Mi az a NIS2? Kire vonatkozik, határidők és bírságok 2026-ban

Az első audithatáridő 2026. június 30-án lejárt: 2520 regisztrált cégből 2132 teljesített, a többiek bírságkockázatban vannak. Max. 150 millió Ft, személyes vezetői felelősséggel. Nézd meg 2 perc alatt, érintett vagy-e.

12 perc olvasásÍrtaBoncz Bálint

Mi az a NIS2? Definíció és jogszabályi háttér

A NIS2 az Európai Unió (EU) 2022/2555 számú kiberbiztonsági irányelve, amelyet Magyarországon a 2024. évi LXIX. törvény (Kibertv.) ültetett át, 2025. január 1-i hatállyal. Közepes és nagy cégek ezreit kötelezi regisztrációra az SZTFH-nál, védelmi intézkedésekre és kétévente ismétlődő kiberbiztonsági auditra — akár 150 millió Ft bírság terhe mellett.

A NIS2 (Network and Information Security 2) a 2016-os első NIS irányelv utódja: 2022. december 14-én fogadták el, és 2023. január 16-án lépett hatályba EU-szinten. A tagállamoknak 2024. október 17-ig kellett átültetniük, a szabályokat 2024. október 18-tól kell alkalmazni. Magyarország az elsők között lépett: előbb a 2023. évi XXIII. törvény (az ún. Kibertan tv.) vezette be a kötelezettségeket, majd ezt 2025. január 1-től felváltotta az egységes kiberbiztonsági törvény, a 2024. évi LXIX. törvény. A részletszabályokat a 418/2024. (XII. 23.) Korm. rendelet (végrehajtás és bírságok) és a 7/2024. (VI. 24.) MK rendelet (biztonsági osztályba sorolás) tartalmazza.

A felügyeletet a piaci szereplők felett a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el, az állami és önkormányzati szervek felett a Nemzeti Kiberbiztonsági Hatóság (NBSZ NKI). A lényeg cégvezetői szemmel: ez nem ajánlás, hanem hatósági nyilvántartással, kötelező auditokkal és bírságokkal megtámogatott jogszabály — és 2026-ban már élesben megy a szankcionálás.

Kire vonatkozik a NIS2? Szektorok és méretküszöbök

Két feltételnek kell egyszerre teljesülnie: a céged a törvény mellékleteiben felsorolt ágazatok egyikében működik, és eléri a középvállalkozási méretet. A törvény két kockázati kategóriát különböztet meg, ez határozza meg a követelmények és a szankciók szigorúságát is:

KategóriaÁgazatokEU-s bírságplafon
Kiemelten kockázatos (1. melléklet)Energia (villamos energia, földgáz, kőolaj, távhő, hidrogén), szállítás (légi, vasúti, vízi, közúti), egészségügy, ivóvíz, szennyvíz, hírközlés, digitális infrastruktúra, IKT-szolgáltatásmenedzsment (B2B), űralapú szolgáltatások10 millió EUR vagy a globális éves árbevétel 2%-a (a magasabb)
Kockázatos (2. melléklet)Postai és futárszolgáltatás, hulladékgazdálkodás, vegyipar, élelmiszer-előállítás és -forgalmazás, gyártás (orvostechnikai eszköz, elektronika, gép, jármű), digitális szolgáltatók (online piactér, keresőmotor, közösségi platform), kutatás7 millió EUR vagy a globális éves árbevétel 1,4%-a (a magasabb)

A méretküszöb a KKV-törvény szerinti besorolást követi: legalább 50 fő foglalkoztatott, vagy 10 millió eurót (nagyjából 4 milliárd Ft-ot) meghaladó éves nettó árbevétel, illetve mérlegfőösszeg. Két gyakori csapda:

  • A kapcsolt vállalkozások összeszámítanak. Egy 20 fős magyar leányvállalat is a hatály alá esik, ha az anyacégével együtt átlépi a küszöböt. Sok cég ezen a ponton hiszi tévesen, hogy nem érintett.
  • Egyes szolgáltatók mérettől függetlenül kötelezettek: elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók, DNS-szolgáltatók, doménnév-nyilvántartók és -regisztrátorok — náluk a létszám és az árbevétel nem számít.

A pénzügyi szektor (bankok, pénzügyi infrastruktúra) EU-szinten szintén alapvető ágazat, de rá a DORA rendelet és az MNB felügyelete vonatkozik, nem az SZTFH. Ha nem vagy biztos a besorolásban, a 2 perces NIS2 érintettségi tesztünk kérdésről kérdésre végigvezet rajta.

NIS2 határidők: idővonal 2024-től 2026-ig

A magyar bevezetés több lépcsőben történt, és két határidőt út közben meg is hosszabbítottak. Így néz ki a teljes idővonal:

DátumMérföldkőStátusz
2024. június 30.Regisztráció az SZTFH-nál (a 2024 előtt is működő érintett cégeknek)Lejárt
2024. október 18.EU-s alkalmazási határidő — a védelmi intézkedéseket ettől kezdve számon kérhetikLejárt
2025. január 1.Hatályba lép a 2024. évi LXIX. törvény (Kibertv.)Hatályos
2025. augusztus 31.Auditor-szerződés megkötése (az eredeti 2024. dec. 31-i határidőt hosszabbították meg)Lejárt
2026. június 30.Első kiberbiztonsági audit lefolytatása (az eredeti 2025. dec. 31-i határidőt hosszabbították meg)Lejárt — a szankcionálás elindult
2026. december 31.Cégvezetők első kiberbiztonsági képzése (min. 8 óra, utána évente 4 óra)Aktív határidő

2520

SZTFH-nyilvántartott érintett szervezet (2026. július)

2132

cég teljesítette határidőre az első auditot

~400

cég van most közvetlen bírságkockázatban

Aki most kerül a hatály alá (pl. átlépi a méretküszöböt vagy új tevékenységbe kezd), arra gördülő határidők vonatkoznak: 30 nap a regisztrációra a hatály alá kerüléstől, 120 nap az auditor-szerződés megkötésére a nyilvántartásba vételtől, és 2 év az első audit lefolytatására. Ezután az audit kétévente ismétlődik. Incidens esetén a bejelentési óra ketyeg: 24 órán belül korai figyelmeztetés, 72 órán belül részletes bejelentés, majd 30 napon belül zárójelentés.

Bírságok és vezetői felelősség

A magyar bírságtételeket a 418/2024. (XII. 23.) Korm. rendelet rögzíti, jogsértésenként külön sávokkal:

JogsértésBírság
Regisztráció (nyilvántartásba vétel) elmulasztásaMin. az előző évi nettó árbevétel 0,5%-a (de legalább 1 millió Ft), max. az árbevétel 2%-a, legfeljebb 150 millió Ft
Audit elmulasztása vagy késedelme1 millió Ft-tól az éves nettó árbevétel 2%-áig, legfeljebb 150 millió Ft
Auditor-szerződés megkötésének elmulasztása1–15 millió Ft
Incidensbejelentés elmulasztása500 ezer – 5 millió Ft
Felügyeleti díj meg nem fizetéseMin. 500 ezer Ft, max. az éves felügyeleti díj tízszerese

Két dolog teszi ezt a rezsimet keményebbé a megszokott hatósági gyakorlatnál. Az első az automatizmus: ismételt jogsértésnél a bírság kiszabása kötelező, méltányossági mérlegelésre nincs lehetőség. A második a személyes vezetői felelősség: ha a szervezet vezetője nem gondoskodik a kötelezettségek teljesítéséről, vele szemben akár 15 millió Ft személyes bírság szabható ki, kiemelten kockázatos szervezetnél pedig a vezető tisztségviselő a vezetői feladatok gyakorlásától is eltiltható. A kiberbiztonság ezzel hivatalosan is cégvezetői felelősség lett — nem delegálható teljes egészében az IT-re.

NIS2 megfelelési checklist 6 pontban

A megfelelés nem egyetlen projekt, hanem egy működő rendszer — de jól bontható lépésekre. Ez a hat pont a gyakorlati sorrend:

  1. Érintettség megállapítása. Szektor + méret, a kapcsolt vállalkozásokkal együtt számolva. Ezt írásban is dokumentáld — a „nem tudtam, hogy érintett vagyok” nem mentesít. Kezdd a érintettségi teszttel.
  2. Regisztráció az SZTFH-nál. A hatály alá kerüléstől 30 napon belül, az SZTFH elektronikus felületén. Ezzel indul a felügyeleti jogviszony és az éves felügyeleti díj (árbevétel-arányos, legfeljebb 10 millió Ft).
  3. Biztonsági osztályba sorolás és kockázatelemzés. A 7/2024. (VI. 24.) MK rendelet szerint minden érintett informatikai rendszert alap, jelentős vagy magas biztonsági osztályba kell sorolni — ez határozza meg, mely kontrollok kötelezők.
  4. Védelmi intézkedések bevezetése. Adminisztratív, logikai és fizikai kontrollok: incidenskezelési folyamat, üzletmenet-folytonossági terv, mentések, többfaktoros hitelesítés, titkosítás, jogosultságkezelés, beszállítói lánc biztonsága — plusz információbiztonsági felelős (IBF) kijelölése.
  5. Auditor-szerződés és audit. Nyilvántartásba vételtől 120 napon belül szerződés egy SZTFH-nyilvántartott auditorral, majd az első audit lefolytatása (új belépőknek 2 éven belül), ezt követően kétévente ismétlés.
  6. Folyamatos működtetés. Incidensbejelentés (24/72 óra/30 nap), vezetői képzés 2026. december 31-ig, majd évente, az IBF évi 20 órás továbbképzése, éves felülvizsgálat és naprakész dokumentáció.

Részletes, IT-vezetőknek szóló bontást külön oldalon vezetünk: NIS2 checklist IT-vezetőknek. Az is gyakori helyzet, hogy a megfelelés akadálya egy elöregedett, már nem frissíthető belső rendszer — ilyenkor a NIS2 jó apropó a csere üzleti eset megépítésére is, erről az egyedi szoftverfejlesztés oldalunkon írunk bővebben.

Következő lépés: derítsd ki 2 perc alatt, érintett vagy-e

A NIS2-ben a legdrágább hiba a halogatás: a határidők nagy része már lejárt, a szankcionálás elindult, és ismételt mulasztásnál a bírság automatikus. A jó hír, hogy az első lépés ingyenes és 2 percet vesz igénybe: a NIS2 érintettségi tesztünk szektor és méret alapján megmondja, a hatály alá tartozol-e, és ha igen, milyen kategóriában. Ha érintett vagy, a NIS2 megfelelési szolgáltatásunk keretében a gap-elemzéstől az auditra való felkészülésig végigvisszük a folyamatot.

Vonatkozik-e a cégemre a NIS2?

Akkor vonatkozik rád, ha a céged a kiemelten kockázatos vagy kockázatos ágazatok valamelyikében működik (energia, szállítás, egészségügy, gyártás, élelmiszeripar, hulladékgazdálkodás, digitális szolgáltatások stb.), ÉS legalább középvállalkozás: 50 fő feletti létszám vagy 10 millió eurót (kb. 4 milliárd Ft-ot) meghaladó éves árbevétel. Fontos: a kapcsolt vállalkozások adatai összeszámítanak, így egy 20 fős magyar leányvállalat is érintett lehet az anyacég mérete miatt.

Mekkora a NIS2 bírság Magyarországon?

A 418/2024. (XII. 23.) Korm. rendelet alapján a legsúlyosabb tétel az audit vagy a regisztráció elmulasztása: az éves nettó árbevétel 2%-áig, de legfeljebb 150 millió Ft-ig terjedő bírság. Az auditor-szerződés elmulasztása 1–15 millió Ft, az incidensbejelentés mulasztása 500 ezer és 5 millió Ft között mozog. A szervezet vezetője személyesen is bírságolható, akár 15 millió Ft-ig, és el is tiltható a vezetői feladatok ellátásától.

Mi a NIS2 határidő 2026-ban?

Az első kiberbiztonsági audit határideje 2026. június 30. volt — ez már lejárt. A 2520 SZTFH-nyilvántartott szervezetből 2132 teljesített határidőre, a többiek bírságkockázatban vannak. A következő fix dátum 2026. december 31.: eddig kell a cégvezetőknek teljesíteniük az első, legalább 8 órás kiberbiztonsági képzést. Az újonnan hatály alá kerülő cégeknek 30 napjuk van a regisztrációra, 120 napjuk auditor-szerződésre, és 2 évük az első auditra.

Mit kell csinálni először?

Elsőként állapítsd meg, hogy érintett vagy-e: szektor + méret alapján, a kapcsolt vállalkozásokat is beszámítva — erre való a 2 perces NIS2 érintettségi tesztünk. Ha érintett vagy, regisztrálj az SZTFH-nál (a hatály alá kerüléstől 30 napon belül), sorold biztonsági osztályba a rendszereidet, és készíts gap-elemzést: mi hiányzik a jogszabályi védelmi intézkedésekből.

Mi a különbség a NIS2 és a GDPR között?

A GDPR a személyes adatok kezelését szabályozza, a NIS2 a hálózati és informatikai rendszerek biztonságát — a kettő kiegészíti egymást, nem helyettesíti. Más a felügyelet is: GDPR-ügyben a NAIH, NIS2-ügyben az SZTFH jár el. Egy adatszivárgás tipikusan mindkettőt érinti: a GDPR szerint 72 órán belül a NAIH-nak, a NIS2 szerint 24 órán belül korai figyelmeztetésként a hatóságnak kell jelenteni.

Ki ellenőrzi a NIS2 megfelelést Magyarországon?

A piaci szereplők felett a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) gyakorolja a kiberbiztonsági felügyeletet, az állami és önkormányzati szervek felett a Nemzeti Kiberbiztonsági Hatóság (NBSZ NKI). A kétévente kötelező auditot az SZTFH által nyilvántartott, akkreditált auditorcégek végezhetik el.

Lekéstem a 2026. június 30-i audithatáridőt — mit tegyek?

Ne várd meg a hatósági ellenőrzést. Első jogsértésnél az SZTFH mérlegelhet, és figyelmeztetéssel is zárulhat az ügy — ismételt jogsértésnél viszont kötelező a bírság, méltányosságnak nincs helye. Kösd meg azonnal az auditor-szerződést, készíts ütemtervet a hiányzó intézkedésekre, és dokumentáld a jogkövetési szándékot: ez a bírság mérséklésének legjobb esélye.

Ha a megfeleléshez fejlesztés is kell — jogosultságkezelés, naplózás, incidenskezelést támogató belső rendszer —, kérj ingyenes konzultációt: 30 percben átnézzük, hol állsz, és mi a legrövidebb út a megfelelésig. A szabályozási környezet tágabb képéhez pedig ott az EU AI Act + GDPR útmutatónk — a három rezsim együtt adja ki 2026 compliance-térképét.

Megosztás:

Készen állsz?

Beszéljük át a projektedet — 30 perc, ingyenes.

24 órán belül konkrét ár-tartománnyal, becsült átfutási idővel és világos következő lépéssel jövünk vissza. Nem értékesítési hívás.

Projektet indítok