+36704089013
info@aszake.hu
Adatvédelmi Szakmai Egyesület Hírek Miért van kulcsszerepe az adatvédelemnek a NIS 2 auditra felkészülésben?

Miért van kulcsszerepe az adatvédelemnek a NIS 2 auditra felkészülésben?

2025. augusztus 31.2025. augusztus 31. Dr. Albert ÁgotaDr. Albert Ágota 0 Comments 10:53 de.
Categories:

A NIS 2 audit nem IT audit – valójában a teljes szervezet működését érinti – beleértve az adatvédelmet is.

Jogászként – adatvédelemmel és technológiai joggal foglalkozva – azt látom, hogy a felkészülés ott tud elcsúszni, ahol hiányzik a közös nyelv és az együttműködés a különböző szakmai területek között. A NIS 2 audit kockázatmenedzsment alapú szemléletet követel meg, és ez nem sablonokkal, hanem szervezetre és elektronikus információs rendszerekre szabott gondolkodással valósítható meg.

Mi kell a sikeres felkészüléshez?

  • Egy szűk, kompetens belső csapat (pl. IT vezető, biztonsági vezető, technológiai jogban és adatvédelemben jártas jogász, HR és beszerzési szakember)
  • A közös alapfogalmak tisztázása (elektronikus információs rendszer, kiberbiztonsági és adatvédelmi incidens, összeférhetetlenség, személyes adat, üzleti titok stb.)
  • Egy átfogó kockázatmenedzsment keretrendszer, amely nemcsak stratégiákat, szabályzatokat, nyilvántartásokat és egyéb dokumentumokat, hanem működő folyamatokat és felelősségi köröket is tartalmaz.
  • A szervezeti egységek együttműködése.

Mi az adatvédelem szerepe?

Egyrészt a NIS 2 által védendő rendszerekben gyakran nagy mennyiségű személyes adat található, másrészt a 7/2024. MK rendeletben megkövetelt védelmi intézkedések önmagukban is személyes adatok kezelését igénylik, ideértve például a fizikai védelmi rendszereket, köztük a beléptető rendszert és az elektronikus megfigyelő rendszert.

A kockázatmenedzsment rendszer megköveteli tőlünk azt is, hogy üzleti partnereinkkel (lásd ellátóláncos követelmények) és munkavállalóinkkal is rendezzük mind az elektronikus információs rendszerekhez hozzáférést, mind pedig az adatvédelmi és adatbiztonsági követelményeknek megfelelést (szükséges megállapodások, tájékoztatások, incidensmenedzsmentek stb.). És míg a NIS 2 feladata az információk (adatok) védelme, addig az adatvédelem hivatott arra, hogy az adatok mögött álló érintettek (munkavállalók, üzleti partnerek, egyéb személyek) jogait és szabadságait védje. A NIS 2-re hivatkozás sem mentesít egyetlen egy szervezet sem az alól, hogy megfeleljen a GDPR követelményeinek.

A rendszer bevezetése, illetve az auditra felkészülés éppen ezért nem lehet egyetlen osztály feladata – a HR, a beszerzés, a compliance, a létesítményüzemeltetés mind szereplői lesznek, ha valóban működő rendszert akarunk.

És mi fontos még?

  • A keretrendszert nemcsak létrehozni, hanem üzemeltetni is kell.
  • Az audit kétévente ismétlődik, vagyis a megfelelés nem projekt, hanem folyamat.

A NIS 2 tehát nemcsak egy adminisztratív teher, hanem egyben lehetőség arra, hogy tudatosabbá tegyük a működésünket, és egyszerre védjük az üzleti titkokat és a személyes adatokat.

dr. Albert Ágota LL. M adatvédelmi és adatbiztonsági szakjogász, ASZAKE alelnök