// KIBERBIZTONSÁGI KISOKOS · 13. MODUL

NIS2-megfelelőség — bizonyíték, audit, határidők

Q: Mi a különbség a felkészülés és az audit között?

A felkészülés a felkészültség növelése: gap-elemzés, intézkedések bevezetése, bizonyítékok összeállítása. Az audit ettől független, kötelező megfelelőség-ellenőrzés, amelyet kizárólag az SZTFH nyilvántartásába vett auditor végezhet, külön díjért. Egy felkészítő szolgáltató — így a Conen Digital is — nem auditál, és nem ad megfelelőségi garanciát; a megfelelőséget az auditor megállapítása és a hatóság felügyelete dönti el.

Q: Mennyi idő egy NIS2-felkészülés?

A szervezet méretétől, a meglévő kontrollok érettségétől és a feltárt hiányosságoktól függ — tipikusan hetektől több hónapig terjedhet. A jogszabály 2026. júniusi állapot szerint a nyilvántartásba vételt követő 120 napon belül írja elő az auditori szerződéskötést, és kétévente ismétlődő auditot, ezért érdemes idő előtt elkezdeni a felkészülést. Pontos időigény csak az érintettség és a gap-elemzés után becsülhető felelősen.

Q: Mi van, ha kicsúszunk a határidőből?

A 2026. júniusi jogállapot szerint a felügyeleti hatóság (SZTFH) szankciókat alkalmazhat, a figyelmeztetéstől a bírságig. A felügyeleti rezsim és a bírság-felsőhatár eltér az alapvető és a fontos szervezeteknél. Az időbeli megfelelés tényét kizárólag a hatóság és az auditor állapítja meg; a konkrét jogkövetkezményekről kérjetek jogi tanácsadást. Ettől függetlenül a határidő csúszása nem teszi feleslegessé a felkészülést — a bizonyítható intézkedések enyhítő körülményként is számítanak.

Q: Ki végezheti a NIS2-auditot Magyarországon?

A 2026. júniusi jogállapot szerint kizárólag az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) nyilvántartásába vett auditor. A 6/2026. (VI. 8.) SZTFH rendelet egységesítette az auditor-követelményeket: a rendszer biztonsági osztályától függetlenül bármely nyilvántartott auditorral lehet szerződni. A felkészítő szolgáltató és az auditor két különböző szereplő — a függetlenség miatt ugyanaz a fél jellemzően nem tölti be mindkét szerepet.

megfelelőség kb. 8 perc olvasás

A megfelelőség nem egy pecsét, hanem bizonyítható gyakorlat. Egy NIS2-audit nem azt nézi, mit mondasz a biztonságodról, hanem azt, amit igazolni tudsz: szabályzatokkal, naplókkal, dokumentált intézkedésekkel. Ez a modul végigveszi, kire vonatkozik a magyar Kiberbiztonsági törvény, milyen határidők és bírság-keret tartozik hozzá, és hogyan zajlik a felkészülés a független auditig — pontosan, félelemkeltés nélkül, a 2026. júniusi jogállapot szerint.

Kire vonatkozik? → Gyors önellenőrzés Vissza a Kisokoshoz

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFHSZTFH — Szabályozott Tevékenységek Felügyeleti Hatósága: a magyar NIS2-rezsim felügyeleti hatósága. Vezeti az érintett szervezetek és az auditorok nyilvántartását, felügyel, és bírságot szabhat ki.) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük, és megfelelőségi garanciát nem adunk. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

1 · Laikusan

Mi az a megfelelőség?

A megfelelőség (compliance) azt jelenti, hogy a szervezeted igazolhatóan teljesíti egy jogszabály vagy szabvány elvárásait. A NIS2 esetében nem egy egyszeri pecsétről van szó, amit megszerzel és lefűzöl — hanem egy folyamatosan fenntartott, bizonyítható gyakorlatról.

Gondolj a jogosítványra és a vezetésre A jogosítvány önmagában nem tesz biztonságos sofőrré — csak igazolja, hogy egy ponton megfeleltél a követelményeknek. Ami valójában számít, az a napi gyakorlat: hogy bekötöd-e az övet, tartod-e a sebességhatárt, karbantartod-e az autót. A NIS2-megfelelőség is ilyen. Nem az számít, mit mondasz a biztonságodról, hanem amit egy ellenőrzéskor bizonyítani tudsz: van-e leírt és betartatott szabályzatod, naplózol-e, frissíted-e a rendszereidet, vissza tudsz-e állni egy incidens után. A papír önmagában kevés; a mögötte álló, dokumentált gyakorlat a lényeg.

Üzletileg ezért fontos: egy audit, egy hatósági vizsgálat vagy egy incidens kivizsgálása során a bizonyíték dönt. Aki előre, rendszerszerűen építi a dokumentált gyakorlatát, az nemcsak a szankciókat kerüli el könnyebben, de gyorsabban is áll helyre, ha baj van.

2 · A gyakorlatban

Kire vonatkozik — és milyen határidőkkel?

Magyarországon a NIS2-irányelvet (2022/2555/EU) a 2024. évi LXIX. törvény (Magyarország kiberbiztonságáról) ülteti át, amely 2025. január 1-jétől hatályos. Részletszabályait a 418/2024. (XII. 23.) Korm. rendelet, valamint a 7/2024. (VI. 24.) és a 6/2026. (VI. 8.) SZTFH rendelet tartalmazza. A pontos érintettséget mindig a szektori besorolás dönti el — az alábbiak tájékoztató keretet adnak, nem helyettesítik az egyedi vizsgálatot.

Kire vonatkozik?

Jellemzően az érintett ágazatban működő, legalább középvállalkozói méretű szervezetekre (2026. júniusi állapot szerint általában legalább 50 fő és 10 millió eurónak megfelelő árbevétel/mérlegfőösszeg felett; a felső sáv 250 fő / 50 millió EUR). Az „és" 2026 óta vált ki a korábbi „vagy"-ot, és az egybeszámítási szabályt eltörölték. Egyetlen méret-szabály azonban nem dönti el az érintettséget — valószínűsíti; a végső szót a szektori besorolás mondja ki.

Alapvető vs. fontos

A törvény alapvető (essential)Alapvető szervezet (essential entity): a kritikusabb ágazatok jellemzően nagyobb szereplői. Szigorúbb, proaktív felügyeleti rezsim és magasabb bírság-felsőhatár tartozik hozzá. és fontos (important)Fontos szervezet (important entity): szintén a hatály alá tartozik, de jellemzően utólagos (reaktív) felügyeleti rezsimmel és alacsonyabb bírság-felsőhatárral. szervezetet különböztet meg. A besorolás szektor és méret együttese alapján történik, és eltérő felügyeleti rezsimet és bírság-felsőhatárt von maga után. Ez nem egyszerűsíthető le egyetlen létszám-küszöbre — ugyanaz a méret különböző szektorokban más kategóriát jelenthet.

Megfelelési határidők

2026. júniusi jogállapot szerinti jogszabályi határidők: nyilvántartásba vétel az érintettség beálltától számított 30 napon belül; auditori szerződés a nyilvántartásba vételt követő 120 napon belül; ismétlődő audit kétévente. A már működő szervezeteknek az első kötelező audit határideje eredetileg 2025. december 31. volt, amelyet a 2025. évi XXXII. törvény (2025-05-31 hatállyal) 2026. június 30-ra tolt ki; az auditori szerződéskötés határideje 2025. augusztus 31. volt.

2 · A gyakorlatban

Incidens-bejelentési határidők

Ha jelentős kiberbiztonsági incidens történik, a bejelentés nem maradhat el, és nem csúszhat. A 418/2024. (XII. 23.) Korm. rendelet 2026. júniusi állapot szerint több, lépcsős jogszabályi határidőt ír elő — ezek a tudatában kell lennie a kijelölt felelősnek, mert egy incidens közepén már nincs idő utánanézni.

24h

Korai előrejelzés — 24 órán belül

A jelentős incidens észlelésétől számított 24 órán belül egy korai, előzetes jelzést kell tenni a hatóság felé — még a teljes kép ismerete előtt. Célja a gyors riasztás, nem a részletes elemzés.

72h

Részletes bejelentés — 72 órán belül

72 órán belül érdemibb, részletesebb incidensbejelentés következik: a kezdeti értékelés, a súlyosság és a hatás, valamint a megtett és tervezett intézkedések bemutatása.

1 hó

Zárójelentés — 1 hónapon belül

A bejelentéstől számított egy hónapon belül zárójelentés készül: az incidens részletes leírása, a kiváltó ok, a hatások és a végrehajtott kárenyhítő intézkedések összegzése.

A határidők rövidsége miatt a gyakorlatban az számít, hogy előre legyen incidenskezelési forgatókönyvetek, kijelölt felelősötök és kapcsolati listátok — így a 24 óra nem azzal megy el, hogy kiderítitek, kit kell értesíteni.

2 · A gyakorlatban

Bírság és vezetői felelősség

A számokat tényként, nem riogatásként közöljük. A szankció nem automatikus — fokozatos eszköztár, amelyet a hatóság a jogsértés súlyához mérten alkalmaz. A 2026. júniusi jogállapot szerinti felső határok az alábbiak; a pontos forintösszeget és a számítási alapot kormányrendelet részletezi.

Alapvető szervezet

A bírság felső határa az éves (világszintű) árbevétel 2%-a, de legalább a 10 millió eurónak megfelelő összeg — a kettő közül a magasabb.

Fontos szervezet

A bírság felső határa az éves (világszintű) árbevétel 1,4%-a, de legalább a 7 millió eurónak megfelelő összeg — a kettő közül a magasabb.

Vezetői felelősség

A kiberbiztonsági kockázatkezelés a vezető tisztségviselő átruházhatatlan felelőssége. A szankciók közt szerepelhet figyelmeztetés, a cég költségére kirendelt helyszíni felügyelő, alapvető szervezetnél engedély/tanúsítás ideiglenes felfüggesztése, és a vezető legfeljebb 5 évre történő eltiltása vezetői feladatok ellátásától.

Fontos a helyes keret: ezek felső határok és lehetséges következmények, nem mindenkit sújtó automatizmusok. A felügyelet célja a megfelelés elősegítése; a dokumentált, jóhiszemű erőfeszítés a mérlegelésnél is számít. A felkészülés értelme épp az, hogy a kockázat ténylegesen csökkenjen — nem a félelem, hanem a bizonyítható gyakorlat a cél.

Mi felkészítünk, nem mi auditálunk. A fenti összegek és szankciók a 2026. júniusi hatályos jogszabályok szerinti keretet tükrözik, nem konkrét ügyre vonatkozó jogi tanácsot. A bírság kiszabásáról, mértékéről és a jogkövetkezményekről kizárólag a hatóság dönt; egyedi helyzetben kérjetek jogi tanácsadást. Megfelelőségi garanciát nem vállalunk.

2 · A gyakorlatban

Hogyan készülj fel?

A felkészülés a felkészültséget növeli — a megfelelőséget végső soron az auditor megállapítása és a hatóság felügyelete dönti el. Öt logikus lépés visz a kiindulóponttól a független auditig:

Az érintettség tisztázása

Szektori besorolás és méret alapján: a NIS2 hatálya alá estek-e, és ha igen, alapvető vagy fontos szervezetként? Ez határozza meg a teljes további pályát.

Gap-elemzésGap-elemzés: a jelenlegi állapot és az elvárt (jogszabályi, szabványi) állapot szisztematikus összevetése. Megmutatja, hol vannak hiányosságok (gap-ek), amelyeket pótolni kell.

A meglévő intézkedések összevetése a jogszabályi és végrehajtási követelményekkel: hol vannak hiányosságok a műszaki és a szervezeti kontrollokban.

Intézkedések bevezetése

A feltárt rések pótlása: hozzáférés-kezelés, titkosítás, mentés és helyreállítás, incidenskezelés, ellátásilánc-biztonság — és a felelős kijelölése, képzés.

Bizonyíték-dokumentáció

Az intézkedések igazolhatóvá tétele: szabályzatok, naplók, audit-trail, képzési és teszt-nyilvántartások. Audit közben ez a bizonyíték dönt, nem a szándék.

Független audit

Szerződés SZTFH-nyilvántartásba vett auditorral, és a független megfelelőségi audit elvégeztetése a jogszabályi határidőn belül. Ezt a lépést felkészítő nem helyettesíti.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak az IT- és megfelelőségi felelősnek szólnak — a laikus olvasó nyugodtan átugorhatja, a megfelelőség alaplogikájához nem szükséges.

Biztonsági osztályok ≠ szervezet-kategória

Két, gyakran összekevert fogalomról van szó. Az alapvető / fontos megkülönböztetés a szervezetre vonatkozik (szektor + méret alapján). Ezzel szemben a biztonsági osztály — alap, jelentős, magas — az egyes elektronikus információs rendszerek kockázatarányos besorolása: mennyire kritikus az adott rendszer, és ehhez milyen erősségű kontrollok tartoznak. Egy fontos szervezetnek is lehet magas biztonsági osztályba sorolt rendszere, és fordítva. A konkrét, osztályhoz rendelt kontroll-katalógust a végrehajtási rendelet tartalmazza. A két besorolást külön kell elvégezni és külön dokumentálni.

Bizonyíték-típusok és audit-trail

Az audit nem a szándékot, hanem a bizonyítékot értékeli. Tipikus bizonyíték-rétegek: szabályozási (jóváhagyott, dátumozott, megismertetett szabályzatok), operatív (rendszernaplók, hozzáférési és változáskezelési nyilvántartások, mentési és visszaállítási tesztek jegyzőkönyvei), valamint szervezeti (kockázatelemzés, képzési nyilvántartás, incidens-utóelemzések). A audit-trail az a megszakítatlan, időbélyegzett nyom, amelyből utólag rekonstruálható, ki, mit, mikor tett — ez köti össze az állítást a bizonyítékkal. Gyakorlati elv: ha valami „megvan, de nincs dokumentálva", az audit szempontjából úgy viselkedik, mintha nem lenne meg.

A 6/2026. (VI. 8.) SZTFH rendelet hatása az auditor-választásra

Auditot 2026. júniusi jogállapot szerint kizárólag az SZTFH nyilvántartásába vett auditor végezhet. A 6/2026. (VI. 8.) SZTFH rendelet egységesítette az auditor-követelményeket: a korábbi differenciálással szemben a rendszer biztonsági osztályától függetlenül bármely nyilvántartott auditorral lehet szerződni. Gyakorlati következmény: az auditor-választásnál a nyilvántartott státusz és a függetlenség a meghatározó, nem az osztályhoz kötött külön jogosultság. A függetlenség miatt a felkészítő és az auditáló fél jellemzően nem ugyanaz a szereplő — ezt a szerepek szétválasztásánál érdemes előre figyelembe venni.

2 · A gyakorlatban

Gyors önellenőrzés

Két egyszerű kérdés a kiinduláshoz. Ha bármelyikre nem tudtok magabiztos igent mondani, ott érdemes kezdeni.

Hol tartotok a megfelelőség útján?

✓ Tisztáztátok már — szektori besorolás és méret alapján —, hogy a NIS2 hatálya alá estek-e?
✓ Van kijelölt felelős és elkészült (vagy folyamatban lévő) gap-elemzés, amely megmutatja a hiányosságokat?

1 · Laikusan

Gyakori tévhit

Tévhit

„Ha megveszem a felkészülést, akkor átmegyek az auditon."

A felkészülés a felkészültségedet növeli — a réseket tárja fel, bevezeti az intézkedéseket és összeállítja a bizonyítékokat. De az eredmény az auditortól és a hatóságtól függ: ők állapítják meg a megfelelőséget, független szereplőként. Felelős felkészítő ezért nem ad „garantált megfelelőséget" — az ilyen ígéret önmagában figyelmeztető jel. Amit egy jó felkészülés ad, az a tiszta kép, a bevezetett kontrollok és a bizonyítható gyakorlat; ez érdemben növeli az esélyt, de nem helyettesíti a független audit ítéletét.

Gyakori kérdések

GYIK a megfelelőségről

Mi a különbség a felkészülés és az audit között?

A felkészülés a felkészültség növelése: gap-elemzés, intézkedések bevezetése, bizonyítékok összeállítása. Az audit ettől független, kötelező megfelelőség-ellenőrzés, amelyet kizárólag az SZTFH nyilvántartásába vett auditor végezhet, külön díjért. Egy felkészítő — így a Conen Digital is — nem auditál, és nem ad megfelelőségi garanciát; a megfelelőséget az auditor megállapítása és a hatóság felügyelete dönti el.

Mennyi idő egy NIS2-felkészülés?

Függ a méretetektől, a meglévő kontrollok érettségétől és a feltárt hiányosságoktól — tipikusan hetektől több hónapig. A jogszabály (2026. júniusi állapot) a nyilvántartásba vételt követő 120 napon belül írja elő az auditori szerződéskötést, és kétévente ismétlődő auditot, ezért érdemes idő előtt kezdeni. Felelős időbecslés csak az érintettség és a gap-elemzés után adható.

Mi van, ha kicsúszunk a határidőből?

A 2026. júniusi jogállapot szerint a felügyeleti hatóság szankciókat alkalmazhat, a figyelmeztetéstől a bírságig; a felügyeleti rezsim és a felső határ eltér alapvető és fontos szervezetnél. Az időbeli megfelelés tényét kizárólag a hatóság és az auditor állapítja meg, a konkrét jogkövetkezményekről kérjetek jogi tanácsadást. A csúszás ettől nem teszi feleslegessé a felkészülést — a bizonyítható, jóhiszemű intézkedés enyhítő körülményként is számít.

Ki végezheti a NIS2-auditot Magyarországon?

2026. júniusi jogállapot szerint kizárólag az SZTFH nyilvántartásába vett auditor. A 6/2026. (VI. 8.) SZTFH rendelet egységesítette az auditor-követelményeket: a rendszer biztonsági osztályától függetlenül bármely nyilvántartott auditorral lehet szerződni. A felkészítő és az auditor két különböző szereplő — a függetlenség miatt ugyanaz a fél jellemzően nem tölti be mindkét szerepet.

Folytasd a tanulást

← Előző modul Szabályzatok és kormányzás Következő modul → Kiberbiztonsági fogalomtár

Következő lépés

Megvan a keret — hol állsz valójában?

A megfelelőség technikai rétegét (titkosítás, biztonsági fejlécek, elérhetőség) egy ingyenes szivárgás-audit pár perc alatt megmutatja a saját domained alapján — konkrétan, regisztráció nélkül. A szervezeti és dokumentációs oldalt magadnak kell felépítened, de a kiindulóponthoz nem kell vakon tippelned. Az audit eredménye nem megfelelőségi nyilatkozat, csak tájékozódási pont.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz