Ez a cikk megjelent a hvg.hu / gazdaság rovatában 2026.01.28.
Az Adatvédelmi világnap kapcsán egyre világosabban látszik, hogy 2026 mérföldkő lesz a digitális megfelelés történetében. Négy meghatározó uniós szabályozás – a GDPR, a NIS2 irányelv, az EU AI Act és az EU Cybersecurity Act – gyakorlatilag egy közös szabályozási térben kezd működni, új szintre emelve a digitális biztonság és az üzleti felelősség kérdését.
Védelmi architektúra
A négy szabályozási keret nem kezelhető külön-külön. Az adatvédelem, a kiberbiztonság, a mesterséges intelligencia és a tanúsítás egyetlen integrált kockázatkezelési és governance rendszerben találkozik.
A digitális megfelelés alapját a GDPR adja, amely egyértelműen kijelöli, mi számít védendő értéknek a gazdasági működésben. A személyes adat ebben a megközelítésben nem puszta információ, hanem emberhez kötődő jogi és gazdasági érték, ezért egy adatvédelmi incidens nemcsak technikai esemény, hanem üzleti és reputációs kockázat is. „A GDPR egyik legnagyobb érdeme, hogy kockázati prioritásokat állít fel, és ezzel megalapozza minden további biztonsági és technológiai döntést” – teszi hozzá Zentai Zsuzsanna.
Erre a szemléletre épül rá a NIS2 irányelv, amely már nem az adat, hanem a szervezet működésének szintjén értelmezi a védelmet. Az első kiberbiztonsági auditot 2026. június 30-ig kell elvégezniük a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény hatálya alá eső szervezeteknek. Jelenleg még nagyon sok vállalkozás érintett ebben a felkészülési folyamatban, amelyhez cégünk gyakorlati támogatást nyújt tanácsadás keretén belül. A kiberbiztonság itt már nem IT-feladat, hanem vállalatirányítási felelősség. A szabályozás kockázatalapú megközelítést, strukturált incidenskezelést, beszállítói kontrollt és vezetői elszámoltathatóságot vár el. A cél nem konkrét technológiák előírása, hanem egy olyan folyamatszinten működő, auditálható védelem kialakítása, amely hosszú távon is fenntartható.
Ebben a már szabályozott környezetben jelenik meg az EU AI Act, amely szabályozza a mesterséges intelligencia alapú rendszerek fejlesztését és használatát, biztosítva azok megbízható, átlátható és jogszerű működését. A mesterséges intelligencia alkalmazása nem maradhat „fekete doboz”: a magas kockázatú rendszerek működésének átláthatónak, dokumentáltnak és emberi felügyelet mellett ellenőrizhetőnek kell lennie. „Az AI akkor illeszthető be biztonságosan az üzleti működésbe, ha adatkezelése megfelel a GDPR elveinek, és technikai alapjai összhangban állnak a NIS2 követelményeivel” – emeli ki a szakértő. Az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvénnyel összefüggő szabályozások értelmében a szabályzó hatálya alá tartozó szervezetek számára 2026. augusztus 2-a is mérföldkőnek számít, hiszen meg kell kezdeniük az alkalmazott AI-rendszerek felmérését és kockázati besorolását, a vállalati szintű megfelelőségi stratégia kialakítását, valamint a szükséges technikai dokumentációk, képzések és belső folyamatok kidolgozását. A megfelelés kialakításában az ISO/IEC 42001 szabvány strukturált támpontot ad, amelynek gyakorlati alkalmazásában -és ezáltal a jogszabályi megfelelés implementációjában- a FrameWork Hungary Kft. szakértői támogatást nyújtanak.
A szabályozási láncot az EU Cybersecurity Act zárja le, amely a biztonságot bizonyíthatóvá teszi. A tanúsítási keretrendszerek révén a megfelelés nem puszta állítás, hanem hitelesen igazolt működés lesz. Ez különösen a beszállítói láncokban, a kritikus rendszerekben és a piaci együttműködésekben válik meghatározóvá, ahol a biztonság egyre inkább üzleti döntési tényezővé és versenyelőnnyé alakul.
Jogszabályi megfelelés vállalati szinten
A FrameWork Hungary Kft. compliance adatbázis szolgáltatása jogszabályok implementációjában segíti a szervezeteket, abban, hogy a folyamatosan változó uniós és hazai előírásokat értsék, végrehajtható feladatokká alakítsák, összegyűjtsék azokat a bizonyítékokat, amelyek szükségesek a megfelelés igazolásához, és minden rájuk vonatkozó határidős kötelezettséget betartsanak.
Amikor a megfelelés eltávolodik a valóságtól
A gyakorlatban ugyanakkor gyakran tapasztalható, hogy a megfelelési mechanizmusok nem a tényleges kockázatokra, hanem a formális elvárások teljesítésére optimalizálódnak.
„A problémák gyökere sok esetben nem a jogalkotásban, hanem az alkalmazás módjában és a módszertani megközelítésben keresendő” – fogalmaz Zentai Zsuzsanna. „Ha egy keretrendszer túlzottan részletezett és homogén követelményeket alkalmaz nagyon eltérő kockázati profilú szervezetekre, a kockázatarányosság elve sérül.”
Ilyenkor a megfelelés könnyen elszakad a működéstől: az auditok sikeres lezárása önálló céllá válik, miközben a tényleges biztonsági érettség háttérbe szorul. Ez hamis biztonságérzetet teremthet, ami önmagában is kockázatot jelent.
„A megfelelés akkor tölti be a valódi funkcióját, ha a működést fejleszti, nem pedig helyettesíti” – hangsúlyozza a Framework Hungary Kft. ügyvezetője. „A kulcskérdés nem az, hogy egy szervezet megfelel-e, hanem az, hogy a megfelelési folyamat ténylegesen csökkenti-e a kockázatait, és javítja-e a reagálóképességét egy valós incidenshelyzetben.”
Versenyelőny azoknak, akik rendszerben gondolkodnak
Az elkövetkező évek valódi tétje nem a formális megfelelés, hanem az, hogy a szervezetek képesek-e működő, arányos és fenntartható védelmi képességeket felépíteni. A GDPR, a NIS2, az EU AI Act és az EU Cybersecurity Act együtt nem adminisztratív terhet, hanem egy egységes gondolkodási keretet kínálnak.
Azok a gazdasági szereplők, akik ezt rendszerben kezelik, és a megfelelést nem célként, hanem eszközként használják, nemcsak jogilag lesznek védettebbek, hanem hosszú távon versenyképesebbé is válnak.