A Kamarai Minőségügyi Klub 2026. június 2-i rendezvénye ismét megerősítette: az irányítási rendszerek világa ma már messze nem pusztán tanúsítványokról, auditokról és dokumentációról szól. A szakmai délután középpontjában két, a vállalkozások működését egyre erősebben meghatározó terület állt: az ISO 14001:2026 környezetközpontú irányítási rendszerszabvány új szemlélete, valamint az információbiztonsági és kiberbiztonsági követelmények gyakorlati teljesítése.

A rendezvény külön aktualitását adta, hogy a NIS2-höz kapcsolódó hazai kiberbiztonsági auditkötelezettség teljesítésének határideje rohamosan közeleg. Az érintett szervezetek számára 2026. június 30. nem távoli jogszabályi dátum, hanem olyan megfelelési mérföldkő, amelyre már csak néhány hét áll rendelkezésre. A rendezvény egyik legfontosabb üzenete ezért az volt: a halogatás ezen a területen is döntés – csak éppen nem kontrollált döntés.

A két előadás közös tanulsága egyértelmű volt: a megfelelés nem lehet „papírgyár”. A jövő versenyképes szervezetei azok lesznek, amelyek a fenntarthatóságot, a környezeti teljesítményt, az információbiztonságot és a kiberkockázatokat nem különálló adminisztratív kötelezettségként, hanem a vezetői döntéshozatal és a mindennapi működés részeként kezelik.

Környezetirányítás: szabványmódosítás vagy új gondolkodás?

Az első blokkban Lukács Zoltán, a CERT Tanúsító Zrt. vezérigazgatója az ISO 14001:2026 változásairól beszélt. Előadásában hangsúlyozta: az új szabvány nem drasztikus szerkezeti fordulatot, hanem erős szemléletbeli elmozdulást hoz. Az ISO 14001 fejlődése jól mutatja ezt az utat: míg 1996-ban még főként a környezetvédelmi előírásoknak való megfelelés állt a középpontban, 2004-ben a rendszerszemlélet, 2015-ben pedig a kockázatalapú gondolkodás vált meghatározóvá. A 2026-os kiadás kulcsszava már a fenntartható működés.

Ez a változás azért fontos, mert a klíma- és erőforráskockázatok, a partneri elvárások, az ESG-szempontok és a reputációs kockázatok ma már nem háttértényezők. A vállalkozásoknak egyre gyakrabban kell választ adniuk arra, hogyan hat működésük a környezetre, milyen erőforrásokra támaszkodnak, hogyan kezelik a sérülékeny ellátási láncokat, és milyen adatokkal tudják igazolni környezeti teljesítményüket.

Látszatzöld működés helyett hiteles adatok

Az előadás egyik legerősebb üzenete az volt, hogy a környezetirányításnak nem a látszatról, hanem a valós teljesítményről kell szólnia. A fenntarthatósági megfelelés világában egyre kevésbé elegendő általános kijelentéseket tenni: hiteles adatgyűjtésre, mérhető környezeti eredményekre, trendek figyelésére és felelős beavatkozásokra van szükség.

A klímaváltozás, a biodiverzitás csökkenése, az energia- és alapanyagkockázatok, valamint a szennyezési kockázatok komplex kezelése mind olyan terület, amely a vállalatvezetés asztalára kerül. A kérdés nem az, hogy van-e a falon tanúsítvány, hanem az, hogy a szervezet képes-e átláthatóan, követhetően és hosszú távon fenntartható módon működni.

A vezetői felelősség szerepe ezért tovább erősödik. Ha a felső vezetés nem tekinti stratégiai ügynek a környezetirányítást, akkor a rendszer könnyen adminisztratív teherré válik. Ha viszont a környezeti szempontok megjelennek a termékfejlesztésben, a technológiai döntésekben, a beszerzésben és a beszállítói értékelésben, akkor az irányítási rendszer valódi versenyképességi tényezővé válhat.

ESG, beszállítók és életciklus-szemlélet

A fenntarthatósági elvárások egyre erősebben kapcsolódnak az ESG-hez és az ellátási láncokhoz is. A nagyvállalati követelmények fokozatosan „lecsorognak” a kisebb beszállítókhoz: egyre több megrendelő várhat el karbonlábnyomra, környezeti teljesítményre, életciklus-szemléletre vagy beszállítói környezeti felelősségre vonatkozó adatokat.

Ez nem feltétlenül csak teher. A jól működő irányítási rendszer segíthet abban, hogy a vállalkozás ne utólag próbáljon megfelelni egy-egy partneri kérésnek, hanem előre lássa, milyen adatokra, folyamatokra és felelősségi körökre lesz szüksége. A jó környezetirányítás tehát nem külön adminisztráció, hanem a szervezet saját működésének jobb megértése.

Június 30.: NIS2-határidő, amelyet nem érdemes félvállról venni

A rendezvény második blokkjában dr. Hohmann Balázs (PTE ÁJK és CERT Tanúsító Zrt.) az információbiztonság és kiberbiztonság jogszabályi, szabványi és beszállítói követelményeiről adott gyakorlatorientált áttekintést.

Az előadás egyik legfontosabb aktualitása a NIS2-höz kapcsolódó kiberbiztonsági audit volt. Az érintett szervezeteknek 2026. június 30-ig kell lefolytatniuk az első kiberbiztonsági auditot. Ez a határidő különösen azoknak a vállalkozásoknak sürgető, amelyek már nyilvántartásba vételi, biztonsági osztályba sorolási, védelmi intézkedési és auditorral kapcsolatos kötelezettségekkel is szembesültek.

Az előadás rámutatott: nem elegendő abban bízni, hogy a szervezet „nem kerül a hatóság látókörébe”. A felügyelet erősödik, és a közhiteles nyilvántartások, tevékenységi körök, ágazati besorolások alapján egyre célzottabban azonosíthatók azok a szereplők, amelyeknek van teendőjük. Kiemelt figyelmet kapnak többek között a gyártással, ipari tevékenységgel foglalkozó szervezetek, valamint a kockázatos és kiemelten kockázatos ágazatok szereplői.

A június 30-i dátum ezért nem adminisztratív részlet, hanem vezetői döntési pont. Aki érintett, annak addigra nemcsak dokumentumokkal kell rendelkeznie, hanem igazolható módon át kell látnia elektronikus információs rendszereit, kockázatait, védelmi intézkedéseit és beszállítói kapcsolatait is.

A halogatás is döntés – csak nem kontrollált

Az információbiztonság sok vállalkozás számára nehéz, drága és elsőre távolinak tűnő terület. Mégis egyre kevésbé kerülhető meg. A digitalizált működés miatt ma már szinte minden szervezet érintett valamilyen szinten. Nemcsak a nagyvállalatok vagy az állami szereplők lehetnek célpontok: egy zsarolóvírus, egy beszállítói sérülékenység, egy rosszul kezelt felhőszolgáltatás vagy egy óvatlan munkavállalói döntés is képes megbénítani a működést.

Dr. Hohmann Balázs előadásának egyik kulcsgondolata az volt, hogy a halogatás ezen a területen is döntés. Ha egy szervezet nem vizsgálja meg időben, hogy érintett-e a NIS2 szerinti kötelezettségekben, nem sorolja be rendszereit, nem méri fel kritikus adatait, nem szerződik megfelelően beszállítóival, vagy nem alakít ki incidenskezelési rendet, akkor nem a kockázat tűnik el, hanem a kontroll.

NIS2: nem csak az IT ügye

A NIS2-höz kapcsolódó megfelelés nem pusztán informatikai feladat. Az elektronikus információs rendszerek feltárása, biztonsági osztályba sorolása, a védelmi intézkedések meghatározása, az auditorral való együttműködés, a beszállítói kapcsolatok áttekintése és a belső felelősségi rend kialakítása mind vezetői és szervezeti kérdés is.

Az ISO/IEC 27001 logikája ebben sokat segíthet, de önmagában nem „varázspajzs”. Jó keretet adhat a gondolkodáshoz, a kontrollokhoz, a folyamatosság biztosításához és a tudatos működéshez, de Magyarországon önmagában egy ISO/IEC 27001 tanúsítvány jelenleg nem váltja ki automatikusan a NIS2 szerinti auditkötelezettséget. A szervezetnek saját kockázatait, saját működését és saját beszállítói kapcsolatait kell átlátnia.

A június 30-i határidő tehát nem azt jelenti, hogy addigra „készüljön el egy szabályzatcsomag”. Sokkal inkább azt, hogy addigra a szervezet legyen képes bemutatni: tudja, mely rendszerei kritikusak, milyen védelmi intézkedéseket alkalmaz, milyen függőségei vannak, és hogyan reagálna incidens esetén.

Felhő, home office, mesterséges intelligencia

Az információbiztonsági előadás több gyakorlati kockázati pontra is rámutatott. Ilyen a kiszervezés és a felhőszolgáltatások kérdése: attól, hogy az adat vagy a szolgáltatás nem saját szerveren van, a felelősség nem tűnik el. Szerződéses, hozzáférési, adat-visszaadási és szolgáltatásmegszüntetési kérdéseket is tisztázni kell.

Hasonlóan fontos a home office és a távoli munkavégzés szabályozása. A munkavállalók eszközei, hálózatai, jelszókezelése, többfaktoros azonosítása és incidensjelentési tudatossága mind része a védekezésnek.

A mesterséges intelligencia megjelenése újabb réteget ad a kockázatokhoz. A tiltás önmagában gyakran nem megoldás, mert könnyen kontrollálatlan használathoz vezet. A szervezeteknek inkább orientálniuk, szabályozniuk és oktatniuk kell a munkatársakat: mit lehet használni, milyen adatokkal, milyen célra, milyen ellenőrzés mellett.

Tudatosság nélkül nincs működő védelem

Az előadás egyik legfontosabb gyakorlati tanulsága az volt, hogy a technikai intézkedések gyorsan bevezethetők, de a szervezeti tudatosság lassan épül. Tűzfalat, többfaktoros azonosítást vagy jogosultságkezelést viszonylag gyorsan lehet kialakítani, de azt elérni, hogy a munkatársak felismerjék a kockázatos helyzeteket, tudják, kinek kell szólniuk, és értsék saját szerepüket a védekezésben, következetes munkát igényel.

Az információbiztonság ezért nem polcra tett szabályzat, hanem napi működés. Nem az a cél, hogy minél több dokumentum készüljön, hanem hogy a szervezet tudja: mely adatai kritikusak, mi nélkül nem tudna másnap elindulni, milyen beszállítóktól függ, hogyan reagál incidens esetén, és hogyan tudja fenntartani működését váratlan helyzetekben.

Józan ész, felelős vezetés és működő rendszerek

A rendezvény végkövetkeztetése túlmutatott a két előadás témáján. Akár környezetirányításról, akár információbiztonságról beszélünk, ugyanaz a kérdés kerül elő: a szervezet csak megfelelni akar, vagy valóban jobban akar működni?

Az ISO 14001:2026, az ESG-elvárások, a NIS2, az ISO/IEC 27001 és a beszállítói auditok mind ugyanabba az irányba mutatnak: átláthatóbb, tudatosabb, felelősebb és ellenállóbb vállalati működésre van szükség. A túlzott adminisztráció itt is veszély, de a jól felépített irányítási rendszer éppen abban segít, hogy a szabályozás ne öncélú teher, hanem gyakorlati kapaszkodó legyen.

A Kamarai Minőségügyi Klub rendezvénye ezért nemcsak szabványokról és jogszabályokról szólt, hanem arról is, hogy a fenntarthatóság, a kiberbiztonság és a minőségügyi gondolkodás ma már a versenyképesség alaprétegévé válik. A 2026. június 30-i NIS2-határidő pedig világos figyelmeztetés: a megfelelésre való felkészülést nem érdemes az utolsó pillanatra hagyni.

A rendezvény a Magyar Kereskedelmi és Iparkamara Vállalkozásfejlesztési Projektjének keretében, Magyarország Kormányának támogatásával valósult meg.