// NIS2 · AKTUÁLIS HELYZETKÉP · 2026. JÚLIUS

Lejárt a NIS2 audit-határidő. Lecsúsztál? Ezt tedd most.

Üzleti + Jog kb. 7 perc olvasás

2026. június 30-án lejárt az első magyar NIS2 kiberbiztonsági audit-határidő — és a nyilvános adatok alapján a kötelezett cégek jelentős része nem ért a végére. Ha köztük vagy: nem vagy egyedül, és nem is reménytelen a helyzet — de a tétlenség mostantól nem halogatás, hanem bírságkockázat. Ez az oldal pánik és ijesztgetés nélkül mutatja meg, mi történt, mi vár rád, és mit tudsz még ma megtenni.

1 · Laikusan

Mi járt le pontosan június 30-án?

A NIS2-t átültető magyar szabályozás (a 2024. évi LXIX. törvény és végrehajtási rendeletei) a hatálya alá tartozó cégeknek kötelező, független kiberbiztonsági auditot ír elő. Az első audit eredeti határideje 2025 vége lett volna; ezt a jogalkotó — az MKIK és az SZTFH kezdeményezésére — fél évvel, 2026. június 30-ig meghosszabbította. Ez a meghosszabbított határidő járt le most. Az auditor-szerződés megkötésének határideje már korábban, 2025. augusztus 31-én lejárt.

Mit jelent ez a gyakorlatban? Ha a céged a NIS2 hatálya alá tartozik, és június 30-ig nem történt meg az első, SZTFH-nyilvántartásba vett auditor által végzett audit, akkor a céged jogszabályi kötelezettséget mulasztott. Ez nem azonnali büntetést jelent — de a mulasztás mostantól nem „majd lesz valahogy" kategória, hanem nyitott hatósági kockázat, amit dokumentálható lépésekkel lehet és érdemes zárni.
2 · A gyakorlatban

A számok: rendszerszintű késés — de nem amnesztia

A határidő lejárta előtti hetekben a szaksajtó három beszédes számot hozott nyilvánosságra. Ezek együtt rajzolják ki a valós helyzetet: a késés tömeges és részben rendszerszintű — de a hatósági számonkérés nem marad el, csak fokozatosan érkezik.

~4 000 érintett cég

Ennyire becsülik a NIS2 hatálya alá tartozó magyar szervezetek számát — ugyanakkor a hatósági nyilvántartásba a határidő közeledtével is csak kevesebb mint 3 000 regisztrált. Vagyis ezernél is több cég valószínűleg még a kötelezettségéről sem gondoskodott — a hatóság pedig a beszámolók szerint folyamatosan azonosítja őket.

10 auditorcég

Mindössze ennyi SZTFH-nyilvántartásba vett auditor jutott a teljes piacra a szaksajtó júniusi beszámolója szerint. Egy auditorra így több száz audit jutna — fizikai képtelenség, hogy mindenki határidőre sorra kerüljön. A csúszás tehát részben rendszerszintű, és a piaci szereplők nyilvánosan is hónapokkal későbbre várják a lemaradók auditjait.

Fokozatos szigor

A felügyelet 2025 őszétől ellenőrzi az auditor-szerződéseket és a felkészülés bizonyítékait. Nincs jele általános türelmi időnek vagy amnesztiának — a számonkérés fokozatos, de jön. Aki dokumentálhatóan halad, összehasonlíthatatlanul jobb pozícióban van, mint aki lapít.

A tanulság kettős. Egyrészt: ha lecsúsztál, tényleg nem vagy egyedül, és az auditor-szűkösség miatt a hatóság is tisztában van a rendszerszintű csúszással. Másrészt: pontosan emiatt az különbözteti meg a cégeket egymástól, hogy ki tud felmutatni dokumentált haladást — regisztrációt, auditor-szerződést, kész szabályzatokat, megtett intézkedéseket. A várakozási idő nem holtidő: arra való, hogy mire sorra kerülsz, auditra készen állj.

2 · A gyakorlatban

Mi vár rám? — a bírságok nagyságrendje

A pontos összeg mindig egyedi hatósági mérlegelés, de a nyilvánosan elérhető szakmai összefoglalók alapján a nagyságrendek jól láthatók. A lényeg nem a rémisztgetés — hanem az arányok: a felkészülés költsége a bírságkockázat és az incidens-kár töredéke.

Auditor-szerződés hiánya

1–15 millió Ft közötti bírsággal sújtható. Ez a leggyorsabban zárható mulasztás: a szerződéskötés adminisztratív lépés, nem hónapokig tartó projekt.

Elmulasztott audit

1 millió Ft-tól az éves nettó árbevétel 2%-áig, legfeljebb 150 millió Ft-ig terjedhet. Ismételt jogsértés esetén a bírság kiszabása már nem mérlegelés kérdése, hanem kötelező.

Incidensbejelentés mulasztása

0,5–5 millió Ft — és ez incidensenként értendő. A bejelentési kötelezettség (24/72 órás határidőkkel) a határidőtől függetlenül, folyamatosan él.

Érdemes tudni azt is: maga a kötelező audit díja hatóságilag maximált — SZTFH-rendelet rögzíti a képletét (alapdíj × árbevétel- és biztonsági osztály szerinti szorzók), a legkisebb cégeknél is jellemzően másfél millió forint körüli minimumösszeggel. Vagyis az audit önmagában is komoly tétel — felkészületlenül odaállni, hiányosságokkal elbukni és újra fizetni a legdrágább forgatókönyv. A szűkös auditor-kapacitás miatt minden elpazarolt kör hónapokat csúsztat.

2 · A gyakorlatban

Ezt tedd most — öt lépés a behozáshoz

A cél nem a pánik, hanem a dokumentálható haladás: minden lépés, amit megteszel és leírsz, a hatóság és az auditor felé is azt igazolja, hogy a cég komolyan veszi a megfelelést. A sorrend fontos — a leggyorsabban zárható résekkel kezdj.

01

Tisztázd a pontos státuszod

Regisztrált-e a céged az SZTFH nyilvántartásában? Van-e élő auditor-szerződésed? Pontosan mely kötelezettség maradt el — és biztos-e egyáltalán az érintettséged? Az érintettségről itt olvashatsz. Minden további lépés ettől a három kérdéstől függ.

02

Kösd meg (vagy frissítsd) az auditor-szerződést

A szerződés hiánya önálló bírságtétel, a megkötése viszont adminisztratív lépés. A kevés auditor miatt az időpontra várni kell — de a sor a szerződéssel kezdődik. Minél előbb lépsz, annál előbb kerülsz sorra.

03

Pótold a dokumentációt — ez napok, nem hónapok

Az audit alapfeltétele az írott szabályzat- és nyilvántartás-készlet: kockázatkezelés, incidenskezelés, hozzáférés-kezelés, mentés és üzletmenet-folytonosság, beszállítói biztonság — és a hozzájuk tartozó nyilvántartások. A NIS2 Szabályzat-csomagunk ezt a teljes készletet a cégedre szabva, auditra kész formában adja át — egy nap alatt, nem három hónap alatt.

04

Zárd a legnagyobb technikai réseket

A papír önmagában nem védelem. A kitett bejelentkező felületek, hiányzó biztonsági fejlécek és gyenge konfigurációk kívülről, percek alatt mérhetők — az ingyenes NIS2 gyorstesztünk a saját domained alapján mutatja meg, hol állsz, a javítócsomag pedig priorizált, bizonyítékolt javításokat ad.

05

Állj át folyamatos megfelelésre

Az audit ciklikus — nem egyszeri vizsga. Aki csak határidő előtt kapkod, két év múlva ugyanitt lesz. A folyamatos, havi újraméréssel és karbantartott dokumentációval működő megfelelés nemcsak olcsóbb, hanem a következő auditkör biztosítása is: sosem kell többé nulláról indulni.

1 · Laikusan

Gyakori tévhit

Tévhit

„Lejárt a határidő, ennyi volt — most már úgyis mindegy, majd ha jön a levél, foglalkozom vele."

Pont fordítva. A mulasztás nyitott kockázat, ami nem évül el attól, hogy nem foglalkozol vele — az ismételt vagy tartós jogsértés viszont súlyosabb (ismétlésnél kötelező) bírságot von maga után. A hatóság fokozatosan azonosítja a lemaradókat, és a beszámolók szerint azt nézi: elindult-e a cég. A dokumentálható behozás — regisztráció, auditor-szerződés, kész szabályzatok, mért és javított technikai állapot — a legjobb védekezés. A lapítás a legrosszabb stratégia; a második legrosszabb a kapkodva, felkészületlenül elbukott audit.

GYIK a lejárt határidőről

Nem, sőt: most számít igazán. Az ismételt vagy tartós mulasztás súlyosabb megítélés alá esik, mint az, ha a cég igazolhatóan elindult és pótolja a lemaradást. A hatóság fokozatosan azonosítja a nem regisztrált érintetteket — a jó stratégia nem a lapítás, hanem a dokumentálható behozás: regisztráció, auditor-szerződés, szabályzatok, intézkedések.
A nyilvános szakmai összefoglalók szerint: auditor-szerződés hiánya 1–15 M Ft; elmulasztott audit 1 M Ft-tól az árbevétel 2%-áig, max. 150 M Ft; incidensbejelentési mulasztás 0,5–5 M Ft. Ismételt jogsértésnél a bírság kötelező. A pontos összeg egyedi mérlegelés — a nagyságrend viszont világos: a felkészülés költsége a kockázat töredéke.
A díj hatóságilag maximált: SZTFH-rendelet rögzíti a képletét (alapdíj × árbevétel- és biztonsági osztály szerinti szorzók). A legkisebb érintett cégeknél is jellemzően ~1,5 millió Ft körüli minimumról beszélünk. Felkészületlenül elbukni és újra fizetni a legdrágább út — az előzetes felkészülés ennek töredéke.
Mert kevés az auditor: a szaksajtó júniusban mindössze tíz nyilvántartásba vett auditorcégről írt, ~4 000 érintett szervezet mellett. A csúszás rendszerszintű — de nem mentesít. A várakozási időt arra használd, hogy mire sorra kerülsz, auditra készen állj: kész dokumentációval és zárt technikai résekkel.
Hármat: (1) tisztázd a státuszod (regisztráció, auditor-szerződés, hiányzó kötelezettségek); (2) pótold a dokumentációt — az auditra kész szabályzat-készlet napok alatt előállítható, ez a leggyorsabban zárható rés; (3) mérd fel a technikai kitettséged egy külső gyorsméréssel. Mindhárom dokumentálhatóan igazolja, hogy a cég elindult — és pontosan ez számít.

A leggyorsabban zárható rés: a dokumentáció

A behozás leglassabb eleme az auditor-időpont — arra várnod kell. A leggyorsabb elem a dokumentáció: a NIS2 Szabályzat- és Bizonyíték-csomag a teljes auditra kész készletet (18 szabályzat + 13 nyilvántartás, a cégedre szabva) egy nap alatt adja át, fix áron. A technikai állapotod pedig az ingyenes NIS2 gyorsteszttel percek alatt kiderül — regisztráció után a saját domainedet méred.

Dokumentáció pótlása egy nap alatt →