Mi az a NIS2? Definíció és jogszabályi háttér
A NIS2 az Európai Unió (EU) 2022/2555 számú kiberbiztonsági irányelve, amelyet Magyarországon a 2024. évi LXIX. törvény (Kibertv.) ültetett át, 2025. január 1-i hatállyal. Közepes és nagy cégek ezreit kötelezi regisztrációra az SZTFH-nál, védelmi intézkedésekre és kétévente ismétlődő kiberbiztonsági auditra — akár 150 millió Ft bírság terhe mellett.
A NIS2 (Network and Information Security 2) a 2016-os első NIS irányelv utódja: 2022. december 14-én fogadták el, és 2023. január 16-án lépett hatályba EU-szinten. A tagállamoknak 2024. október 17-ig kellett átültetniük, a szabályokat 2024. október 18-tól kell alkalmazni. Magyarország az elsők között lépett: előbb a 2023. évi XXIII. törvény (az ún. Kibertan tv.) vezette be a kötelezettségeket, majd ezt 2025. január 1-től felváltotta az egységes kiberbiztonsági törvény, a 2024. évi LXIX. törvény. A részletszabályokat a 418/2024. (XII. 23.) Korm. rendelet (végrehajtás és bírságok) és a 7/2024. (VI. 24.) MK rendelet (biztonsági osztályba sorolás) tartalmazza.
A felügyeletet a piaci szereplők felett a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el, az állami és önkormányzati szervek felett a Nemzeti Kiberbiztonsági Hatóság (NBSZ NKI). A lényeg cégvezetői szemmel: ez nem ajánlás, hanem hatósági nyilvántartással, kötelező auditokkal és bírságokkal megtámogatott jogszabály — és 2026-ban már élesben megy a szankcionálás.
Kire vonatkozik a NIS2? Szektorok és méretküszöbök
Két feltételnek kell egyszerre teljesülnie: a céged a törvény mellékleteiben felsorolt ágazatok egyikében működik, és eléri a középvállalkozási méretet. A törvény két kockázati kategóriát különböztet meg, ez határozza meg a követelmények és a szankciók szigorúságát is:
| Kategória | Ágazatok | EU-s bírságplafon |
|---|---|---|
| Kiemelten kockázatos (1. melléklet) | Energia (villamos energia, földgáz, kőolaj, távhő, hidrogén), szállítás (légi, vasúti, vízi, közúti), egészségügy, ivóvíz, szennyvíz, hírközlés, digitális infrastruktúra, IKT-szolgáltatásmenedzsment (B2B), űralapú szolgáltatások | 10 millió EUR vagy a globális éves árbevétel 2%-a (a magasabb) |
| Kockázatos (2. melléklet) | Postai és futárszolgáltatás, hulladékgazdálkodás, vegyipar, élelmiszer-előállítás és -forgalmazás, gyártás (orvostechnikai eszköz, elektronika, gép, jármű), digitális szolgáltatók (online piactér, keresőmotor, közösségi platform), kutatás | 7 millió EUR vagy a globális éves árbevétel 1,4%-a (a magasabb) |
A méretküszöb a KKV-törvény szerinti besorolást követi: legalább 50 fő foglalkoztatott, vagy 10 millió eurót (nagyjából 4 milliárd Ft-ot) meghaladó éves nettó árbevétel, illetve mérlegfőösszeg. Két gyakori csapda:
- A kapcsolt vállalkozások összeszámítanak. Egy 20 fős magyar leányvállalat is a hatály alá esik, ha az anyacégével együtt átlépi a küszöböt. Sok cég ezen a ponton hiszi tévesen, hogy nem érintett.
- Egyes szolgáltatók mérettől függetlenül kötelezettek: elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók, DNS-szolgáltatók, doménnév-nyilvántartók és -regisztrátorok — náluk a létszám és az árbevétel nem számít.
A pénzügyi szektor (bankok, pénzügyi infrastruktúra) EU-szinten szintén alapvető ágazat, de rá a DORA rendelet és az MNB felügyelete vonatkozik, nem az SZTFH. Ha nem vagy biztos a besorolásban, a 2 perces NIS2 érintettségi tesztünk kérdésről kérdésre végigvezet rajta.
NIS2 határidők: idővonal 2024-től 2026-ig
A magyar bevezetés több lépcsőben történt, és két határidőt út közben meg is hosszabbítottak. Így néz ki a teljes idővonal:
| Dátum | Mérföldkő | Státusz |
|---|---|---|
| 2024. június 30. | Regisztráció az SZTFH-nál (a 2024 előtt is működő érintett cégeknek) | Lejárt |
| 2024. október 18. | EU-s alkalmazási határidő — a védelmi intézkedéseket ettől kezdve számon kérhetik | Lejárt |
| 2025. január 1. | Hatályba lép a 2024. évi LXIX. törvény (Kibertv.) | Hatályos |
| 2025. augusztus 31. | Auditor-szerződés megkötése (az eredeti 2024. dec. 31-i határidőt hosszabbították meg) | Lejárt |
| 2026. június 30. | Első kiberbiztonsági audit lefolytatása (az eredeti 2025. dec. 31-i határidőt hosszabbították meg) | Lejárt — a szankcionálás elindult |
| 2026. december 31. | Cégvezetők első kiberbiztonsági képzése (min. 8 óra, utána évente 4 óra) | Aktív határidő |
2520
SZTFH-nyilvántartott érintett szervezet (2026. július)
2132
cég teljesítette határidőre az első auditot
~400
cég van most közvetlen bírságkockázatban
Aki most kerül a hatály alá (pl. átlépi a méretküszöböt vagy új tevékenységbe kezd), arra gördülő határidők vonatkoznak: 30 nap a regisztrációra a hatály alá kerüléstől, 120 nap az auditor-szerződés megkötésére a nyilvántartásba vételtől, és 2 év az első audit lefolytatására. Ezután az audit kétévente ismétlődik. Incidens esetén a bejelentési óra ketyeg: 24 órán belül korai figyelmeztetés, 72 órán belül részletes bejelentés, majd 30 napon belül zárójelentés.
Bírságok és vezetői felelősség
A magyar bírságtételeket a 418/2024. (XII. 23.) Korm. rendelet rögzíti, jogsértésenként külön sávokkal:
| Jogsértés | Bírság |
|---|---|
| Regisztráció (nyilvántartásba vétel) elmulasztása | Min. az előző évi nettó árbevétel 0,5%-a (de legalább 1 millió Ft), max. az árbevétel 2%-a, legfeljebb 150 millió Ft |
| Audit elmulasztása vagy késedelme | 1 millió Ft-tól az éves nettó árbevétel 2%-áig, legfeljebb 150 millió Ft |
| Auditor-szerződés megkötésének elmulasztása | 1–15 millió Ft |
| Incidensbejelentés elmulasztása | 500 ezer – 5 millió Ft |
| Felügyeleti díj meg nem fizetése | Min. 500 ezer Ft, max. az éves felügyeleti díj tízszerese |
Két dolog teszi ezt a rezsimet keményebbé a megszokott hatósági gyakorlatnál. Az első az automatizmus: ismételt jogsértésnél a bírság kiszabása kötelező, méltányossági mérlegelésre nincs lehetőség. A második a személyes vezetői felelősség: ha a szervezet vezetője nem gondoskodik a kötelezettségek teljesítéséről, vele szemben akár 15 millió Ft személyes bírság szabható ki, kiemelten kockázatos szervezetnél pedig a vezető tisztségviselő a vezetői feladatok gyakorlásától is eltiltható. A kiberbiztonság ezzel hivatalosan is cégvezetői felelősség lett — nem delegálható teljes egészében az IT-re.
NIS2 megfelelési checklist 6 pontban
A megfelelés nem egyetlen projekt, hanem egy működő rendszer — de jól bontható lépésekre. Ez a hat pont a gyakorlati sorrend:
- Érintettség megállapítása. Szektor + méret, a kapcsolt vállalkozásokkal együtt számolva. Ezt írásban is dokumentáld — a „nem tudtam, hogy érintett vagyok” nem mentesít. Kezdd a érintettségi teszttel.
- Regisztráció az SZTFH-nál. A hatály alá kerüléstől 30 napon belül, az SZTFH elektronikus felületén. Ezzel indul a felügyeleti jogviszony és az éves felügyeleti díj (árbevétel-arányos, legfeljebb 10 millió Ft).
- Biztonsági osztályba sorolás és kockázatelemzés. A 7/2024. (VI. 24.) MK rendelet szerint minden érintett informatikai rendszert alap, jelentős vagy magas biztonsági osztályba kell sorolni — ez határozza meg, mely kontrollok kötelezők.
- Védelmi intézkedések bevezetése. Adminisztratív, logikai és fizikai kontrollok: incidenskezelési folyamat, üzletmenet-folytonossági terv, mentések, többfaktoros hitelesítés, titkosítás, jogosultságkezelés, beszállítói lánc biztonsága — plusz információbiztonsági felelős (IBF) kijelölése.
- Auditor-szerződés és audit. Nyilvántartásba vételtől 120 napon belül szerződés egy SZTFH-nyilvántartott auditorral, majd az első audit lefolytatása (új belépőknek 2 éven belül), ezt követően kétévente ismétlés.
- Folyamatos működtetés. Incidensbejelentés (24/72 óra/30 nap), vezetői képzés 2026. december 31-ig, majd évente, az IBF évi 20 órás továbbképzése, éves felülvizsgálat és naprakész dokumentáció.
Részletes, IT-vezetőknek szóló bontást külön oldalon vezetünk: NIS2 checklist IT-vezetőknek. Az is gyakori helyzet, hogy a megfelelés akadálya egy elöregedett, már nem frissíthető belső rendszer — ilyenkor a NIS2 jó apropó a csere üzleti eset megépítésére is, erről az egyedi szoftverfejlesztés oldalunkon írunk bővebben.
Következő lépés: derítsd ki 2 perc alatt, érintett vagy-e
A NIS2-ben a legdrágább hiba a halogatás: a határidők nagy része már lejárt, a szankcionálás elindult, és ismételt mulasztásnál a bírság automatikus. A jó hír, hogy az első lépés ingyenes és 2 percet vesz igénybe: a NIS2 érintettségi tesztünk szektor és méret alapján megmondja, a hatály alá tartozol-e, és ha igen, milyen kategóriában. Ha érintett vagy, a NIS2 megfelelési szolgáltatásunk keretében a gap-elemzéstől az auditra való felkészülésig végigvisszük a folyamatot.
Vonatkozik-e a cégemre a NIS2?
Akkor vonatkozik rád, ha a céged a kiemelten kockázatos vagy kockázatos ágazatok valamelyikében működik (energia, szállítás, egészségügy, gyártás, élelmiszeripar, hulladékgazdálkodás, digitális szolgáltatások stb.), ÉS legalább középvállalkozás: 50 fő feletti létszám vagy 10 millió eurót (kb. 4 milliárd Ft-ot) meghaladó éves árbevétel. Fontos: a kapcsolt vállalkozások adatai összeszámítanak, így egy 20 fős magyar leányvállalat is érintett lehet az anyacég mérete miatt.
Mekkora a NIS2 bírság Magyarországon?
A 418/2024. (XII. 23.) Korm. rendelet alapján a legsúlyosabb tétel az audit vagy a regisztráció elmulasztása: az éves nettó árbevétel 2%-áig, de legfeljebb 150 millió Ft-ig terjedő bírság. Az auditor-szerződés elmulasztása 1–15 millió Ft, az incidensbejelentés mulasztása 500 ezer és 5 millió Ft között mozog. A szervezet vezetője személyesen is bírságolható, akár 15 millió Ft-ig, és el is tiltható a vezetői feladatok ellátásától.
Mi a NIS2 határidő 2026-ban?
Az első kiberbiztonsági audit határideje 2026. június 30. volt — ez már lejárt. A 2520 SZTFH-nyilvántartott szervezetből 2132 teljesített határidőre, a többiek bírságkockázatban vannak. A következő fix dátum 2026. december 31.: eddig kell a cégvezetőknek teljesíteniük az első, legalább 8 órás kiberbiztonsági képzést. Az újonnan hatály alá kerülő cégeknek 30 napjuk van a regisztrációra, 120 napjuk auditor-szerződésre, és 2 évük az első auditra.
Mit kell csinálni először?
Elsőként állapítsd meg, hogy érintett vagy-e: szektor + méret alapján, a kapcsolt vállalkozásokat is beszámítva — erre való a 2 perces NIS2 érintettségi tesztünk. Ha érintett vagy, regisztrálj az SZTFH-nál (a hatály alá kerüléstől 30 napon belül), sorold biztonsági osztályba a rendszereidet, és készíts gap-elemzést: mi hiányzik a jogszabályi védelmi intézkedésekből.
Mi a különbség a NIS2 és a GDPR között?
A GDPR a személyes adatok kezelését szabályozza, a NIS2 a hálózati és informatikai rendszerek biztonságát — a kettő kiegészíti egymást, nem helyettesíti. Más a felügyelet is: GDPR-ügyben a NAIH, NIS2-ügyben az SZTFH jár el. Egy adatszivárgás tipikusan mindkettőt érinti: a GDPR szerint 72 órán belül a NAIH-nak, a NIS2 szerint 24 órán belül korai figyelmeztetésként a hatóságnak kell jelenteni.
Ki ellenőrzi a NIS2 megfelelést Magyarországon?
A piaci szereplők felett a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) gyakorolja a kiberbiztonsági felügyeletet, az állami és önkormányzati szervek felett a Nemzeti Kiberbiztonsági Hatóság (NBSZ NKI). A kétévente kötelező auditot az SZTFH által nyilvántartott, akkreditált auditorcégek végezhetik el.
Lekéstem a 2026. június 30-i audithatáridőt — mit tegyek?
Ne várd meg a hatósági ellenőrzést. Első jogsértésnél az SZTFH mérlegelhet, és figyelmeztetéssel is zárulhat az ügy — ismételt jogsértésnél viszont kötelező a bírság, méltányosságnak nincs helye. Kösd meg azonnal az auditor-szerződést, készíts ütemtervet a hiányzó intézkedésekre, és dokumentáld a jogkövetési szándékot: ez a bírság mérséklésének legjobb esélye.
Ha a megfeleléshez fejlesztés is kell — jogosultságkezelés, naplózás, incidenskezelést támogató belső rendszer —, kérj ingyenes konzultációt: 30 percben átnézzük, hol állsz, és mi a legrövidebb út a megfelelésig. A szabályozási környezet tágabb képéhez pedig ott az EU AI Act + GDPR útmutatónk — a három rezsim együtt adja ki 2026 compliance-térképét.



