// KIBERBIZTONSÁGI KISOKOS · 00. MODUL

Miért most? — üzleti és jogi kockázat, nem IT-apróság

Q: Honnan tudom, hogy a NIS2 vonatkozik-e a cégemre?

A NIS2 nem minden cégre kötelező — az érintettség a tevékenységi körtől (mely ágazatban működsz) és a cég méretétől függ, és közvetve a beszállítói láncon keresztül is elérhet. A pontos besorolás mindig egyedi mérlegelés kérdése. Az első lépés ezért az, hogy tisztázd: a céged a hatály alá esik-e közvetlenül, vagy egy érintett partner beszállítójaként közvetve.

Q: Miért épp most kell ezzel foglalkozni?

Mert a NIS2-t átültető magyar szabályozás (a 2024. évi LXIX. törvény és végrehajtási rendeletei) hatálya kiterjedt, és a felkészülési, regisztrációs és intézkedési határidők futnak. A kiberbiztonsági felkészülés nem egy hétvége alatt megoldható feladat: a kockázatfelmérés, az intézkedések bevezetése és a dokumentálás hónapokat vesz igénybe. Aki most kezd, időben végez; aki halogat, kapkodni fog — vagy lemarad.

Üzleti + Jog kb. 6 perc olvasás

A kiberbiztonság ma nem az informatikus magánügye, hanem üzleti és jogi kockázat: ha baj van, a cég veszít pénzt, ügyfelet és jó hírnevet — és a felelősség a vezetésé. A NIS2 ezt ki is mondja: a kockázatkezelés jóváhagyása és felügyelete a felső vezetés átruházhatatlan felelőssége. Ez a nyitómodul megmutatja, miért épp most kell cselekedni, és mit tegyél elsőként vezetőként.

Mit tegyek elsőként? → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Miért üzleti és jogi kockázat?

Sokáig úgy gondoltunk a kiberbiztonságra, mint informatikai apróságra: „majd a rendszergazda beállít valamit". Ez ma már nem igaz. Egy zsarolóvírus napokra megállíthatja a céget, egy adatszivárgás ügyfeleket és jó hírnevet visz el, egy kiesés alatt nem érkezik bevétel. Ezek mind üzleti károk — és a felelősség jogilag is a vezetésé, nem az informatikusé.

Képzeld el a tűzvédelmet A cégednél a tűzvédelemért te, a cégvezető felelsz — nem a karbantartó, aki a poroltókat újratölti. A karbantartó elvégzi a technikai munkát, de ha kiderül, hogy nem volt menekülési terv vagy lejárt a poroltó, a hatóság és a felelősség hozzád kopogtat be. A kiberbiztonság ma pontosan ilyen: az informatikus (vagy a szolgáltató) elvégzi a beállításokat, de hogy a cég komolyan veszi-e a védelmet, arról a vezetés dönt és azért a vezetés felel. Nem azért, mert a cégvezető ért a tűzhöz vagy a tűzfalhoz — hanem mert ő felel a cég működéséért és kockázataiért.

A digitális világban az „épület" a céged működése, a „tűz" a kibertámadás vagy adatvesztés, a „menekülési terv" pedig az, hogy felkészültél-e: tudod-e, mi a legértékesebb, mi fenyegeti, és mit teszel, ha baj van. A NIS2 ezt a vezetői felelősséget nem javasolja, hanem kötelezővé teszi: a kockázatkezelés jóváhagyása és felügyelete a felső vezetés átruházhatatlan feladata. Vagyis a „ezt bízzuk az IT-sra és felejtsük el" hozzáállás ma már nemcsak üzletileg kockázatos, hanem jogilag is tartható.

2 · A gyakorlatban

Miért épp most?

A kiberbiztonság éveken át „majd egyszer" téma volt. Most három dolog egyszerre futott össze, és ezek együtt teszik sürgőssé: a szabályozás hatálya kiterjedt és határidők futnak, a partnereid nyomást gyakorolnak, és a tétlenségnek kézzelfogható ára van. Nézzük ezeket sorban.

Futnak a határidők

A NIS2-t átültető magyar szabályozás (a 2024. évi LXIX. törvény és végrehajtási rendeletei) hatálya kiterjedt, a felkészülési, regisztrációs és intézkedési határidők pedig futnak. A felkészülés hónapokat vesz igénybe — aki most kezd, időben végez. Hogy a céged pontosan érintett-e, az egyedi mérlegelés; nem minden cégre kötelező.

Az ellátási lánc nyomása

Ha egy NIS2-érintett nagyvállalat ügyfele vagy beszállítója vagy, ő számon kéri rajtad a saját megfelelését: egyre több partner és ügyfél kér megfelelési igazolást a szerződéshez. Aki nem tudja megadni, kiesik a versenyből — még akkor is, ha közvetlenül nem tartozna a hatály alá.

A tétlenség ára

Nem cselekedni is döntés — csak rossz. Egy incidens üzletkiesést, helyreállítási költséget és reputációs kárt okoz, a meg nem felelés pedig hatósági következményt és partnervesztést. A felkészülés költsége szinte mindig kisebb, mint egy komoly incidens vagy egy elveszített nagy ügyfél ára.

Mit tegyél elsőként? Ne ess pánikba, és ne akarj egyszerre mindent. Az első lépés nem szoftver vásárlása, hanem egy vezetői döntés: kézbe veszed a témát, kijelölsz egy felelőst, és felméreted, hol a céged legnagyobb kockázata. Innen már lépésekben haladhatsz — ezt mutatja meg a következő szakasz.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan kezdj hozzá vezetőként? — öt lépés

Nem kell hozzá kiberbiztonsági végzettség, és nem kell elsőre tökéletesnek lennie. A lényeg, hogy vezetőként elindulj, és a döntéseid ne megérzésen, hanem egy átlátható folyamaton alapuljanak.

Tisztázd, érintett-e a céged

Nézd meg, a tevékenységed és a méreted alapján a NIS2 hatálya alá eshet-e a céged — közvetlenül vagy egy érintett partner beszállítójaként. Ez nem minden cégre kötelező; az érintettség mindig egyedi. Erről bővebben a Megfelelőség modulban olvashatsz.

Vedd kézbe vezetőként és jelölj felelőst

A kockázatkezelés jóváhagyása és felügyelete a vezetés át nem ruházható felelőssége. Vond be magad, nevezz ki egy belső felelőst (vagy felelős kört), és tedd a témát rendszeresen napirendre — nem egyszeri projekt, hanem folyamatos feladat.

Mérd fel a legfontosabb értékeket és kockázatokat

Vedd számba, mi az értékes (adatok, rendszerek, folyamatok), mi fenyegeti, és mi lenne a kiesés üzleti hatása. Ebből lesz a prioritási sorrend. Ehhez ad keretet a Kockázatkezelés modul.

Készíts cselekvési tervet és ütemezést

Rendelj a legnagyobb kockázatokhoz konkrét intézkedést, felelőst és határidőt. Ne akarj egyszerre mindent — a fontossal kezdd, lépésekben haladj. Egy reális, ütemezett terv többet ér, mint egy tökéletes, de soha el nem indított elképzelés.

Dokumentálj és kérj felkészítő támogatást

Írd le a döntéseidet és intézkedéseidet — a megfelelést bizonyítani kell. Ahol kell, vonj be felkészítő szakértőt. A kötelező, független auditot ettől függetlenül az arra jogosult auditor végzi: mi felkészítünk, nem auditálunk.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a vezetőnek és a NIS2-felkészülésért felelős kollégának szólnak — a laikus olvasó nyugodtan átugorhatja, a lényeg megértéséhez nem szükséges.

Az „átruházhatatlan" felelősség pontosan mit jelent?

A NIS2 logikájában a felső vezetés (ügyvezető, igazgatóság) jóváhagyja a kiberbiztonsági kockázatkezelési intézkedéseket és felügyeli azok végrehajtását. A technikai munkát delegálhatod belső informatikusnak vagy külső szolgáltatónak — de a felelősséget nem: az „erről nem tudtam, ez az IT dolga volt" nem mentesít. Ehhez társul a vezetés képzési elvárása is: a döntéshozóknak érteniük kell annyit a kiberkockázatokból, hogy felelős döntést tudjanak hozni. Ezért hívjuk ezt a modult a Kisokos nyitányának: aki vezet, annak ezt nem lehet kiszerveznie.

Mi a magyar jogi háttér?

Az uniós NIS2 irányelvet Magyarországon a 2024. évi LXIX. törvény (a kiberbiztonsági tárgyú, ún. „Kibertan-törvény") és annak végrehajtási rendeletei — köztük a 418/2024. (XII. 23.) Korm. rendelet — ültetik át. Ezek határozzák meg többek között az érintettek körét, a regisztrációs és intézkedési kötelezettségeket, valamint a felügyeleti és audit-rendszert. A konkrét paragrafusok és pontos határidők értelmezése mindig egyedi és a hatályos szöveg szerint történik — ezért itt a jogszabályokat csak megnevezzük, konkrét szakaszt nem tulajdonítunk nekik.

Hogyan kapcsolódik ez a Kisokos többi moduljához?

Ez a „miért most?" a vezérfonal eleje. A konkrét „hogyan" a következő modulokban bomlik ki: a CIA triász adja a gondolkodási keretet (bizalmasság, sértetlenség, rendelkezésre állás), a kockázatkezelés a motort (kockázatarányos döntés), a megfelelőség pedig azt, hogyan illeszkedik mindez a NIS2 elvárásaihoz. A vezetői felelősség az a közös szál, ami ezeket összefűzi: minden döntés végső soron a vezetés asztalán köt ki.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Vezetői felelős

Van-e a cégnél kijelölt felelős a kiberbiztonságért, és tudja-e a vezetés, hogy a felelősség az övé? Ha a válasz „ezt az IT intézi", akkor a jogi felelősség még gazdátlan.

2 · Érintettség

Tisztáztátok-e már, hogy a NIS2 vonatkozik-e a cégre — közvetlenül vagy beszállítóként? Ha még senki nem nézte meg, ezzel érdemes kezdeni, mert ez szabja meg a tempót.

3 · Partner-igények

Kért-e már tőletek partner vagy ügyfél megfelelési igazolást? Ha igen, az ellátási lánc nyomása már megérkezett — és ez önmagában sürgeti a felkészülést.

1 · Laikusan

Gyakori tévhit

Tévhit

„A kiberbiztonság az informatikus dolga, nem az enyém."

A technikai beállítások valóban az informatikusra tartoznak — de a döntés és a felelősség a vezetésé. A NIS2 ezt kifejezetten ki is mondja: a kockázatkezelés jóváhagyása és felügyelete a felső vezetés át nem ruházható feladata. Ahogy a tűzvédelemért sem a karbantartó felel, hanem a cégvezető, úgy a kiberbiztonságért is a vezetés tartozik számadással. Aki ezt „kiszervezi és elfelejti", nemcsak üzletileg kockáztat, hanem jogi felelősséget is vállal — anélkül, hogy tudná.

Gyakori kérdések

GYIK arról, miért most

Tényleg a cégvezető felel, nem az informatikus?

Igen. A NIS2 és a magyar átültetés a kockázatkezelési intézkedések jóváhagyását és felügyeletét a felső vezetés át nem ruházható felelősségévé teszi. A technikai végrehajtást delegálhatod egy informatikusnak vagy szolgáltatónak, de a felelősséget nem: a vezetés tartozik számadással azzal, hogy a cég megfelelő intézkedéseket hozott. Ez ugyanaz a logika, mint a tűzvédelemnél — a cégvezető felel érte, nem a karbantartó.

Honnan tudom, hogy a NIS2 vonatkozik-e a cégemre?

A NIS2 nem minden cégre kötelező — az érintettség a tevékenységi körtől (mely ágazatban működsz) és a cég méretétől függ, és közvetve a beszállítói láncon keresztül is elérhet. A pontos besorolás mindig egyedi mérlegelés kérdése. Az első lépés ezért az, hogy tisztázd: a céged a hatály alá esik-e közvetlenül, vagy egy érintett partner beszállítójaként közvetve.

Mi történik, ha most nem csinálok semmit?

A tétlenségnek ára van, és az nem csak egy esetleges bírság. Egy incidens (zsarolóvírus, adatszivárgás, kiesés) közvetlen üzletkiesést, helyreállítási költséget és reputációs kárt okoz. Ehhez jön az ellátási lánc nyomása: a partnereid és ügyfeleid egyre gyakrabban kérnek megfelelési igazolást, és ha nem tudod megadni, partnert veszíthetsz. A felkészülés ezért nem pusztán jogi kötelezettség, hanem üzleti érdek.

Miért épp most kell ezzel foglalkozni?

Mert a NIS2-t átültető magyar szabályozás (a 2024. évi LXIX. törvény és végrehajtási rendeletei) hatálya kiterjedt, és a felkészülési, regisztrációs és intézkedési határidők futnak. A kiberbiztonsági felkészülés nem egy hétvége alatt megoldható feladat: a kockázatfelmérés, az intézkedések bevezetése és a dokumentálás hónapokat vesz igénybe. Aki most kezd, időben végez; aki halogat, kapkodni fog — vagy lemarad.

TOVÁBB

Folytasd a felkészülést

Következő és kapcsolódó témák

← Vissza Vissza a Kisokoshoz Következő modul → A CIA triász

Következő lépés

Megvan a miért - hol álltok ma a felkészülésben?

A vezetői döntés és a kockázatfelmérés szervezeti munka, amit magadnak kell elindítanod — de a technikai kockázatok egy részét (kitett bejelentkező felületek, hiányzó biztonsági fejlécek, gyenge konfiguráció) egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Jó, kézzelfogható kiindulópont az első lépéshez.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz