Lényeges (essential) vagy fontos (important) entitás a cégünk?

A NIS2 Annex I-ben felsorolt szektorokban (energia, közlekedés, banki, pénzügyi piac infrastruktúra, egészségügy, ivóvíz, szennyvíz, digitális infra, közigazgatás, űrtevékenység) működő, középvállalati méret feletti szervezetek lényeges (essential) entitások. Az Annex II szektorai (postai, hulladékgazdálkodás, vegyipar, élelmiszer, gyártás, digitális szolgáltatók, kutatás) közepes vagy nagyvállalati méret esetén fontos (important) entitások. A küszöb: ≥250 fő VAGY ≥50 M EUR árbevétel / ≥43 M EUR mérlegfőösszeg = nagy; 50-249 fő VAGY 10-50 M EUR / 10-43 M EUR = közepes.

Mekkorák a bírságok?

A NIS2 Article 34 szerint lényeges entitásnál a maximális bírság legalább 10 millió EUR vagy az éves globális árbevétel 2%-a — amelyik magasabb. Fontos entitásnál legalább 7 millió EUR vagy 1,4%. A magyar 2024. évi LXIX. törvény ezen felül kiberbiztonsági felügyeleti díjat is kivet: az előző üzleti év nettó árbevételének legfeljebb 0,015%-a, legfeljebb 10 millió Ft / szervezet, vállalatcsoportban legfeljebb 50 millió Ft összesen.

Mi a 24/72 órás bejelentési határidő?

A NIS2 Article 23 háromlépcsős bejelentést követel meg jelentős incidens esetén: (1) 24 órán belül early warning a CSIRT vagy illetékes hatóság felé; (2) 72 órán belül incidens-bejelentés (értékelés, súlyosság, indikátorok, határokon átnyúló hatások); (3) 1 hónapon belül végleges jelentés (kiváltó okok elemzése, mitigációs intézkedések, hatás-értékelés). Súlyos kibertámadás-incidens esetén közbenső status update is kötelező lehet.

Mit takar az Article 21(2) szerinti 10 minimum intézkedés?

(a) kockázatelemzés és infosec policy; (b) incidenskezelés; (c) üzletmenet-folytonosság (backup, DR, krízis-kezelés); (d) supply chain biztonság (közvetlen beszállítók); (e) biztonságos fejlesztés és sebezhetőség-kezelés; (f) az intézkedések hatékonyságának értékelése; (g) cyber hygiene és képzés; (h) titkosítási politika; (i) HR-biztonság, hozzáférés-vezérlés, asset management; (j) MFA vagy folyamatos hitelesítés, biztonságos hang-, video- és szövegkommunikáció. A proporcionalitás-elv (Art. 21(1)) szerint a mélység az entitás méretéhez és kitettségéhez igazodik.

Vezetői felelősség — mit jelent ez konkrétan?

A NIS2 Article 20 a menedzsment-testület (igazgatóság, ügyvezetés) közvetlen felelősségét rögzíti a kockázatkezelési intézkedések jóváhagyásáért és felügyeletéért. A vezetésnek dokumentált képzésen kell részt vennie, és nem-megfelelés esetén személyes szankciók (átmeneti tevékenység-tilalom akár 1 évig) is lehetségesek. A magyar 2024. évi LXIX. törvény a vezetői felelősség dokumentálását kifejezetten audit-tárgyként kezeli.

Dir. 2022/2555 · 2024. évi LXIX. tv. · 2026.01.06 hatály

NIS2 ellenőrzőlista IT-vezetőknek 10 + 7 lépés a megfeleléshez

A NIS2 (Directive (EU) 2022/2555) magyar átültetése — a 2024. évi LXIX. törvény — 2026. január 6-án lépett hatályba. Az alábbi ellenőrzőlista az Article 21(2) szerinti 10 kötelező intézkedést és az SZTFH-/nemzeti hatóság előtti regisztráció, incidens-bejelentés, vezetői felelősség lépéseit írja le. Frissítve: 2026-05-04.

Kérek NIS2 gap-auditot

30 perc konzultáció

TL;DR

Magyar transzpozíció hatályba: 2026. január 6. (2024. évi LXIX. tv.)
Bírság-felső határ lényeges entitásnál: legalább 10 M EUR vagy 2% globális árbevétel (Art. 34). Fontos entitásnál 7 M EUR vagy 1,4%.
Magyar kiberbiztonsági felügyeleti díj: max előző évi nettó árbevétel 0,015%-a, max 10 M Ft / szervezet, csoportban max 50 M Ft.
Incidens-bejelentés: 24h early warning · 72h notification · 1 hónap final report (Art. 23).
Az Article 21(2) tíz minimum-intézkedése (a)-(j) arányos módon — méret + kitettség szerint — kötelező mindkét szintnél.

Érintett szektorok — Annex I (lényeges) és Annex II (fontos)

Annex I — lényeges (essential)

· Energia
· Közlekedés
· Banki szolgáltatások
· Pénzügyi piac infrastruktúra
· Egészségügy
· Ivóvíz
· Szennyvíz
· Digitális infrastruktúra
· Közigazgatás
· Űrtevékenység
· ICT-szolgáltatás-kezelés

Bírság: ≥ 10 M EUR vagy 2% globális árbevétel.

Annex II — fontos (important)

· Postai és futárszolgáltatás
· Hulladékgazdálkodás
· Vegyipar
· Élelmiszer (termelés, feldolgozás, forgalmazás)
· Gyártás (ipari)
· Digitális szolgáltatók (online piactér, keresőmotor, közösségi háló)
· Kutatás

Bírság: ≥ 7 M EUR vagy 1,4% globális árbevétel.

Forrás: Directive (EU) 2022/2555 Article 3 és Annex I/II, EUR-Lex.

Méret-küszöbök — érintett vagy?

Méret	Foglalkoztatottak	Árbevétel / mérleg	Annex I	Annex II
Nagy	≥ 250 fő	> 50 M EUR / > 43 M EUR	Lényeges	Fontos
Közepes	50–249 fő	10–50 M EUR / 10–43 M EUR	Fontos	Fontos
Kicsi / micro	< 50 fő	< 10 M EUR	Nem érintett (kivételekkel)	Nem érintett

Kivétel: kritikus infrastruktúra-szolgáltatók (DNS, TLD-regisztrátor, közigazgatás, adatközpont stb.) MÉRETTŐL FÜGGETLENÜL érintettek lehetnek (Art. 2(2)).

Article 21(2) — a 10 minimum kötelező intézkedés

Forrás: NIS2 Directive Art. 21. Arányosság (Art. 21(1)) — méret és kitettség alapján.

(a)
Kockázatelemzés és infosec policy
ISO/IEC 27005 alapú risk register, infosec policy management board jóváhagyással.
(b)
Incidenskezelés
IR playbook (NIST 800-61), CSIRT-kapcsolat, 24/72 órás bejelentési flow.
(c)
Üzletmenet-folytonosság
BCP + DR (RTO, RPO), backup-restore tesztelés legalább évente.
(d)
Supply chain biztonság
Beszállítói due-diligence, szerződéses biztonsági klauzulák, vendor risk register.
(e)
Biztonságos fejlesztés
SDLC security, code review, vulnerability management (CVE-tracking, patch SLA).
(f)
Hatékonyság-értékelés
KPI-mérés, belső audit, tabletop exercise, threat-led pen-test.
(g)
Cyber hygiene + képzés
Phishing-simuláció, éves kötelező képzés, szerepkör-specifikus tréning.
(h)
Titkosítási politika
TLS 1.2+, AES-256 at-rest, kulcskezelési eljárás (KMS).
(i)
HR + access control + asset
RBAC, leaver-process, asset inventory, BYOD policy.
(j)
MFA + biztonságos kommunikáció
Phishing-resistant MFA, S/MIME vagy E2E secure messaging admin-kommunikációhoz.

Article 23 — incidens-bejelentési határidők

T+24 óra

Early warning

Korai értesítés a CSIRT/illetékes hatóságnak: gyaníthatóan jelentős incidens, szektoron átnyúló hatás kockázata.

T+72 óra

Incidens-bejelentés

Részletes értékelés: súlyosság, IoC-k, érintettek, határokon átnyúló hatások.

T+1 hónap

Final report

Kiváltó okok, alkalmazott mitigációk, hatás-értékelés. Folyamatban lévő incidens esetén status update.

Article 34 — bírság-felső határok

Entitás	Maximum (legalább)	Vagy
Lényeges (essential)	10 M EUR	2% globális árbevétel
Fontos (important)	7 M EUR	1,4% globális árbevétel

A magyar 2024. évi LXIX. törvény ezen felül kiberbiztonsági felügyeleti díjat is kivet: az előző üzleti év nettó árbevételének legfeljebb 0,015%-a, max 10 M Ft / szervezet, csoportban összesítve max 50 M Ft.

Forrás: Directive 2022/2555 Article 34 és 2024. évi LXIX. törvény.

Magyar regisztráció és határidők (2024. évi LXIX. tv.)

· 30 nap a hatály alá kerüléstől: bejelentkezés / regisztráció
· 90-180 nap: kockázatmenedzsment keretrendszer kialakítása
· 180 nap: biztonsági osztályba sorolás
· 2 év nyilvántartásba vételtől: első kiberbiztonsági audit elvégzése

Felügyelet: a törvény 1. § (1) bekezdés d) és e) pontja szerinti szervezetekre az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága). Az 1. § (1) bekezdés a)–c) pontja szerinti szervezetekre a Kormány rendeletében kijelölt nemzeti kiberbiztonsági hatóság.

17 lépéses akció-lista IT-vezetőknek

01.
Hatály-elemzés (in-scope / out)
Cégszerkezet, méret, szektor a 2024. évi LXIX. tv. és Annex I/II alapján.
T-180
02.
Regisztráció a hatóságnál
30 napos határidő a hatály alá kerüléstől.
T-180 / +30 nap
03.
Asset és adat-térkép
Kritikus rendszerek, adatfolyamok, integráció-pontok inventárba.
T-150
04.
Kockázatelemzés (Art. 21(2)(a))
ISO 27005-szerű vagy ENISA-módszertan, dokumentált risk register.
T-150
05.
Infosec policy + management körözés
Vezetői testület általi jóváhagyás.
T-130
06.
Incident response playbook
24/72/30 napos flow, CSIRT-kapcsolatok dokumentálva.
T-120
07.
Backup + DR teszt
RTO/RPO célok dokumentálva, próbaállítás évente legalább.
T-110
08.
Supply chain biztonsági program
Beszállítói due-diligence, klauzulák, vendor risk register.
T-100
09.
Biztonságos fejlesztés (SDLC)
Code review, SAST/DAST, vulnerability management SLA.
T-90
10.
Cyber hygiene + képzés
Phishing-szimuláció, éves kötelező képzés, role-specifikus tréning.
T-80
11.
Titkosítási és KMS-politika
TLS 1.2+, AES-256 at-rest, key rotation rend.
T-70
12.
RBAC + leaver-process
JML (joiner-mover-leaver), asset-visszavonás, BYOD.
T-60
13.
MFA + biztonságos kommunikáció
Phishing-resistant MFA, szerepkör szerinti diff. szigorúsággal.
T-50
14.
Vezetői felelősség dokumentáció (Art. 20)
Igazgatóság képzése + jóváhagyások.
T-30
15.
Belső audit + tabletop exercise
Próbaaudit a hatósági ellenőrzés szimulálására.
T-15
16.
Hatóság előtti bejelentési flow tesztelése
24h early warning, 72h notification template.
T-7
17.
Élesedés + folyamatos compliance
Évente review, threat-led pen-test 24 havonta, doc-frissítés.
T+0 / Folyamatos

Mibe kerül egy NIS2 megfelelési projekt

AppForge saját, dokumentált projekt-tartományok. Pontos árajánlat 30 perces scoping call után.

· Közepes vállalkozás (50-249 fő, fontos entitás): gap-elemzés + 10 intézkedés + IR + dokumentáció + képzés — 4-7 hónap, 18-45 millió Ft
· Lényeges entitás (≥250 fő vagy kritikus szektor): 6-12 hónap, 35-90 millió Ft
· Folyamatos compliance retainer (review, doc frissítés, threat-led pen-test 24 havonta): havi 0,8-2,5 millió Ft
· Csak gap-audit + roadmap (saját implementáció): 4-6 hét, 3-7 millió Ft

Beszéljünk személyesen az iroda mellett

Hív minket a +36 30 098 0767 telefonon, írj a balint@appforge.hu címre, vagy gyere be személyesen.

Budapesti iroda: 1054 Budapest, Szabadság tér 7. (Bank Center), 1. emelet 112. iroda · H–P 9:00–18:00 előzetes egyeztetéssel.

Hivatalos források

Frissítve: 2026-05-04. Az oldal nem helyettesíti a jogi tanácsadást.

GYIK

NIS2 — gyakori kérdések

A 2024. évi LXIX. törvény (a NIS2 magyar átültetése) 2026. január 6-án lépett hatályba. A felügyelet egy részét az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) látja el — a törvény 1. § (1) bekezdés d) és e) pontja szerinti szervezetekre. Az 1. § (1) bekezdés a)–c) pontja szerinti szervezetekre a Kormány rendeletében kijelölt nemzeti kiberbiztonsági hatóság illetékes. A regisztrációs határidő 30 nap a hatály alá kerüléstől, a kockázatmenedzsment keretrendszer 90-180 nap, a biztonsági osztályba sorolás 180 nap, az első kiberbiztonsági audit 2 év.

Kapcsolódó megoldások

Kapcsolódó témák

A NIS2 ritkán önálló — gyakran az EU AI Act, DORA és az iparági megoldásaink mellett mozog.

Indítsuk el a NIS2 gap-auditot

30 perces scoping call alatt feltérképezzük az érintettség mértékét és pontos ár-időbecslést adunk.

Kérek NIS2 gap-auditot →30 perc ingyenes konzultáció