Főoldal GYIK — Kérdések a NIS2-ről
Utolsó frissítés: 2026. június

Leggyakoribb kérdések a NIS2-ről Magyarországon (GYIK 2026)

Válaszok a 25 leggyakrabban feltett kérdésre a NIS2 hatálya alá tartozó magyar cégek számára.

A NIS2 alapjai

A NIS2 az Európai Parlament és az Európai Tanács 2022/2555 irányelve a hálózat- és információbiztonságról — az uniós kiberbiztonsági követelmények második szintje, amelyet 2022 decemberében fogadtak el. Az irányelv közvetlenül nem kötelezi a cégeket — nemzeti jogba kellett átültetni.

A magyar NIS2 törvény (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) ültette át a NIS2 irányelvet a magyar jogrendbe. A végrehajtást a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felügyeli. A magyar cégeket a hazai törvény kötelezi — nem közvetlenül az irányelv.

Gyakorlati különbség: a magyar törvény a NIS2 minimumkövetelményeinél szigorúbb előírásokat is tartalmazhat. Az értelmezési kérdésekben az SZTFH az illetékes hatóság.

A NIS2 irányelvet átültető magyar kiberbiztonsági törvény (2023. évi XXIII. törvény) és végrehajtási rendeletei fokozatosan léptek hatályba. Az önbesorolás határideje 2026. október 1. A teljes technikai megfelelési követelmények határideje 2026. október 1., az első felügyeleti auditok 2027-től várhatók.

A becslések szerint kb. 4 000 magyar szervezetnek kell megfelelnie a NIS2 követelményeinek — ez körülbelül tízszerese az előző szabályozás által érintett szervezetek számának. A növekedés oka az „kritikus szektorok" definíciójának bővítése és az érintett cégek méretküszöbének csökkentése.

Alapvető szervezetek (Essential Entities): nagy cégek (250+ alkalmazott vagy 50 millió EUR feletti forgalom) az I. melléklet szerinti szektorokból (energia, közlekedés, bankszektor, egészségügy, ivóvíz, digitális infrastruktúra, közigazgatás, űrágazat). Aktív felügyeleti ellenőrzés alá esnek — a hatóság saját kezdeményezésére végez auditokat. Bírság: legfeljebb 10 millió EUR vagy a forgalom 2%-a.

Fontos szervezetek (Important Entities): közepes méretű cégek az I. mellékletből, vagy bármilyen méretű cégek a II. mellékletből (postai szolgáltatások, gyártás, vegyipar, élelmiszeripar, digitális szolgáltatások). Reaktív felügyeleti ellenőrzés alá esnek — audit csak incidens vagy panasz esetén. Bírság: legfeljebb 7 millió EUR vagy a forgalom 1,4%-a.

A technikai követelmények mindkét kategóriára hasonlók — a felügyelet intenzitása és a bírságok mértéke különbözik.

Általában igen. A mikrovállalkozások (kevesebb mint 10 alkalmazott és 2 millió EUR alatti éves forgalom) és a kisvállalkozások (kevesebb mint 50 alkalmazott és 10 millió EUR alatti forgalom) mentesülnek a NIS2 hatálya alól.

Fontos kivételek: a kisvállalkozások mégis kötelesek lehetnek megfelelni, ha: ők az adott kritikus szolgáltatás egyetlen magyarországi szolgáltatói; bizalmi szolgáltatásokat nyújtanak (pl. minősített elektronikus aláírás); DNS-szolgáltatók vagy doménnév-nyilvántartók; vagy a hatóság biztonsági hatásuk miatt kulcsfontosságúnak minősíti őket.

Határidők és kötelezettségek

Az önbesorolás határideje 2026. október 1. Eddig az időpontig minden érintett szervezetnek:

  1. Fel kell mérnie, hogy megfelel-e az alapvető vagy fontos szervezet kritériumainak
  2. Regisztrálnia kell magát az SZTFH nyilvántartásában
  3. Ki kell jelölnie a kiberbiztonsági feladatokért felelős személyt

A 2026. október 1-jei határidőig elmulasztott regisztráció közigazgatási bírságot vonhat maga után.

A teljes technikai megfelelés (bevezetett kockázatkezelési intézkedések, eljárások, ISMS) határideje 2026. október 1. Az alapvető szervezetek külső kiberbiztonsági auditját 2027-től kell elvégezni.

A törvény előírja egy kiberbiztonsági feladatokért felelős személy vagy csapat kijelölését. Ez nem feltétlenül jelent teljes munkaidős CISO-t — lehet:

  • Belső IT-munkavállaló kibővített feladatkörrel
  • Külső tanácsadó vagy szolgáltató cég (MSSP)
  • Ügyvezető vagy igazgató kisebb fontos szervezetek esetén

A lényeg a szerep formális kijelölése a dokumentációban és tényleges ellátása.

A NIS2 háromszintű incidensbejelentési rendszert ír elő:

  • 24 óra az észleléstől: korai figyelmeztetés az SZTFH-nak vagy az illetékes ágazati hatóságnak
  • 72 óra az észleléstől: teljes incidensbejelentés a hatás értékelésével
  • 1 hónap az észleléstől: részletes zárójelentés az okok elemzésével és a megtett intézkedésekkel

A bejelentési kötelezettség csak a szolgáltatás folyamatosságára jelentős hatást gyakorló súlyos incidensekre vonatkozik — nem minden biztonsági riasztásra.

Technikai követelmények és bevezetés

A NIS2 irányelv 21. cikke (amelyet a magyar törvény is átültetett) legalább a következőket írja elő:

  1. Kockázatelemzési és információbiztonsági rendszer-politikák
  2. Incidenskezelési eljárások (észlelés, bejelentés, reagálás)
  3. Üzletmenet-folytonosság kezelése (biztonsági mentés, katasztrófa-helyreállítás, válságkezelés)
  4. Ellátási lánc biztonsága (szállítók és partnerek értékelése)
  5. Hálózatok és rendszerek beszerzésének, fejlesztésének és karbantartásának biztonsága
  6. A kockázatkezelési intézkedések hatékonyságának értékelésére vonatkozó politikák és eljárások
  7. Alapvető kiberbiztonsági higiéniai gyakorlatok és képzés
  8. Kriptográfiára és titkosításra vonatkozó politikák és eljárások
  9. HR-biztonság, hozzáférés-felügyelet, eszközkezelés
  10. Többfaktoros hitelesítés (MFA) vagy SSO alkalmazása

Az ISMS-eszközök mindezeket a követelményeket lefedik — hasonlítsa össze az eszközöket →

Nem mentesít teljesen, de jelentősen megkönnyíti a megfelelést. Az ISO 27001 és a NIS2 átfedő területeket fed le — becslések szerint az ISO 27001 tanúsítvánnyal rendelkező cég a NIS2 technikai követelményeinek kb. 80–85%-át teljesíti.

A fennmaradó 15–20% a NIS2-specifikus elemekből áll: incidensbejelentési eljárások a hatóságok felé, az ellátási lánc biztonságának értékelése a NIS2 kritériumai szerint, regisztráció az SZTFH nyilvántartásában. Az ISO 27001 tanúsítvány azonban enyhítheti a bírságokat, és a felügyeleti hatóság pozitívan értékeli.

Nem, nincs törvényi kötelezettség meghatározott szoftver vásárlására. A NIS2 törvény technikai és eljárási követelményeket ír elő — nem határozza meg, hogyan kezelje a cég ezt a folyamatot.

A gyakorlatban a nagy cégek (alapvető szervezetek) GRC-eszközre szorulnak majd a dokumentáció, bizonyítékok és monitoring kezeléséhez — az 50+ kontroll kézi kezelése nem reális. A kisebb fontos szervezetek elkezdhetnek a Reglyze ingyenes tervével vagy a Microsoft Purview-val. Hasonlítsa össze a lehetőségeket →

Az ISMS (Information Security Management System) az információbiztonsági irányítási rendszer — politikák, eljárások, folyamatok és kontrollok összessége a kiberbiztonsági kockázatok kezelésére. Az ISMS-t meghatározó szabvány az ISO/IEC 27001.

A NIS2 nem követeli meg az ISO 27001 tanúsítást, de az ISMS elemeit (biztonsági politikák, kockázatkezelés, incidenseljárások) igen. Az olyan eszközök, mint a Reglyze, a Secfix vagy az ISMS.online, automatizálják az ISMS kiépítését és fenntartását kifejezetten a NIS2 szempontjából.

Eszközök, költségek és szolgáltatók

A bevezetési költségek jelentősen eltérnek a megközelítéstől és a cég méretétől függően:

  • Kisebb cégek (fontos szervezet, 50–100 alkalmazott): €2 000–15 000 egyszeri + €500–2 000/év eszközökre és fenntartásra
  • Közepes cégek (100–250 alkalmazott): €10 000–50 000 bevezetés + €3 000–8 000/év
  • Nagy cégek (alapvető szervezet): €50 000–250 000+ bevezetés + €15 000–50 000/év

Az ISO 27001 audit (opcionális, de hasznos) további €8 000–25 000-be kerül az auditor cégtől függően.

Nem — a NIS2 törvény nem követel meg magyar szoftverszolgáltatót. Bármely EU-s vagy EU-n kívüli ország eszközét használhatja, feltéve, hogy az adatok kezelése GDPR-konform.

Érdemes azonban figyelni a következőkre: adattárolás helye (EU vagy EU-n kívül), magyar nyelvű műszaki támogatás, a szolgáltató magyarországi jogszabályi ismerete. A listán szereplő egyetlen kifejezetten kiberbiztonsági magyar platform a Sycope (hálózatmonitoring). Olvassa el az értékelést →

Kisebb cégeknek (fontos szervezet, 50–100 alkalmazott) azt javasoljuk, hogy így kezdjék:

  1. Reglyze (ingyenes terv) — végezze el az önbesorolást és a hiányelemzést. Generáljon biztonsági politikákat AI segítségével. Ideális kiindulópont, nulla költséggel.
  2. Microsoft Purview (ha van M365 E3+ előfizetése) — beépített NIS2-sablon egy olyan eszközben, amelyet már fizet. Egészítse ki a Reglyze-t a Purview monitoringjával.
  3. A hiányelemzés után: döntse el, hogy szükség van-e fizetős eszközre (pl. ISMS.online £375/hótól) a konkrét hiányosságok alapján.

Használja a NIS2 kalkulátort →, hogy először megtudja, milyen típusú szervezetnek minősül a cége.

EU-székhelyű és EU-ban adatokat kezelő eszközök:

  • Reglyze — EU-székhellyel ✓
  • ComplyCloud — Dánia ✓
  • Secfix — Németország ✓ (adatok az EU-ban)
  • Sycope — Lengyelország ✓
  • ISMS Copilot — Németország ✓

Az USA-székhelyű eszközök (Vanta, Drata, Sprinto) és az UK-székhelyű ISMS.online EU-n kívül is kezelhetnek adatokat — vásárlás előtt ellenőrizze a DPA-jukat (adatfeldolgozói megállapodás) és az SCC-ket. A Microsoft Purview Azure-régiókban kezeli az adatokat — konfigurálható az EU Data Boundary.

Ellenőrzések, auditok és bírságok

Alapvető szervezetek:

  • Legfeljebb 10 000 000 EUR vagy a globális éves forgalom 2%-a (a magasabb összeg)
  • Tiltás a jogsértésért felelős személyek vezető tisztségviselői feladatainak ellátásától

Fontos szervezetek:

  • Legfeljebb 7 000 000 EUR vagy a globális éves forgalom 1,4%-a (a magasabb összeg)

A felügyeleti hatóság (SZTFH) bírságot szabhat ki: regisztráció elmulasztása, ISMS hiánya, incidensek be nem jelentése, techn

Van további kérdése?

Nem találta meg a választ? Nézze meg részletes eszköz-értékeléseinket, vagy használja a KSC kalkulátort.

KSC kalkulátor indítása →

Nem biztos, hogy a vállalkozása a KSC hatálya alá tartozik? Az ingyenes kvíz 2 percet vesz igénybe.

Kvíz kitöltése →

Ingyenes NIS2 útmutató letöltése

Tudja meg pontosan, mit kell tennie 2026. október 1-ig. Lépésről lépésre útmutató magyar cégek számára.

Nincs spam. Bármikor leiratkozhat.