Lejárt a NIS2 audit-határidő. Lecsúsztál? Ezt tedd most.
2026. június 30-án lejárt az első magyar NIS2 kiberbiztonsági audit-határidő — és a nyilvános adatok alapján a kötelezett cégek jelentős része nem ért a végére. Ha köztük vagy: nem vagy egyedül, és nem is reménytelen a helyzet — de a tétlenség mostantól nem halogatás, hanem bírságkockázat. Ez az oldal pánik és ijesztgetés nélkül mutatja meg, mi történt, mi vár rád, és mit tudsz még ma megtenni.
Mi járt le pontosan június 30-án?
A NIS2-t átültető magyar szabályozás (a 2024. évi LXIX. törvény és végrehajtási rendeletei) a hatálya alá tartozó cégeknek kötelező, független kiberbiztonsági auditot ír elő. Az első audit eredeti határideje 2025 vége lett volna; ezt a jogalkotó — az MKIK és az SZTFH kezdeményezésére — fél évvel, 2026. június 30-ig meghosszabbította. Ez a meghosszabbított határidő járt le most. Az auditor-szerződés megkötésének határideje már korábban, 2025. augusztus 31-én lejárt.
Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi és piaci adatok a tájékoztatás időpontjában (2026. július) nyilvánosan elérhető forrásokat tükröznek; az érintettség és a pontos következmény mindig egyedi.
A számok: rendszerszintű késés — de nem amnesztia
A határidő lejárta előtti hetekben a szaksajtó három beszédes számot hozott nyilvánosságra. Ezek együtt rajzolják ki a valós helyzetet: a késés tömeges és részben rendszerszintű — de a hatósági számonkérés nem marad el, csak fokozatosan érkezik.
~4 000 érintett cég
Ennyire becsülik a NIS2 hatálya alá tartozó magyar szervezetek számát — ugyanakkor a hatósági nyilvántartásba a határidő közeledtével is csak kevesebb mint 3 000 regisztrált. Vagyis ezernél is több cég valószínűleg még a kötelezettségéről sem gondoskodott — a hatóság pedig a beszámolók szerint folyamatosan azonosítja őket.
10 auditorcég
Mindössze ennyi SZTFH-nyilvántartásba vett auditor jutott a teljes piacra a szaksajtó júniusi beszámolója szerint. Egy auditorra így több száz audit jutna — fizikai képtelenség, hogy mindenki határidőre sorra kerüljön. A csúszás tehát részben rendszerszintű, és a piaci szereplők nyilvánosan is hónapokkal későbbre várják a lemaradók auditjait.
Fokozatos szigor
A felügyelet 2025 őszétől ellenőrzi az auditor-szerződéseket és a felkészülés bizonyítékait. Nincs jele általános türelmi időnek vagy amnesztiának — a számonkérés fokozatos, de jön. Aki dokumentálhatóan halad, összehasonlíthatatlanul jobb pozícióban van, mint aki lapít.
A tanulság kettős. Egyrészt: ha lecsúsztál, tényleg nem vagy egyedül, és az auditor-szűkösség miatt a hatóság is tisztában van a rendszerszintű csúszással. Másrészt: pontosan emiatt az különbözteti meg a cégeket egymástól, hogy ki tud felmutatni dokumentált haladást — regisztrációt, auditor-szerződést, kész szabályzatokat, megtett intézkedéseket. A várakozási idő nem holtidő: arra való, hogy mire sorra kerülsz, auditra készen állj.
Mi vár rám? — a bírságok nagyságrendje
A pontos összeg mindig egyedi hatósági mérlegelés, de a nyilvánosan elérhető szakmai összefoglalók alapján a nagyságrendek jól láthatók. A lényeg nem a rémisztgetés — hanem az arányok: a felkészülés költsége a bírságkockázat és az incidens-kár töredéke.
Auditor-szerződés hiánya
1–15 millió Ft közötti bírsággal sújtható. Ez a leggyorsabban zárható mulasztás: a szerződéskötés adminisztratív lépés, nem hónapokig tartó projekt.
Elmulasztott audit
1 millió Ft-tól az éves nettó árbevétel 2%-áig, legfeljebb 150 millió Ft-ig terjedhet. Ismételt jogsértés esetén a bírság kiszabása már nem mérlegelés kérdése, hanem kötelező.
Incidensbejelentés mulasztása
0,5–5 millió Ft — és ez incidensenként értendő. A bejelentési kötelezettség (24/72 órás határidőkkel) a határidőtől függetlenül, folyamatosan él.
Érdemes tudni azt is: maga a kötelező audit díja hatóságilag maximált — SZTFH-rendelet rögzíti a képletét (alapdíj × árbevétel- és biztonsági osztály szerinti szorzók), a legkisebb cégeknél is jellemzően másfél millió forint körüli minimumösszeggel. Vagyis az audit önmagában is komoly tétel — felkészületlenül odaállni, hiányosságokkal elbukni és újra fizetni a legdrágább forgatókönyv. A szűkös auditor-kapacitás miatt minden elpazarolt kör hónapokat csúsztat.
Ezt tedd most — öt lépés a behozáshoz
A cél nem a pánik, hanem a dokumentálható haladás: minden lépés, amit megteszel és leírsz, a hatóság és az auditor felé is azt igazolja, hogy a cég komolyan veszi a megfelelést. A sorrend fontos — a leggyorsabban zárható résekkel kezdj.
Tisztázd a pontos státuszod
Regisztrált-e a céged az SZTFH nyilvántartásában? Van-e élő auditor-szerződésed? Pontosan mely kötelezettség maradt el — és biztos-e egyáltalán az érintettséged? Az érintettségről itt olvashatsz. Minden további lépés ettől a három kérdéstől függ.
Kösd meg (vagy frissítsd) az auditor-szerződést
A szerződés hiánya önálló bírságtétel, a megkötése viszont adminisztratív lépés. A kevés auditor miatt az időpontra várni kell — de a sor a szerződéssel kezdődik. Minél előbb lépsz, annál előbb kerülsz sorra.
Pótold a dokumentációt — ez napok, nem hónapok
Az audit alapfeltétele az írott szabályzat- és nyilvántartás-készlet: kockázatkezelés, incidenskezelés, hozzáférés-kezelés, mentés és üzletmenet-folytonosság, beszállítói biztonság — és a hozzájuk tartozó nyilvántartások. A NIS2 Szabályzat-csomagunk ezt a teljes készletet a cégedre szabva, auditra kész formában adja át — egy nap alatt, nem három hónap alatt.
Zárd a legnagyobb technikai réseket
A papír önmagában nem védelem. A kitett bejelentkező felületek, hiányzó biztonsági fejlécek és gyenge konfigurációk kívülről, percek alatt mérhetők — az ingyenes NIS2 gyorstesztünk a saját domained alapján mutatja meg, hol állsz, a javítócsomag pedig priorizált, bizonyítékolt javításokat ad.
Állj át folyamatos megfelelésre
Az audit ciklikus — nem egyszeri vizsga. Aki csak határidő előtt kapkod, két év múlva ugyanitt lesz. A folyamatos, havi újraméréssel és karbantartott dokumentációval működő megfelelés nemcsak olcsóbb, hanem a következő auditkör biztosítása is: sosem kell többé nulláról indulni.
Gyakori tévhit
„Lejárt a határidő, ennyi volt — most már úgyis mindegy, majd ha jön a levél, foglalkozom vele."
Pont fordítva. A mulasztás nyitott kockázat, ami nem évül el attól, hogy nem foglalkozol vele — az ismételt vagy tartós jogsértés viszont súlyosabb (ismétlésnél kötelező) bírságot von maga után. A hatóság fokozatosan azonosítja a lemaradókat, és a beszámolók szerint azt nézi: elindult-e a cég. A dokumentálható behozás — regisztráció, auditor-szerződés, kész szabályzatok, mért és javított technikai állapot — a legjobb védekezés. A lapítás a legrosszabb stratégia; a második legrosszabb a kapkodva, felkészületlenül elbukott audit.
GYIK a lejárt határidőről
A leggyorsabban zárható rés: a dokumentáció
A behozás leglassabb eleme az auditor-időpont — arra várnod kell. A leggyorsabb elem a dokumentáció: a NIS2 Szabályzat- és Bizonyíték-csomag a teljes auditra kész készletet (18 szabályzat + 13 nyilvántartás, a cégedre szabva) egy nap alatt adja át, fix áron. A technikai állapotod pedig az ingyenes NIS2 gyorsteszttel percek alatt kiderül — regisztráció után a saját domainedet méred.