NIS2 és távoli hozzáférés: mit kell tudnod IT adminként 2026-ban

A NIS2 irányelv konkrét, végrehajtható követelményt tartalmaz a többtényezős hitelesítésre és a hozzáférés-vezérlésre vonatkozóan — és a távoli asztali kapcsolatok mindkét követelmény hatálya alá esnek. Ha a szervezeted az irányelv hatálya alá tartozik, a kérdés nem az, hogy foglalkoznod kell-e a távoli hozzáférés biztonságával, hanem az, hogy a 21. cikk szerint mit jelent a „megfelelő" szint, és mi a következménye, ha ez nem teljesül.

Ez egy gyakorlati összefoglaló IT adminisztrátorok és MSP-k számára: kit érint a NIS2, mit követel meg konkrétan a távoli hozzáféréssel kapcsolatban, hogyan néz ki a megvalósítás Windows Server környezetben, és hol szoktak lenni a hiányosságok.

Kire vonatkozik a NIS2?

A NIS2 — (EU) 2022/2555 irányelv — az EU 18 kritikus ágazatában működő közepes és nagy szervezetekre vonatkozik. Az irányelv két szintre osztja az érintett szervezeteket:

Alapvető entitások azok a szervezetek, amelyek legalább 250 főt foglalkoztatnak, vagy éves forgalmuk meghaladja az 50 millió eurót (illetve mérlegfőösszegük meghaladja a 43 millió eurót), és az I. melléklet szerinti ágazatokban működnek: energetika, közlekedés, egészségügy, bankszektor és pénzügyi piacok, ivóvíz és szennyvíz, digitális infrastruktúra, közigazgatás és űrágazat.

Fontos entitások közepes méretű szervezetek — általában 50–249 fő, vagy 10 millió eurónál magasabb éves forgalom —, amelyek az I. mellékletben vagy a II. mellékletben felsorolt ágazatokban működnek: kritikus termékek gyártása, élelmiszer-termelés és -elosztás, posta- és futárszolgálatok, hulladékgazdálkodás, vegyipar, kutatószervezetek, valamint digitális szolgáltatók (felhőszolgáltatások, keresőmotorok).

Az 50 főnél kisebb és 10 millió euró éves forgalom alatti szervezetek általában kivételt élveznek, kivéve ha tagállamukban kizárólagos kritikus szolgáltatóként működnek.

Az irányelv hatóköre jelentős: az Európai Bizottság becslése szerint az EU-ban több mint 160 000 szervezet esik a hatálya alá, köztük számos olyan közepes méretű vállalkozás, amely a NIS1 alatt nem volt érintett.

Ha a szervezeted az érintett ágazatokban működik és megfelel a méretküszöböknek, a NIS2 akkor is vonatkozik rád, ha az adott tagállam még nem fejezte be az átültetést. Az irányelvet 2022 decemberében fogadták el, 2023. január 16-án lépett hatályba, a tagállamoknak 2024. október 17-ig kellett volna hatályba léptetniük a végrehajtási jogszabályokat. 2025 januárjáig az Európai Bizottság 27-ből 23 tagállam ellen indított kötelezettségszegési eljárást a határidő elmulasztása miatt — de az irányelvből eredő kötelezettségek az érintett entitásokra nézve ettől függetlenül kötelező erejűek.

Mit követel meg a NIS2 a távoli hozzáféréssel kapcsolatban?

A NIS2 21. cikke tíz kötelező minimumintézkedést határoz meg, amelyeket minden érintett entitásnak be kell vezetnie. Ebből kettő közvetlenül érinti a távoli hozzáférést.

A 21. cikk (2) bekezdés i) pontja megköveteli az „emberi erőforrások biztonságával, hozzáférés-ellenőrzési politikákkal és vagyongazdálkodással kapcsolatos politikák" alkalmazását. Gyakorlatban, a távoli hozzáférés vonatkozásában ez azt jelenti: formális szabályzatok arról, ki csatlakozhat távolról, milyen feltételekkel, milyen eszközökről vagy hálózati helyekről; dokumentált minimális jogosultság elve (nincs megosztott adminisztrátori fiók, nincs állandó hozzáférés olyan rendszerekhez, amelyeket csak szükség esetén kell elérni); és eszközleltár, amely nyilvántartja az összes végpontot, ahol a távoli asztal engedélyezve van.

A 21. cikk (2) bekezdés j) pontja megköveteli „a többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikációs, valamint biztonságos vészhelyzeti kommunikációs rendszerek használatát az entitáson belül, ahol ez indokolt". A „ahol indokolt" kitétel nem mentességet jelent — azt jelenti, hogy az intézkedést a kockázattal arányosan kell alkalmazni, és a termelési szerverekhez való távoli asztal hozzáférés általánosan magas kockázatúnak minősül. Az NIS2 hatálya alá tartozó szervezetek számára az RDP-hez kötelező az MFA.

A többi 21. cikk szerinti intézkedés is érinti közvetve a távoli hozzáférést. A 21. cikk (2) bekezdés b) pontja incidenskezelést ír elő — beleértve a jogosulatlan hozzáférési kísérletek észlelését és az azokra való reagálást. A 21. cikk (2) bekezdés g) pontja alapvető kiberbiztonsági higiéniát követel meg, beleértve a távoli elérési szoftverek javítását. A 21. cikk (2) bekezdés f) pontja a bevezetett intézkedések időszakos hatékonyságértékelését írja elő.

A 21. cikk (1) bekezdésének általános megfogalmazása szerint minden intézkedésnek „arányosnak kell lennie az érintett hálózati és információs rendszereket fenyegető kockázatokkal, figyelembe véve a technika jelenlegi állását". Az RDP MFA, hozzáférés-vezérlés vagy brute force védelem nélkül, nyilvánosan elérhetően nem tekinthető arányosnak egyetlen érintett entitás esetében sem.

Kötelező-e az MFA az RDP-hez a NIS2 alapján?

Igen — a 21. cikk (2) bekezdés j) pontja kifejezetten nevesíti az MFA-t kötelező intézkedésként. A „ahol indokolt" kitétel az arányosságra vonatkozik, nem az opcionális jellegre: az üzleti rendszerekhez való távoli hozzáférés esetén a nemzeti illetékes hatóságok és a szabályozók következetesen kötelezőként értelmezik ezt a követelményt.

Mi számít MFA-nak RDP-kontextusban:

• Windows Hello for Business vagy FIDO2 hardverkulcs jelszóval kombinálva
• Harmadik fél MFA-megoldásán keresztül integrált hitelesítő alkalmazás (TOTP/push) a Windows bejelentkezéshez
• Intelligens kártyás vagy tanúsítványalapú hitelesítés
• MFA-val védett VPN-en keresztüli belépés, mielőtt az RDP egyáltalán elérhető lenne

Mi nem teljesíti az MFA követelményt:

• Összetett jelszó önmagában
• IP-engedélyezési lista önmagában (hozzáférés-vezérlés második tényező nélkül)
• Biztonsági kérdések vagy e-mailes egyszer használatos kódok

A BruteFence a 21. cikk egy másik területét fedi le: figyeli a Windows Security eseménynapló 4625-ös eseményazonosítóját a sikertelen bejelentkezési kísérletekre, és automatikusan blokkolja a támadó IP-ket a Windows tűzfalon keresztül. Ez a 21. cikk (2) bekezdés b) pontja szerinti incidenskezelési dimenziót fedi — brute force támadások észlelése és visszaszorítása —, és hozzájárul a 21(2)(i) szerinti hozzáférés-vezérléshez. De nem helyettesíti az MFA-t. A teljes NIS2-kompatibilis távoli hozzáférési beállítás mindkettőt igényli.

Mit jelent a hozzáférés-vezérlés a NIS2 alapján?

A 21. cikk (2) bekezdés i) pontja széles értelemben foglalkozik a hozzáférés-vezérléssel. Egy engedélyezett RDP-vel rendelkező Windows Server környezetben a megfelelő hozzáférés-vezérlési arculat általában az alábbiakat foglalja magában:

• Minimális jogosultság elvének alkalmazása. A távoli asztali hozzáférés csak megnevezett felhasználói fiókokra korlátozódik, amelyek csak a szerepkörhöz szükséges jogosultságokkal rendelkeznek. Nincs megosztott fiók. Adminisztrátori feladatokhoz külön adminisztrátori fiók, a napi munkához nem.
• Hálózati szintű hozzáférés-korlátozás. Az RDP csak ismert IP-tartományokból (iroda, VPN kilépési pontok) érhető el tűzfalszabályokon keresztül, vagy teljesen VPN vagy RD Gateway mögé kerül.
• Jogosulatlan hozzáférési kísérletek automatikus blokkolása. Az ismeretlen forrásból érkező ismételt sikertelen bejelentkezési kísérletek a sikeres brute force befejezése előtt blokkolásra kerülnek. Ezen a területen működnek az olyan eszközök, mint a BruteFence — konfigurálható küszöb után automatikus IP-blokkolás natív Windows tűzfalszabályokkal.
• Munkamenet- és eseménynaplózás. Windows eseménynaplók, amelyek rögzítik a sikeres és sikertelen hitelesítési eseményeket, az incidensek kivizsgálásához szükséges megőrzési idővel. A 4625-ös eseményazonosító sikertelen bejelentkezéseknél, a 4624-es sikereseknél.
• Rendszeres hozzáférési felülvizsgálat. Dokumentált áttekintés arról, kinek van RDP-hozzáférése, a volt alkalmazottak fiókjainak eltávolítása, és a kiemelt csoporttagság ellenőrzése.

A Windows Server Biztonsági Checklist 2026 a teljes erősítési hatókört lefedi mindezen területeken.

Mik a megfelelőség elmulasztásának következményei?

A NIS2 34. cikke a maximális közigazgatási bírságokat az alábbiak szerint határozza meg:

| Entitás típusa | Maximális bírság | |---|---| | Alapvető entitás | 10 000 000 euró vagy a teljes éves globális forgalom 2%-a — amelyik magasabb | | Fontos entitás | 7 000 000 euró vagy a teljes éves globális forgalom 1,4%-a — amelyik magasabb |

A tagállamok nemzeti jogban magasabb szankciókat is meghatározhatnak. A bírságok a 21. cikk szerinti kockázatkezelési intézkedések és a 23. cikk szerinti incidensjelentési kötelezettségek megsértése esetén alkalmazhatók.

A 20. cikk az entitásszintű bírságok mellé vezetői felelősséget is bevezet. Az alapvető és fontos entitások irányítási testületeinek formálisan jóvá kell hagyniuk és felügyelniük kell a 21. cikk szerinti intézkedéseket. Jogsértés esetén az irányítási testület tagjait személyesen is felelősségre vonhatják — nem csak a szervezetet — bár a személyes felelősség konkrét formája és terjedelme attól függ, hogyan ültette át az adott tagállam az irányelvet. Ez jelentős eltérés a NIS1-től, amelynek nem volt ilyen személyes elszámoltathatósági rendelkezése. A NIS2 szerint az irányításnak rendszeres kiberbiztonsági képzést is kell kapnia.

Hol tart a NIS2 átültetése 2026-ban?

A 2024. október 17-i határidőig mindössze négy EU-tagállam — Belgium, Horvátország, Olaszország és Litvánia — fogadott el NIS2 végrehajtási jogszabályokat. A fennmaradó 23 tagállam ellen az Európai Bizottság 2024 novemberében indított kötelezettségszegési eljárásokat.

A legtöbb EU-ország az eljárások következtében elindította a végrehajtási jogszabályok kidolgozását. Németország (BSIG-reform), Franciaország (ANSSI útján) és más nagyobb gazdaságok parlamenti folyamatai különböző stádiumban vannak. Az ENISA NIS2 oldalán megtalálhatók a nemzeti hatóságokra mutató hivatkozások az egyes országok aktuális státuszáért.

IT adminisztrátorok számára a gyakorlati helyzet: ha a szervezeted megfelel a méret- és ágazati küszöböknek, a NIS2 követelményeit már hatályosnak kell tekintened. A nemzeti végrehajtási jogszabályok, amikor megszületnek, nem vezetnek be új kötelezettségeket — azok biztosítják a végrehajtási mechanizmust, az illetékes hatóságot és a hazai bírságrendszert. Az irányelvben foglalt kötelezettségek (beleértve a 21. cikket) az átültetési határidőtől számítva alkalmazandók.

Hogyan néz ki a NIS2-kompatibilis távoli hozzáférés-védelem a gyakorlatban?

Egy gyakorlati ellenőrzőlista Windows Server környezetekhez:

MFA minden távoli hozzáférésen [21. cikk (2)(j)]

• MFA kikényszerítése minden RDP-munkamenetre — Windows Hello for Business, harmadik féltől származó TOTP/push megoldás vagy MFA-val rendelkező VPN mint hozzáférési átjáró révén
• Ne tedd elérhetővé az RDP-t közvetlenül a nyilvános interneten a 3389-es porton, védőréteg nélkül

Automatikus brute force blokkolás [21. cikk (2)(i) + (b)]

• A 4625-ös eseményazonosító valós idejű figyelése és az IP-k automatikus blokkolása a sikertelen kísérletek konfigurálható küszöbének elérése után
• Újraindítás után is megmaradó és a hozzáférés-vezérlési szabályzatban dokumentált tűzfalszabályok fenntartása
• A blokkolt IP-k naplójának rendszeres átvizsgálása hamis pozitívokra — a BruteFence beállítási útmutatója részletesen tárgyalja a küszöb-kalibrálási folyamatot

Minimális jogosultság és fiókhigiénia [21. cikk (2)(i)]

• Dedikált, megnevezett fiókok az RDP-hozzáféréshez; nincs megosztott vagy általános hitelesítő adat
• Remote Desktop Users csoporttagság eltávolítása azon fiókoktól, amelyeknek már nincs szükségük hozzáférésre
• Adminisztrátori fiókok elkülönítése a felhasználói fiókoktól; adminisztrátori RDP lehetőleg csak meghatározott karbantartási ablakokra

Munkamenet-naplózás és eseménymegőrzés [21. cikk (2)(b) + (f)]

• Windows Security auditszabályzat engedélyezése bejelentkezési eseményekre (sikeresek és sikerteleneket egyaránt)
• Biztonsági eseménynaplók megőrzése elegendő ideig az incidensek utólagos kivizsgálásához — legalább 30 nap, preferáltan 90 nap
• Naplók integrálása SIEM vagy centralizált naplókezelő rendszerrel, ha a szervezet mérete indokolja

Javításkezelés [21. cikk (2)(g)]

• Windows biztonsági javítások alkalmazása a megjelenéstől számított 30 napon belül, kritikus javítások esetén 7 napon belül
• RD Gateway, NPS és más távoli hozzáférési infrastruktúra-összetevők bevonása a hatókörbe

Gyakran ismételt kérdések

Vonatkozik a NIS2 a vállalatunkra?

Ha a szervezeted legalább 50 főt foglalkoztat (vagy éves forgalma meghaladja az 50 millió eurót), és az alábbi 18 érintett ágazat valamelyikében működik — energetika, közlekedés, egészségügy, bankszektor, vízközmű, digitális infrastruktúra, közigazgatás, űrágazat, kritikus termékek gyártása, élelmiszer-feldolgozás, postai szolgáltatások, hulladékgazdálkodás, vegyipar, digitális szolgáltatások, kutatószervezetek —, a NIS2 valószínűleg vonatkozik rád. Kisebb cégek esetén az irányelv kivételt tesz, kivéve ha tagállamukban kizárólagos kritikus szolgáltatóként működnek.

Elég a BruteFence önmagában a NIS2-megfelelőséghez a távoli hozzáférés terén?

Nem. A BruteFence a 21. cikk brute force védelmi és automatikus blokkolási dimenzióját fedi — figyeli a 4625-ös eseményazonosítót és blokkolja a támadó IP-ket, ami hozzájárul a hozzáférés-vezérléshez (21(2)(i)) és az incidenskezeléshez (21(2)(b)). Azonban a NIS2 MFA-t is megkövetel (21(2)(j)), amelyet a BruteFence nem biztosít. A teljes NIS2-kompatibilis távoli hozzáférési beállítás brute force védelmet, MFA-t, minimális jogosultság elvét, munkamenet-naplózást és dokumentált hozzáférési szabályzatot igényel — a BruteFence mindebből egy réteg.

VPN szükséges a NIS2-megfelelőséghez?

A NIS2 nem írja elő a VPN-t. Azt követeli meg, hogy a távoli hozzáférés MFA-val és kockázattal arányos hozzáférés-vezérléssel legyen védett. Az MFA-val rendelkező VPN az egyik módja ennek; az MFA-val kombinált RD Gateway, tűzfalkorlátozásokkal kiegészítve egy másik megoldás. Amit a NIS2 lényegében kizár, az az RDP nyilvános interneten való közvetlen kitétele, ahol az egyetlen hitelesítési tényező a jelszó.

Az ország még nem ültette át a NIS2-t — mégis vonatkozik rám?

Igen. A NIS2 irányelv 2023. január 16. óta kötelező erejű. A 2024. október 17-i átültetési határidő a tagállamoknak szólt a végrehajtási nemzeti jogszabályok elfogadására; az irányelv kötelezettségei az érintett entitásokra vonatkoznak, függetlenül attól, hogy ezt a jogszabályt elfogadták-e. 2025 januárjában 23 EU-tagállam ellen indult kötelezettségszegési eljárás az átültetés elmulasztása miatt — ez azonban az érintett kormányok és az Európai Bizottság közötti ügy, nem ok arra, hogy az érintett entitások késleltessék a 21. cikk szerinti intézkedések bevezetését.

Az RDP brute force védelmi eszközök 2026-os működéséről szóló átfogó cikk részletesebben tárgyalja azokat a technikai kontrollokat, amelyeket a NIS2 megkövetel. Ha olyan környezetben dolgozol, ahol VPN nem elérhető és az RDP-t hozzáférhetővé kell tenni, az Event ID 4625 részletes leírása segít megérteni, mit figyelj a megfelelőség alátámasztásához szükséges naplókban.

Ha kíváncsi rá, mi történik a szerverén, próbálja ki a BruteFence-t 7 napig ingyen.