Leggyakoribb kérdések a NIS2-ről Magyarországon (GYIK 2026)

A NIS2 az Európai Parlament és a Tanács 2022/2555 irányelve a hálózati és információbiztonságról — az uniós kiberbiztonsági követelmények második szintje, amelyet 2022 decemberében fogadtak el. Az irányelv önmagában nem vonatkozik közvetlenül a cégekre — azt át kellett ültetni a nemzeti jogba.

A magyar NIS2 törvény (2023. évi XXIII. törvény) ültette át a NIS2 irányelvet a hazai jogrendbe. A végrehajtási határidő 2026. október 1. Magyar cégekre ez a törvény vonatkozik — nem közvetlenül az irányelv.

Gyakorlati különbség: a magyar törvény a NIS2 minimumkövetelményeinél szigorúbb előírásokat is tartalmazhat. Az értelmezési kérdésekben fordulj a magyar felügyeleti hatósághoz, az SZTFH-hoz.

A NIS2 irányelvet átültető magyar kiberbiztonsági törvény szerinti regisztrációs és megfelelési határidő 2026. október 1. A szervezetek önbesorolásának határideje szintén 2026. október 1. A teljes technikai megfelelés határideje 2027. október 1.

A becslések szerint mintegy 4 000 magyar szervezetnek kell megfelelnie a NIS2 előírásainak — ez körülbelül négyszer több, mint amennyire az eredeti NIS1 vonatkozott. A növekedés oka a „kritikus szektorok" definíciójának kibővítése és az érintett cégek méretküszöbének csökkentése.

Alapvető szervezetek (Essential Entities): nagy cégek (250+ alkalmazott vagy 50 millió EUR feletti árbevétel) az I. mellékletben szereplő szektorokból (energia, közlekedés, bankszektor, egészségügy, vízügy, digitális infrastruktúra, közigazgatás, űrszektor). Aktív felügyelet alá esnek — a hatóság saját kezdeményezésére is végezhet ellenőrzést. Bírság: legfeljebb 10 millió EUR vagy az árbevétel 2%-a.

Fontos szervezetek (Important Entities): közepes méretű cégek az I. mellékletből, vagy bármilyen méretű cégek a II. mellékletből (postai szolgáltatások, gyártás, vegyipar, élelmiszeripar, digitális szolgáltatások). Reaktív felügyelet alá esnek — ellenőrzésre csak incidens vagy panasz esetén kerül sor. Bírság: legfeljebb 7 millió EUR vagy az árbevétel 1,4%-a.

A technikai követelmények hasonlóak mindkét kategóriánál — a felügyelet intenzitása és a bírságok mértéke tér el.

Általánosságban igen. A mikrovállalkozások (10 főnél kevesebb alkalmazott és 2 millió EUR alatti éves árbevétel) és a kisvállalkozások (50 főnél kevesebb alkalmazott és 10 millió EUR alatti árbevétel) mentesülnek a NIS2 hatálya alól.

Fontos kivételek: a kisvállalkozásokra is vonatkozhat a NIS2, ha: Magyarországon egyedüli kritikus szolgáltatónak minősülnek; bizalmi szolgáltatásokat nyújtanak (minősített elektronikus aláírás); DNS-szolgáltatók vagy domainregisztrációs nyilvántartások; vagy a hatóság biztonsági hatásuk miatt kulcsfontosságúnak minősíti őket.

Az önbesorolás határideje 2026. október 1. Eddig az időpontig minden érintett szervezetnek:

1. Fel kell mérnie, hogy alapvető vagy fontos szervezetnek minősül-e
2. Regisztrálnia kell az SZTFH nyilvántartásában
3. Ki kell jelölnie a kiberbiztonsági felelős személyt

A 2026. október 1-jei határidőig elmulasztott regisztráció közigazgatási bírságot vonhat maga után.

A teljes technikai megfelelés (bevezetett kockázatkezelési intézkedések, eljárások, ISMS) határideje 2027. október 1. Az alapvető szervezetek külső kiberbiztonsági auditjának határideje 2028. október 1.

A törvény megköveteli egy kiberbiztonsági feladatokért felelős személy vagy csapat kijelölését. Ez nem feltétlenül jelent teljes munkaidős CISO-t — lehet:

• Belső IT-munkatárs kibővített feladatkörrel
• Külső tanácsadó vagy szolgáltató cég (MSSP)
• Kisebb fontos szervezetek esetén ügyvezető vagy igazgató

A lényeg, hogy ez a szerepkör formálisan dokumentálva legyen, és ténylegesen be is töltse feladatát.

A NIS2 törvény háromszintű incidensbejelentési kötelezettséget ír elő:

• 24 óra az észleléstől: korai figyelmeztetés az SZTFH-nak
• 72 óra az észleléstől: teljes körű incidensjelentés a hatás értékelésével
• 1 hónap az észleléstől: részletes zárójelentés az okok elemzésével és a megtett intézkedésekkel

A bejelentési kötelezettség csak a szolgáltatás folytonosságát érdemben befolyásoló súlyos incidensekre vonatkozik — nem minden biztonsági riasztásra.

A NIS2 irányelv 21. cikke (amelyet a magyar törvény átültetett) legalább az alábbiakat írja elő:

1. Kockázatelemzési és információbiztonsági politikák
2. Biztonsági incidensek kezelési eljárásai (észlelés, bejelentés, reagálás)
3. Üzletmenet-folytonosság kezelése (biztonsági mentés, katasztrófa-elhárítás, válságkezelés)
4. Ellátási lánc biztonsága (szállítók és partnerek értékelése)
5. Hálózatok és rendszerek biztonságos beszerzése, fejlesztése és karbantartása
6. Kockázatkezelési intézkedések hatékonyságát értékelő politikák és eljárások
7. Alapvető kiberbiztonsági higiéniai gyakorlatok és képzések
8. Kriptográfiára és titkosításra vonatkozó politikák és eljárások
9. Személyi biztonság, hozzáférés-kezelés, eszközkezelés
10. Többtényezős hitelesítés (MFA) vagy SSO alkalmazása

Az ISMS-eszközök mindezeket a követelményeket lefedik — hasonlítsd össze az eszközöket →

Nem mentesít teljesen, de jelentősen megkönnyíti a megfelelést. Az ISO 27001 és a NIS2 átfedő területeket fed le — becslések szerint az ISO 27001 tanúsítvánnyal rendelkező cég a NIS2 technikai követelményeinek kb. 80-85%-át teljesíti.

A fennmaradó 15-20% NIS2-specifikus elemekből áll: incidensbejelentési eljárások a hatóság felé, ellátási lánc biztonsági értékelése a NIS2 kritériumai szerint, regisztráció az SZTFH nyilvántartásában. Az ISO 27001 tanúsítvány azonban enyhítheti a bírságokat, és a hatóságok pozitívan értékelik.

Nem, jogilag nem kötelező konkrét szoftver vásárlása. A NIS2 törvény technikai és eljárási követelményeket ír elő — nem határozza meg, hogyan kezelje a cég ezt a folyamatot.

A gyakorlatban a nagyobb cégeknek (alapvető szervezetek) szükségük lesz GRC-eszközre a dokumentáció, bizonyítékok és monitoring kezeléséhez — 50+ kontroll esetén a manuális kezelés nem reális. Kisebb fontos szervezetek kezdhetik a Reglyze ingyenes csomagjával vagy a Microsoft Purview-val. Hasonlítsd össze a lehetőségeket →

Az ISMS (Information Security Management System), azaz információbiztonsági irányítási rendszer politikák, eljárások, folyamatok és kontrollok összessége, amelyek a kiberbiztonsági kockázatok kezelésére szolgálnak. Az ISMS-t meghatározó szabvány az ISO/IEC 27001.

A NIS2 törvény nem követel meg ISO 27001 tanúsítványt, de megköveteli az ISMS elemeinek bevezetését (biztonsági politikák, kockázatkezelés, incidenskezelési eljárások). Az olyan eszközök, mint a Reglyze, a Secfix vagy az ISMS.online automatizálják az ISMS kiépítését és fenntartását kifejezetten NIS2 szempontból.

A megvalósítás költségei jelentősen eltérnek a megközelítéstől és a cég méretétől függően:

• Kisvállalkozások (fontos szervezet, 50–100 alkalmazott): €2 000–15 000 egyszeri költség + €500–2 000/év eszközökre és karbantartásra
• Közepes vállalkozások (100–250 alkalmazott): €10 000–50 000 bevezetés + €3 000–8 000/év
• Nagyvállalatok (alapvető szervezet): €50 000–250 000+ bevezetés + €15 000–50 000/év

Az ISO 27001 audit (nem kötelező, de hasznos) további €8 000–25 000-be kerül az auditorvállalattól függően.

Nem — a NIS2 törvény nem követel meg magyar szoftverszolgáltatót. Bármely EU-s vagy EU-n kívüli eszközt használhatsz, feltéve, hogy az adatokat a GDPR-nak megfelelően kezelik.

Érdemes azonban figyelni: az adattárolás helyére (EU vs. EU-n kívül), a magyar nyelvű technikai támogatásra, és arra, hogy a szolgáltató ismeri-e a magyar előírásokat. Az SZTFH az illetékes felügyeleti hatóság, ezért érdemes az ő iránymutatásaikat is figyelemmel kísérni. Eszközök összehasonlítása →

Kisvállalkozásoknak (fontos szervezet, 50–100 alkalmazott) azt javasoljuk, hogy ezzel kezdjék:

1. Reglyze (ingyenes csomag) — végezd el az önbesorolást és a hiányelemzést. Generálj biztonsági politikákat MI segítségével. Tökéletes kiindulópont, nulla költséggel.
2. Microsoft Purview (ha van M365 E3+) — beépített NIS2-sablon egy már meglévő és kifizetett eszközben. Egészítsd ki a Reglyze-t a Purview monitoringjával.
3. A hiányelemzés után: döntsd el, hogy szükséged van-e fizetős eszközre (pl. ISMS.online £375/hótól) a konkrét hiányosságok alapján.

Használd a NIS2 kalkulátort → hogy először megtudd, milyen típusú szervezetnek minősül a céged.

EU-ban székhellyel rendelkező és EU-ban adatot tároló eszközök:

• Reglyze — EU-s székhely ✓
• ComplyCloud — Dánia ✓
• Secfix — Németország ✓ (EU-s adattárolás)
• ISMS Copilot — Németország ✓

Az USA-ban (Vanta, Drata, Sprinto) és az Egyesült Királyságban (ISMS.online) székhellyel rendelkező eszközök EU-n kívül is kezelhetnek adatokat — vásárlás előtt ellenőrizd az adatfeldolgozási megállapodásukat (DPA) és az általános szerződési feltételeket. A Microsoft Purview Azure-régiókban tárolja az adatokat — beállítható az EU Data Boundary.

Alapvető szervezetek:

• Legfeljebb 10 000 000 EUR vagy a teljes éves globális árbevétel 2%-a (a magasabb összeg)
• A jogsértésért felelős személyek eltiltása vezető tisztség betöltésétől

Fontos szervezetek:

• Legfeljebb 7 000 000 EUR vagy a teljes éves globális árbevétel 1,4%-a (a magasabb összeg)

Az SZTFH bírságot szabhat ki: regisztráció elmulasztásáért, ISMS hiányáért, incidensek be nem jelentéséért, technikai követelmények nem teljesítéséért. Az első bírságok az átmeneti időszak lejárta után várhat

Több kérdésed van?

Nem találtad meg a választ? Nézd meg részletes eszközáttekintéseinket vagy használd a NIS2 kalkulátorunkat.

NIS2 kalkulator elindítása →

Több mint 2 400 magyar cég ellenőrizte NIS2 státuszát ezen az oldalon