// KIBERBIZTONSÁGI KISOKOS · 09. MODUL

Incidenskezelés és bejelentés — az óra elindul, amikor baj van

Q: Kihez kell bejelenteni az incidenst?

A bejelentés a hatáskörrel rendelkező hatósághoz, illetve az erre kijelölt eseménykezelő központhoz történik, a NIS2-t átültető magyar szabályozás szerint. A pontos címzettet és a bejelentési csatornát a hatályos jogszabály és a felügyeleti hatóság útmutatója határozza meg, és a szervezet besorolásától is függhet — ezért itt szándékosan nem nevezünk meg egyetlen konkrét szervezetet sem általános érvénnyel. A felkészülés része, hogy ezt előre, név szerint tisztázzátok, hogy krízisben ne kelljen keresgélni.

C · I · A kb. 8 perc olvasás

Ez a NIS2 legkonkrétabb, határidős kötelezettsége: korai jelzés 24 órán belül, érdemi bejelentés 72 órán belül, zárójelentés 1 hónapon belül. Egy incidens közben nem akkor találod ki, mit tegyél — az a felkészülés feladata. Ez a modul megmutatja az incidens-életciklust, az eszkalációs láncot és a bejelentés logikáját úgy, hogy egy IT-csapat nélküli kis cég is kövesse.

Mit tegyél elsőként? → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Mi az incidenskezelés?

Az incidenskezelés az a előre megírt forgatókönyv, ami megmondja, mit kell tenni, ha baj van: ki vesz észre mit, kit kell értesíteni, hogyan állítjuk meg a terjedést, és hogyan állunk talpra. A lényeg, hogy a krízis pillanatában már ne kelljen kitalálni — a fejek ilyenkor forrók, az idő ketyeg, és a rögtönzés tipikusan rosszabbá teszi a helyzetet.

Képzeld el egy tűzriadó-tervvel Egy jól működő irodában a falon ott a tűzriadó-terv: hol a vészkijárat, ki a felelős, hová kell gyülekezni, kit kell hívni. Amikor megszólal a riasztó, senki nem akkor kezdi el kitalálni, merre fusson — mert akkor pánik és torlódás lenne. Pontosan ezért gyakorolnak tűzriadót: hogy éles helyzetben a test magától tudja a dolgát. A kiberincidens ugyanilyen: a zsarolóvírus vagy az adatszivárgás a „tűz". Ha előre megírtad, ki mit csinál és kit hív, akkor percek alatt cselekszel. Ha nincs terv, órákat vesztesz a kapkodással — és pont az idő az, amiből a NIS2 a legkevesebbet ad.

A digitális világban a „tűz" sokféle lehet: zsarolóvírus titkosítja a fájljaidat, valaki belép egy ellopott jelszóval, kiszivárog egy ügyféllista, vagy egyszerűen leáll egy kulcsrendszer. Az incidenskezelés nem azt ígéri, hogy ilyen sosem történik — hanem azt, hogy amikor mégis, akkor gyorsan, fegyelmezetten és dokumentáltan reagálsz. És van egy plusz csavar, ami a tűzriadóban nincs: a kiberincidenst sok esetben be is kell jelenteni a hatóságnak, méghozzá szoros határidőkkel. Ezért az incidenskezelés a NIS2 egyik leglátványosabban számonkérhető eleme.

2 · A gyakorlatban

Miért NIS2-szempont?

A legtöbb NIS2-elvárás „arányos", „megfelelő" — itt viszont a szabályozás konkrét órákat mond. A bejelentés lépcsős és határidős: korai jelzés 24 órán belül, érdemi bejelentés 72 órán belül, zárójelentés 1 hónapon belül. Ez teszi az incidenskezelést a megfelelés legkézzelfoghatóbb próbájává: vagy megvan a folyamat és a felelős, vagy a határidő tétlenül lefut.

Mi ez?

Az incidens teljes életciklusának kezelése: észlelés → elszigetelés → felszámolás → helyreállítás → tanulság (post-mortem). Hozzá tartozik egy eszkalációs lánc (ki kit értesít, ki dönt), egy incidens-napló és a hatósági bejelentés folyamata. A kimenete egy begyakorolt, leírt playbook — nem egy fejben tartott terv.

Miért NIS2-kötelező elem?

A NIS2 kifejezetten előírja a jelentős incidensek határidős bejelentését: korai jelzés 24 órán belül, érdemi bejelentés 72 órán belül, zárójelentés 1 hónapon belül. A bejelentés a hatáskörrel rendelkező hatóság, illetve eseménykezelő központ felé történik. A pontos küszöb és címzett a szervezet besorolásától függ — az értelmezés mindig egyedi.

Hogyan segít?

Egy begyakorolt incidenskezelés csökkenti a kárt: a gyors elszigetelés megfékezi a terjedést, a tiszta felelősségi rend pedig megspórolja a kapkodást. Ráadásul a határidős bejelentést csak akkor tudod tartani, ha előre tudod, ki dönt és kihez fordulsz — különben az óra ellened dolgozik.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Mit tegyél egy incidens első óráiban?

Nem kell hozzá biztonsági központ; egy egyoldalas playbookkal és tiszta felelősségi renddel el lehet kezdeni. A lényeg, hogy a reakciód ne improvizáció, hanem egy előre leírt, ismételhető sor legyen — mert az óra a felismeréstől ketyeg.

Észlelés és riasztás

Ismerd fel és jelezd a gyanús eseményt: ki vette észre, mikor, mi a tünet (titkosított fájlok, furcsa belépés, leállt rendszer). Indítsd el az előre megírt riasztási láncot — ne egyedül próbáld megoldani, és ne kezdj el csendben „kitakarítani". A korai detektálás a naplózás és detektálás modul témája — minél hamarabb veszed észre, annál kisebb a kár.

Elszigetelés (containment)

Akadályozd meg a terjedést: válaszd le az érintett gépet a hálózatról, függeszd fel a kompromittált fiókokat, tiltsd a gyanús hozzáféréseket. Fontos egyensúly: állítsd meg a bajt, de ne semmisítsd meg elhamarkodottan a bizonyítékokat (naplók, lemezképek) — később ezekből derül ki, mi történt.

Helyzetértékelés és eszkaláció

Mérd fel az érintett kört és a hatást, majd eszkaláld a döntéshozónak. Az eszkalációs lánc előre rögzíti, ki kit értesít és ki dönt: a bejelentésről és a külső segítség bevonásáról a vezetés dönt — ez a felelősség nem ruházható le a beosztottra. Itt dől el, hogy bejelentésköteles-e az eset.

Dokumentálás és időbélyeg

Az első perctől vezess incidens-naplótIncidens-napló: időrendi feljegyzés az eseményről — mikor mit észleltek, ki mit tett, milyen döntés született. Erre épül a hatósági bejelentés és a post-mortem.: mit, mikor, ki tett, milyen döntés született. Ez nem bürokrácia: erre épül a hatósági bejelentés és a tanulság — és a Szabályzat-csomag incidens-naplója (NYV-02) pont ezt a sablont adja kézbe.

Bejelentési határidők figyelése

Ha az eset eléri a bejelentési küszöböt, indul a NIS2 óra: korai jelzés 24 órán belül, érdemi bejelentés 72 órán belül, zárójelentés 1 hónapon belül a hatáskörrel rendelkező hatóság, illetve eseménykezelő központ felé. Az órát az indítja, amikor tudomást szereztél a jelentős incidensről — ezért számít minden perc a 01–04 lépésben.

Helyreállítás és post-mortem

Állítsd vissza az üzemet ellenőrzött módon (tiszta, ismert jó állapotból — itt kapcsolódik a mentés és üzletmenet-folytonosság), majd tarts utólagos elemzést: mi okozta, mi vált be, mit változtatsz. A jó post-mortem nem bűnbakot keres, hanem a következő incidenst előzi meg.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak az incidenskezelésért felelős kollégának szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

Esemény, riasztás, incidens — nem ugyanaz

Egy esemény (event) bármilyen megfigyelhető történés (egy belépés, egy hibaüzenet); a riasztás (alert) egy gyanúsnak ítélt esemény; az incidens pedig a ténylegesen kárt okozó vagy biztonsági szabályt sértő eset. A legtöbb riasztás nem incidens (téves pozitív), és nem minden incidens bejelentésköteles. A küszöb — mikor lesz egy incidens „jelentős" és így bejelentendő — a NIS2-t átültető magyar szabályozásból következik, és üzemkiesés, érintettek száma, adatvesztés vagy anyagi kár mentén mérlegelendő. Pont ezért fontos a fegyelmezett naplózás: utólag is el kell tudni dönteni, átlépte-e a határt.

Eszkalációs lánc és a szerepek (RACI)

Az eszkalációs lánc előre rögzíti, ki kit értesít és milyen időablakban: első észlelő → belső felelős → vezetés → (szükség esetén) külső szakértő és hatóság. Érdemes a szerepeket tisztázni: ki a döntéshozó (bejelentés, leállítás), ki a végrehajtó (technikai beavatkozás), ki a kommunikációs felelős (ügyfelek, hatóság). A bejelentési és a kockázatvállalási döntés a vezetés átruházhatatlan felelőssége — ezt nem szabad a beosztottra hárítani. Egy kis cégnél ez lehet két-három név egy lapon, telefonszámmal — de legyen leírva és begyakorolva.

Jogi háttér és a magyar határidők — óvatosan

A bejelentési kötelezettség kerete a NIS2 irányelv 23. cikke (significant incident reporting), amely a háromlépcsős — korai jelzés / incidensbejelentés / zárójelentés — logikát rögzíti. A magyar átültetésben a részletszabályokat és a határidőket a 418/2024. (XII. 23.) Korm. rendelet tölti ki tartalommal; a konkrét szakaszhivatkozást a hatályos jogszabály alapján kell ellenőrizni. A 24 / 72 órás és 1 hónapos határidők ezt a keretet követik, de a pontos küszöbértékeket, a bejelentési csatornát és a címzett szervezetet mindig a hatályos szöveg és a felügyeleti hatóság útmutatója szerint kell értelmezni. Itt szándékosan nem nevezünk meg egyetlen szervezetet vagy konkrét számot, amelyben nem vagyunk teljesen biztosak — a felkészülés része, hogy ezeket a sajátos besorolásotokra nézve, hivatalos forrásból pontosítsátok.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Van-e playbook?

Ha most azonnal zsarolóvírus jönne, tudná-e mindenki, mit tegyen az első 30 percben — kit hív, mit kapcsol le, ki dönt? Ha csak „majd valahogy megoldjuk", akkor nincs incidenskezelés, csak remény.

2 · Tudjátok a határidőt?

Tisztában vagytok vele, hogy egy jelentős incidenst 24 / 72 órán belül és 1 hónapon belül lépcsőzetesen be kell jelenteni, és tudjátok-e, kihez? Ha a címzettet krízisben kéne kikeresni, az óra már ellenetek dolgozik.

3 · Vezettek-e naplót?

Egy incidens alatt rögzítenétek-e időrendben, mi mikor történt és ki mit tett? E nélkül a 72 órás bejelentés és a post-mortem is csak emlékezetből, hiányosan készülne — és pont a részletek számítanak.

1 · Laikusan

Gyakori tévhit

Tévhit

„Ha incidens lesz, majd csendben megoldjuk — minek bejelenteni?"

Az eltussolás a legrosszabb stratégia. A jelentős incidens bejelentése a NIS2 szerint kötelezettség, határidőkkel — a be nem jelentés vagy a késedelem önmagában jogsértés, és a kiderülés sokkal nagyobb kárt okoz, mint a nyílt jelzés. Ráadásul a csendes „kitakarítás" gyakran megsemmisíti a bizonyítékokat és felszínen hagyja a támadót, aki visszatér. A helyes hozzáállás épp fordított: gyorsan elszigetelni, fegyelmezetten dokumentálni, és időben, a hatáskörrel rendelkező hatóság felé jelezni. A NIS2 nem a hibátlanságot várja el, hanem a felelős, átlátható reakciót.

Gyakori kérdések

GYIK az incidenskezelésről

Mi számít bejelentendő incidensnek?

Általában az a biztonsági incidens bejelentésköteles, amely jelentős fennakadást okoz a szolgáltatásban, vagy súlyos hatással van rá — például nagyobb üzemszünet, sok érintett, jelentős adatvesztés vagy komoly anyagi kár. Nem minden gyanús esemény incidens, és nem minden incidens bejelentésköteles: a kategóriahatárokat a NIS2-t átültető magyar szabályozás rögzíti, és a megítélés mindig egyedi. A gyakorlatban érdemes minden eseményt naplózni, hogy utólag eldönthető legyen, elérte-e a bejelentési küszöböt.

Mit jelent a 24 / 72 óra és az 1 hónap?

A NIS2 lépcsős, határidős bejelentést ír elő. Először egy gyors korai jelzés megy a hatáskörrel rendelkező hatóság vagy eseménykezelő központ felé 24 órán belül — ez még csak annyit mond, hogy gyaníthatóan jelentős incidens történt. Ezt követi 72 órán belül egy érdemi incidensbejelentés a már ismert részletekkel és egy első értékeléssel. Végül 1 hónapon belül egy zárójelentés következik az ok, a teljes hatás és a megtett intézkedések leírásával. Az órát az indítja, amikor tudomást szereztél a jelentős incidensről.

Kihez kell bejelenteni az incidenst?

A bejelentés a hatáskörrel rendelkező hatósághoz, illetve az erre kijelölt eseménykezelő központhoz történik, a NIS2-t átültető magyar szabályozás szerint. A pontos címzettet és a bejelentési csatornát a hatályos jogszabály és a felügyeleti hatóság útmutatója határozza meg, és a szervezet besorolásától is függhet — ezért itt szándékosan nem nevezünk meg egyetlen konkrét szervezetet sem általános érvénnyel. A felkészülés része, hogy ezt előre, név szerint tisztázzátok, hogy krízisben ne kelljen keresgélni.

Mi van, ha nincs saját informatikusunk?

A bejelentési kötelezettség akkor is fennáll, ha nincs házon belüli IT-csapatotok. Ilyenkor a kulcs, hogy előre tisztázzátok a szerepeket: ki a belső felelős, melyik külső partnert (rendszergazda, biztonsági szolgáltató) hívjátok, és ki hozza meg a bejelentési döntést. Egy egyszerű, egyoldalas incidens-playbook a telefonszámokkal és a határidőkkel többet ér krízisben, mint bármilyen drága eszköz — pont azért, hogy a 24/72 órás óra ne fusson le tétlenül.

TOVÁBB

Folytasd a felkészülést

Következő és kapcsolódó témák

← Előző modul Detektálás — naplózás, SIEM Következő modul → Mentés és üzletmenet-folytonosság

Következő lépés

Megvan az elv - de megvan a playbook is?

Az incidens-playbook és az eszkalációs lánc megírása szervezeti munka, amit magadnak kell elvégezned — de a kiindulóponthoz jó tudni, hol vannak a technikai gyenge pontjaid. Egy ingyenes szivárgás-audit pár perc alatt megmutatja a saját domained kitett felületeit és hiányzó védelmeit; a részletes forgatókönyvet pedig az Incidens-playbook PRO kiegészítő adja kézbe.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz