NIS2 megfelelés hardver szempontból: amit az audithoz tényleg tudnod kell

A NIS2 megfelelés 2026. június 30-ig kötelező kiberbiztonsági auditot ír elő 4000–7500 magyarországi szervezet számára. Az érintett vállalatok döntő többsége a szoftveres és folyamati oldalra koncentrál – biztonsági szabályzatokra, incidenskezelési tervekre, munkavállalói képzésekre. Ugyanakkor a NIS2 megfelelés hardver szempontból is kiemelt jelentőségű, hiszen az IT infrastruktúra hardver rétege legalább annyi NIS2-vonatkozású kockázatot rejt: elavult eszközök, nem patchelt firmware, nyilvánosan elérhető menedzsment interfészek. Ez a cikk azokat a konkrét hardverdöntéseket veszi végig, amelyek közvetlenül befolyásolják az informatikai infrastruktúrád felkészültségét.

Miért érinti a NIS2 a hardvert?

A NIS2 irányelvet a hazai jogrendbe átültető 2024. évi LXIX. törvény kockázatalapú megközelítést alkalmaz: nem hardvertípusokat nevesít, hanem elvárásokat fogalmaz meg az elérhetőség, az integritás és a bizalmasság védelme kapcsán. A kockázatmenedzsment-keretrendszer, az incidenskezelési képesség és az üzletmenet-folytonosság egyaránt átfogja a fizikai infrastruktúrát – beleértve a szervereket, a tárolóeszközöket és a hálózati berendezéseket.

Az SZTFH és az MKIK közös javaslatára az audit határideje 2026. június 30-ra tolódott – további halasztás nem várható. A legtöbb érintett szervezet azonban még felkészítés alatt áll; a hardver oldal sok helyen teljesen kimarad a felkészülési tervekből.

EOL és EOS szerverek: az audit leggyakoribb hardver buktatója

A Cisco Talos 2025-ös évzáró jelentése szerint a leggyakrabban kihasznált sebezhetőségek közel 40%-a olyan eszközöket érint, amelyek gyártói támogatása lejárt. A NIS2 kockázatmenedzsment-keretrendszer megköveteli a biztonsági javítások alkalmazhatóságát; egy End of Support (EOS) státuszú szerverre nem érkezik több firmware-frissítés vagy biztonsági patch, ami közvetlen auditakadályt jelent.

Mit mond a Cisco Talos?


A Cisco Talos a Cisco biztonsági részlegének fenyegetésintelligencia-kutatócsoportja – az iparág egyik legnagyobb és legelismertebb ilyen szervezete. Kutatókból, elemzőkből és mérnökökből áll, akik ismert és újonnan megjelenő fenyegetésekkel szemben védik a Cisco ügyfeleit, feltárják a széles körben használt szoftverek sebezhetőségeit, és a vadonban terjedő fenyegetéseket még azelőtt semlegesítik, hogy komolyabb kárt okoznának. Cisco Talos Intelligence Group Naponta több mint 800 milliárd biztonsági eseményt dolgoznak fel, percenként 2000 új malware-mintát elemeznek. Nsi1 Évente publikálnak átfogó fenyegetési jelentéseket – a cikkben hivatkozott Talos 2025-ös évzáró riport ezek egyike, amelyre a Cisco az RSAC 2026 konferencián mutatta be az eredményeket.

A Dell és az HPE szervereknél érdemes megkülönböztetni az End of Life (gyártás vége) és az End of Support (támogatás vége) dátumokat – ez utóbbi a kritikus szempont a NIS2 szemszögéből. A szerver életciklus és az EOL/EOS dátumok részletes magyarázatát külön cikkben tárgyaljuk; röviden: ha a szervered EOS státuszba lépett, az auditált kockázati mátrixban magas valószínűségű, magas hatású tételként fog szerepelni.

Teendők az audit előtt:

  • Készíts eszközleltárt szerver-szintű EOS dátumokkal.
  • Dell esetén ellenőrizd a Dell End-of-Life oldalát, HPE esetén a HPE Support Center eszközprofiljait.
  • Az EOS státuszú eszközöket sorold be a kockázati mátrixba, és tervezd meg a cserét vagy a hálózati izolálást.

Firmware és patch menedzsment: a legsűrűbben ellenőrzött terület

Az IBM X-Force 2026-os fenyegetési indexe szerint a kiberbűnözők 44%-kal több támadást indítottak nyilvánosan elérhető alkalmazások ellen. – ezeket nagyrészt hiányzó hitelesítési kontrollok és AI-vezérelt sebezhetőség-felderítés tette lehetővé. A rendszergazdák által sokszor elavult firmware verzió – BIOS/UEFI, RAID-vezérlő, hálózati adapter – a NIS2 sérülékenységi vizsgálat közvetlen tárgya.

Konkrét példa a tétekre: a BRICKSTORM nevű malware, amelyet kínai állami hátterű csoportok vetettek be VMware vCenter és ESXi szerverek ellen, átlagosan 369 napig maradt észleletlen a kompromittált rendszereken. A CISA, az NSA és a Kanadai Kiberbiztonsági Központ közös figyelmeztetése a VMware vSphere-környezetek haladéktalan frissítését jelöli meg elsődleges védekezési lépésként.

Firmware audit-checklist:

  • iDRAC/iLO: legfrissebb stabil firmware telepítve?
  • BIOS/UEFI: van-e kritikus biztonsági frissítés az elmúlt 12 hónapból, amelyet nem alkalmaztál?
  • RAID-vezérlő firmware (Dell PERC, HPE Smart Array): gyártói oldalról letöltött, SHA256-ellenőrzött csomag?
  • Hálózati adapter NIC firmware: patchelve a CVE-adatbázis szerint?

Management interface biztonság: iDRAC, iLO és a CISA direktíva

A NIS2 egyik legjobban megfogható hardver követelménye a szervermenedzsment interfészek kezelése. A CISA 2023-ban kiadott BOD 23-02 direktívája nevesítve tartalmazza az iLO-t és az iDRAC-ot mint out-of-band menedzsment interfészeket, amelyeket tilos a nyilvános interneten elérhetővé tenni. Az európai NIS2 kockázatkezelési elvárások ugyanezt az irányt követik.

A valóságban sok szervezetnél az iDRAC/iLO port véletlen konfiguráció vagy IPMI-portforwarding miatt válik elérhetővé az interneten. Az IBM X-Force 2026-os riportja szerint a kiberbűnözők leggyakrabban nem törik fel a rendszereket – bejelentkeznek. Ellopott menedzsment-hitelesítő adatokkal egy iDRAC-on vagy iLO-n keresztül a teljes szerver felett közvetlen kontroll szerezhető.

Menedzsment-biztonsági teendők:

  • Dedikált, elkülönített menedzsment VLAN kialakítása az iDRAC/iLO forgalomnak.
  • Alapértelmezett hitelesítő adatok cseréje (Dell: root/calvin; HPE: Administrator + gyári jelszó).
  • SSH kulcsalapú hitelesítés aktiválása, jelszavas bejelentkezés tiltása.
  • IP-fehérlista: csak a menedzsment hálózatból legyen elérhető a felület.
  • iDRAC/iLO firmware rendszeres frissítése.

A Dell iDRAC és HPE iLO részletes bemutatóját és az iDRAC licensztípusok áttekintését blogunkban megtalálod.

Redundancia és elérhetőség: hardver szintű üzletmenet-folytonosság

A NIS2 kötelező üzletmenet-folytonossági tervet (BCP) és katasztrófa-helyreállítási tervet (DR) vár el az érintett szervezetektől. Hardver szinten ez konkrét redundanciaelemeket jelent.

Dual power supply: A Dell PowerEdge és HPE ProLiant middle-range és felsőkategóriás szerverei dual PSU konfigurációban érhetők el. Az egyetlen tápegység meghibásodásával szembeni ellenállóképesség közvetlen rendelkezésre állási tényező – az auditált kockázati mátrixban az egyszeres PSU haváriapont (SPOF) státuszt kap.

RAID konfiguráció: A NIS2 adatintegritási követelménye a tárolórétegre is kiterjed. Legalább RAID 1 (tükrözés) vagy RAID 5/6 (paritásos) konfiguráció szükséges az operatív adatoknál; a konfiguráció dokumentálása az auditon elvárható.

UPS: Az áramkimaradásból eredő adatvesztés és kiesés kezelése a rendelkezésre állási garancia része. Az UPS kapacitásának a szerverpark graceful shutdown idejét kell lefednie – az audit során a méretezési számítást kérhetik.

A BCP és DR terv készítéséről szóló útmutatónk részletezi, hogyan épül fel egy NIS2-kompatibilis helyreállítási terv.

Adatmentési infrastruktúra: a 3-2-1 szabály a NIS2-ben

A kiberbiztonsági auditok során a biztonsági mentések tesztelhetőségét, a helyreállítási időcélt (RTO) és az adatveszteség-tűrési küszöböt (RPO) rendszerint megvizsgálják. Hardver szinten a 3-2-1 szabály alkalmazása a minimális elvárás: 3 példány az adatból, 2 különböző tárolóeszköz-típuson (pl. szerverdiszk + NAS + offsite), 1 offsite vagy air-gapped példány.

Az air-gapped biztonsági mentés ransomware-védelmi szempontból egyre kevésbé opció – a NIS2 incidenskezelési elvárásai azt feltételezik, hogy kompromittált hálózat esetén is legyen hozzáférhető, érintetlen visszaállítási pont. Az adatbiztonsági és mentési stratégiák részletes tárgyalása blogunkban olvasható.

Refurbished szerver és NIS2: ami tényleg számít

Egy felújított Dell PowerEdge vagy HPE ProLiant szerver önmagában nem jelent NIS2 kockázatot – feltéve, hogy az alábbi feltételek teljesülnek:

  1. Az eszköz nincs EOS státuszban, vagy a gyártó még biztosít biztonsági frissítést.
  2. A firmware naprakész: a szerverdokk.hu-tól érkező refurbished szerverek gyári visszaállítással és frissített firmware-rel kerülnek kiszállításra.
  3. A konfigurációs alapbeállítások cserélve vannak: gyári jelszavak törölve, iDRAC/iLO elkülönített hálózaton.
  4. Az eszköz szerepel az eszközleltárban a szükséges EOS dátummal.

A refurbished szerver a NIS2-megfelelési kontextusban tudatos hardverdöntés: az újgéppel egyenértékű biztonsági szintet biztosít töredék áron, ami különösen fontos ott, ahol a felkészülési büdzsé korlátozott. A felújított szerverek előnyeiről részletesen írunk blogunkban.

Összefoglalás: hardver audit-checklist NIS2-höz

TerületNIS2 kapcsolatAzonnali teendő
EOL/EOS státuszPatch-kezelhetőségEszközleltár EOS dátumokkal
Firmware verziókSérülékenységkezelésRendszeres frissítési ciklus
iDRAC/iLO elérhetőségHozzáférési kontrollDedikált VLAN, IP-fehérlista
Dual PSU / RAID / UPSRendelkezésre állásRedundáns konfiguráció dokumentálva
Adatmentési infrastruktúraHelyreállítási képesség3-2-1 szabály, RTO/RPO dokumentálva

Mi jön a sorozat következő részében?

A hardver szintű NIS2-kockázatok közül az egyik legtöbbet félreértett terület az EOL és EOS státuszú szerverek kérdése. Sokan úgy gondolják, hogy a régi szerver addig nem jelent problémát, amíg fut – az audit szempontjából azonban egy gyártói biztonsági frissítéseket már nem kapó eszköz egészen más megítélés alá esik. A sorozat következő részében ezt járjuk körbe részletesen: mikor válik pontosan az elavult hardver auditakadállyá, és mit kell tenned, ha az infrastruktúrádban EOS státuszú szerverek vannak.

02. rész: EOL szerver és NIS2 – mikor válik az elavult hardver konkrét auditakadállyá?

A 2026. június 30-i audit határidő már valóban közel van. Ha bizonytalanok vagytok abban, hogy a meglévő szerver infrastruktúrátok hol áll a NIS2 hardverkövetelményekhez képest, a szerverdokk.hu csapata segít az eszközleltár felvételében és a hiányterületek azonosításában – vegyétek fel velünk a kapcsolatot!

Similar Posts