesz kötelezővé — pontosan megadja az irányt: lentről felfelé, az üzem padlójáról.
A megközelítés lényege a zóna- és csatornamodell:
- Zónák: Azonos biztonsági követelményekkel rendelkező eszközcsoportok logikai és fizikai elhatárolása. A Purdue/ISA-95 modell szerint: L0-1 (szenzor/PLC/RTU szint), L2 (felügyeleti/SCADA/HMI), L3 (üzemi), DMZ, L4 (vállalati IT).
- Csatornák: Minden zónák közötti kommunikációs útvonal explicit meghatározása, dokumentálása és védelme. Alapértelmezés: mindent tiltani, kizárólag az engedélyezett protokollokat/portokat átengedni (pl. Modbus TCP, DNP3, OPC UA).
- Biztonsági szintek (SL): Zónánkénti célbiztonsági szint meghatározása (SL-T 0-4), kockázatelemzésen alapulva — figyelembe véve a fizikai és folyamatbiztonsági következményeket is, nem csak a CIA-triászt.
Amikor megértjük az üzem valódi felépítését — mi beszél mivel, milyen protokollon, milyen védelemmel — akkor tudjuk felmérni a valós kockázatot. Nem előbb.
Amivel szembesültünk
A legnagyobb kihívás nem technikai, hanem kulturális: az IT-biztonsági gondolkodásmód alkalmazása OT-környezetre. Ez nem csak hatástalan — aktívan veszélyes lehet.
Néhány példa a tapasztalatainkból:
- Aktív hálózati szkennelés SCADA-környezetben: Az IT-ben bevett sérülékenységi szkennelés ipari vezérlőket (PLC/RTU) képes lefagyasztani vagy újraindítani — ami éles üzemnél leállást, szélsőséges esetben biztonsági kockázatot jelent.
- Jelszópolitikák operátori környezetben: Az IT-biztonsági szabványok szerinti komplex jelszókövetelmények az operátori HMI-ken azt eredményezhetik, hogy vészhelyzet közben a kezelő nem tud bejelentkezni a rendszerbe.
- Automatikus szoftverfrissítések: Az üzemi folyamatirányító rendszerek nem indíthatók újra tetszőlegesen. Egy automatikus patch éles üzem során a vezérlési lánc megszakadásához vezethet.
- A „légrés" illúziója: Sok szervezet hiszi, hogy az üzemi hálózat teljesen elkülönül — pedig a mérnöki laptopok, a szerviz-hozzáférések és az USB-eszközök napi szinten áthidalják azt.
Ami működik
A hatékony ipari NIS2-felkészülés más megközelítést igényel, mint az IT-biztonság:
- Passzív hálózati monitorozás: Az ipari protokollokra specializált, beavatkozás nélküli forgalomfigyelés — nem aktív szkennelés. Ez feltárja a tényleges kommunikációs mintákat anélkül, hogy kockáztatná az üzemet.
- Teljes OT-eszközleltár: A legacy rendszerek, a „shadow OT" és az ismeretlen eszközök szisztematikus feltérképezése — mert amit nem látunk, azt nem tudjuk védeni.
- Zóna/csatorna dokumentáció: A tényleges hálózati felépítés dokumentálása az ISA-95/IEC 62443 modellje szerint, biztonsági szintekkel — ez az auditorok által elvárt és elfogadott megközelítés.
- OT-specifikus incidenskezelési terv: Az OT-incidenseket nem lehet az IT-hez hasonlóan kezelni. A biztonságkritikus rendszereknél a rendelkezésre állás és a folyamatbiztonság mindig megelőzi a bizalmasságot.
- Kompenzáló kontrollok legacy rendszereknél: A 15-20 éves PLC-ket és beágyazott rendszereket nem lehet frissíteni — de hálózati szegmentálással, ipari tűzfalakkal és anomáliafigyeléssel kompenzálni lehet a hiányzó szoftver-szintű védelmet.
A mélyebb minta
A NIS2-felkészülés nem egy egyszeri projekt. Ez egy paradigmaváltás abban, ahogyan az ipari szervezetek a kiberbiztonságra tekintenek.
A legtöbb szervezet a kiberbiztonsági megfelelést az IT-osztályra delegálja. De az ipari cégek esetében a valódi kockázat az üzem padlóján van — ott, ahol az elavult szoftverek, a hitelesítés nélküli protokollok és a fizikai folyamatokra gyakorolt hatás találkozik. Ez nem IT-probléma, amit OT-ra is alkalmazunk. Ez egy OT-probléma, amihez IT-tudás is kell.
Azok a szervezetek fognak sikerrel járni, amelyek ezt megértik — és olyan szakemberekkel dolgoznak, akik mindkét világot ismerik.
Nyitott kérdések
Több kérdés még nyitott:
- Az SZTFH-regisztrált auditorok OT-kompetenciája: A „magas" biztonsági osztályú rendszerek auditjához megfelelő OT-szaktudás szükséges. Az elérhető, regisztrált auditorok közül hányan rendelkeznek tényleges ipari tapasztalattal?
- A kikényszerítés jellege: Az első auditkör 2026. második felében zárul. Vajon az SZTFH együttműködő vagy szankcionáló megközelítést alkalmaz-e az első körben?
- A beszállítói lánc követelmények gyakorlati hatása: A törvény ellátási lánc biztonsági előírásai hogyan érintik az ipari beszállítókat és alvállalkozókat — akik maguk is érintettek lehetnek?
Ezekre a kérdésekre a következő hónapokban formálódik a válasz. Amit tudunk: az, aki felkészülten érkezik, jobb pozícióban lesz — akár az auditor, akár az SZTFH előtt.