ENISA Cyber Resilience Maturity Assessment Model KKV-k számára
Az ENISA (EU Kiberbiztonsági Ügynökség) 2026. július 13-án új gyakorlati eszközt tett közzé kifejezetten kis- és középvállalkozások (KKV-k) számára, hogy segítse őket a Cyber Resilience Act (CRA) követelményeire való felkészülésben. Az úgynevezett SME Cyber Resilience Maturity Assessment Model öt fő területen – irányítás és dokumentáció, kockázatkezelés és beépített biztonság, sérülékenység- és patchmenedzsment, termékéletciklus-menedzsment, valamint tudatosság és szakértelem – segít felmérni a szervezetek jelenlegi állapotát, és három érettségi szintbe (alap, közepes, haladó) sorolja őket. A modellhez egy letölthető Excel-tool is tartozik, amely automatikusan számolja az érettségi pontszámokat, ám az ENISA hangsúlyozza: a magas érettségi szint nem helyettesíti a jogi megfelelést, és önmagában nem tekinthető a CRA-nak való megfelelés bizonyítékának.
A modell megjelenését egy 2026 február–március között lezajlott felmérés eredményei is alátámasztják, amelyben 31 országból – köztük 25 uniós tagállamból – 194 KKV vett részt. A válaszadók 66%-a hallott már a CRA-ról, ám a gyakorlati követelmények megértése terén továbbra is jelentős hiányosságok mutatkoznak. A felmérés szerint a vállalatméret az érettségi szint legerősebb meghatározója: a középvállalkozások mind az öt vizsgált területen átlagosan egy ponttal jobban teljesítettek, mint a mikrovállalkozások. A leggyengébb terület összességében – különösen a mikrovállalkozásoknál – az incidenskezelés és a termékéletciklus-menedzsment volt.
A felmérés a támogatási igényekről is képet adott:
- A válaszadók több mint 70%-a technikai dokumentációs és biztonságos fejlesztési sablonokat kért, ezek a legkeresettebb támogatási formák.
- 142 szervezet jelezte, hogy pénzügyi támogatásra lenne szüksége az erőforrás-, költség- és időkorlátok kezeléséhez.
- A KKV-k nem egyetlen forrásból tájékozódnak a CRA-ról, így a hatékony kommunikációhoz több csatorna és formátum kombinációjára van szükség.
Az eredmények alapján az ENISA ajánlásokat is megfogalmazott, amelyek a dokumentációra és megfelelőségértékelésre, a technikai sablonokra, az incidenskezelésre és termékéletciklus-menedzsmentre, a pénzügyi támogatásra, valamint kifejezetten a mikrovállalkozásokra vonatkozó specifikus javaslatokra terjednek ki. Az anyag jól illeszkedik az Európai Bizottság KKV-kiberbiztonsági stratégiájához, és jelzi, hogy a CRA sikeres bevezetése nagyban függ attól, mennyire tudják a kisebb szereplők – erőforrás- és szakértelemhiány ellenére – gyakorlatba ültetni a jogszabály elvárásait.