NIS2 érintettségi teszt — Lényeges / Fontos / Nem érintett
8 kérdés alapján besoroljuk a céged a NIS2 Directive (2022/2555) + magyar 2024. évi LXIX. törvény szerint. Verifikált forrásokból dolgozunk: Annex I / II szektorlisták, méret-küszöbök, Art. 23 bejelentési határidők, Art. 34 bírság-szintek.
8 kérdés — 2 perc kitöltés
Ingyenes, regisztráció nélkül használható. Ha kéred, a részletes eredményt e-mailben elküldjük.
1. A céged a NIS2 Annex I (energia, közlekedés, banki, pénzügyi piaci infra, egészségügy, ivóvíz, szennyvíz, digitális infra, közigazgatás, űr, ICT-szolgáltatás-menedzsment) VAGY Annex II (postai/csomag, hulladék, vegyipar, élelmiszer, gyártás egyes alszektorai, digitális szolgáltatók, kutatás) szektorba tartozik?
Az Annex I szektorok lényeges entitást, az Annex II fontos entitást jelentenek méret-küszöb mellett. Forrás: NIS2 Directive 2022/2555.
1 / 8
2. A céged nagyvállalat? (≥250 alkalmazott VAGY ≥50 millió EUR éves árbevétel / ≥43 millió EUR mérlegfőösszeg)
Nagyvállalati méret + Annex I = lényeges entitás. Az EU 2003/361/EC ajánlás definíciója szerint.
2 / 8
3. (Ha 2-re NEM) Középvállalat? (50–249 alkalmazott VAGY 10–50M EUR árbevétel / 10–43M EUR mérleg)
Ha 2-re igen volt a válasz, ezt automatikusan átugorhatod. Középvállalat + Annex I = fontos. Középvállalat + Annex II = fontos.
3 / 8
4. A céged DNS-szolgáltató, TLD-regisztrátor, közigazgatási szerv, adatközpont-szolgáltató vagy ICT-szolgáltatás-menedzsment?
NIS2 Article 2(2): ezek a szolgáltatók mérettől függetlenül érintettek. Egy 5 fős DNS-szolgáltató is bejelentési kötelezett.
4 / 8
5. Volt már bejelentett kibertámadás vagy IT-biztonsági incidens a cégednél az elmúlt 24 hónapban?
Nem dönti el a besorolást, de növeli a felügyeleti kockázatot. A NIS2 Art. 23 szerint a jelentős incidenseket 24h / 72h / 1 hónap határidővel kell jelenteni — ez most már aktív kötelezettség.
5 / 8
6. Tárolol személyes vagy egészségügyi adatot ügyfelekről?
Önmagában nem dönti el a NIS2-besorolást, de erősíti a kockázat-szintet — a GDPR és NIS2 átfedő kötelezettségei miatt egy incidensnél kettős bejelentési kötelezettség él.
6 / 8
7. Van CISO vagy dedikált információbiztonsági felelős a cégnél?
A NIS2 Art. 21(2) szerint a vezetőségnek elszámoltathatónak kell lennie a kiberbiztonsági kockázatkezelésért. CISO nélkül a megfelelés papíron nehéz.
7 / 8
8. Van naprakész incident response terv és teszteltétek az elmúlt 12 hónapban?
A 24h / 72h / 1 hónap (Art. 23) határidőket csak tesztelt IR-terv mellett tudod teljesíteni. A papíron meglévő, sosem futtatott terv nem elég.
8 / 8
Az eredmény itt jelenik meg
Töltsd ki az összes kérdést, és kattints az „Eredmény megjelenítése” gombra. A verdict (lényeges / fontos / nem érintett) és a következő lépések azonnal megjelennek itt.
- Hivatkozott EU + HU jogszabályok
- Bírság-szint a besorolásodnak megfelelően
- Bejelentési határidők (24h / 72h / 1 hónap)
- Konkrét következő lépések 2 hét távlatra
Minden besorolás-szabály látszik
Nincs fekete doboz. Az alábbi 6 logikai lépés alapján adjuk a végeredményt — minden EU-szabály-cikkre és a magyar transzpozícióra hivatkozva.
1. Annex I — lényeges szektorok
Ha Q1 = igen + Annex I szektor + nagyvállalat (≥250 fő VAGY ≥50M EUR árbevétel / ≥43M EUR mérleg) → lényeges entitás
Annex I szektorok: energia, közlekedés, banki, pénzügyi piaci infrastruktúra, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, közigazgatás, űr, ICT-szolgáltatás-menedzsment. Ha a céged ilyen szektorban dolgozik ÉS nagyvállalat, lényeges entitás vagy.
2. Annex II — fontos szektorok
Ha Annex II szektor + (nagy- vagy középvállalat) VAGY Annex I + középvállalat → fontos entitás
Annex II szektorok: postai és csomagszolgáltatás, hulladék, vegyipar, élelmiszer, gyártás (egyes alszektorok), digitális szolgáltatók, kutatás. Ezekben a méret-küszöb belépéssel fontos entitás lesz a cég. Az Annex I-ben középvállalat ugyancsak fontos (nem lényeges).
3. Méret-küszöbök
Nagy: ≥250 fő VAGY ≥50M EUR árbevétel / ≥43M EUR mérleg. Közepes: 50–249 fő VAGY 10–50M EUR / 10–43M EUR.
A NIS2 a 2003/361/EC ajánlás KKV-küszöbeit használja. 50 fő alatt és 10M EUR alatt méretileg nem érintett a cég — kivéve a méret-független szolgáltatókat (lásd 4. pont).
4. Méret-független érintettség
DNS, TLD-regisztrátor, közigazgatás, adatközpont-szolgáltató, ICT-szolgáltatás-menedzsment → mérettől függetlenül érintett (Art. 2(2))
Egyes kritikus szolgáltatókat a direktíva mérettől függetlenül érintettnek minősít. Egy 5 fős DNS-szolgáltató ugyanúgy bejelentési kötelezett, mint egy 500 fős energiacég.
5. Bejelentési határidők
24h early warning · 72h teljes incidens-bejelentés · 1 hónap zárójelentés (Art. 23)
Jelentős incidensnél (lényeges üzemi fennakadást okozó vagy jelentős anyagi kárral járó esemény) többlépcsős bejelentési kötelezettség. A magyar hatóság: Nemzeti Kibervédelmi Intézet.
6. Bírság-szintek
Lényeges: ≥10M EUR vagy 2% globális árbevétel · Fontos: ≥7M EUR vagy 1,4% globális árbevétel (Art. 34)
A bírság minimum-szintek a direktívában rögzítettek. A magyar felügyeleti díj (max 0,015% előző évi árbevétel, entitásonként max 10M Ft, cégcsoport-szinten 50M Ft) ettől különálló fenntartási díj — nem szankció.
Mit jelent a végeredmény
Lényeges entitás
A legszigorúbb felügyelet alá esel: proaktív audit, helyszíni ellenőrzés, 24h / 72h / 1 hónap bejelentési kötelezettség, Art. 21(2) szerinti 10 intézkedés. Bírság minimum 10M EUR vagy 2% globális árbevétel. Következő lépés: NIS2 audit kérése a gap-elemzéshez.
Fontos entitás
Reaktív felügyelet (panasz / incidens után), de ugyanazok a határidők és intézkedés-listák. Bírság minimum 7M EUR vagy 1,4% globális árbevétel. Az ellenőrzőlistán végigmegyünk, a gap-okat 4–8 hetes mini-projektekben zárjuk.
Nem érintett
Közvetlen NIS2 megfelelési kötelezettséged nincs — DE a beszállítói lánc szabály miatt egy lényeges/fontos ügyfél bekérheti tőled a saját NIS2-megfelelési igazolásait. Auditra ekkor is érdemes felkészülni.
Bizonytalan eredmény
Egyes szektor-besorolásokat (pl. „digitális szolgáltató”, „kutatás”) konkrét tevékenység-listára kell leképezni. Ha a teszt nem ad egyértelmű választ, kérj NIS2 auditot — a pontos besorolást csak a teljes scope-elemzéssel lehet visszaigazolni.
Tisztességes figyelmeztetés
Az ellenőrzőlap nem helyettesíti a jogi tanácsadást. A pontos besoroláshoz auditot ajánlunk — ott már a céged tényleges szolgáltatás-listája, ügyfél-listája és incident-history alapján dolgozunk.
NIS2 érintettségi teszt — gyakori kérdések
Az ellenőrzés gyors első besorolást ad arról, hogy a céged NIS2 alá esik-e (lényeges / fontos / nem érintett). 8 kérdés, 2 perc kitöltés. A logika a NIS2 Directive 2022/2555 és a magyar 2024. évi LXIX. törvény (hatályba: 2026. január 6.) szövegéből indul ki. A pontos jogi besoroláshoz kérj NIS2 auditot — a teszt nem helyettesíti a jogi tanácsadást, csak orientál a kockázat-szintben és a következő lépésekben.
Kapcsolódó megoldások
A NIS2 érintettség mellett a leggyakrabban előjövő témák.
NIS2 ellenőrzőlista IT-vezetőknek
Részletes 21(2) intézkedés-leképezés, audit-felkészülési útmutató.
MegnézemNIS2 megfelelési projekt
Gap-elemzés, intézkedés-bevezetés, audit-felkészítés. Fix árú projekt-csomagok.
MegnézemEU AI Act magas kockázatú checklist
Ha NIS2 mellett AI-rendszereket is futtatsz: 24 lépés a 2026-08-02-i határidőhöz.
MegnézemSzoftverfejlesztés banki szektor
Bankok lényeges entitásként — NIS2 + AI Act dual-megfelelés alapból a projektben.
MegnézemERP TCO kalkulátor
Ha a NIS2 audit közben ERP-cserét is mérlegelsz: 5 éves TCO-számítás 4 vendor-ra.
Megnézem
Beszéljünk a NIS2 felkészülésről
A magyar 2024. évi LXIX. törvény 2026. január 6-án lépett hatályba. 30 perc telefon vagy személyes egyeztetés tisztázza a céged besorolását, az audit-tervet és a következő 6 hónap intézkedés-listáját. Hívj a +36 30 098 0767 számon, írj a balint@appforge.hu címre.
Budapesti iroda: 1054 Budapest, Szabadság tér 7. (Bank Center), 1. emelet 112. iroda · H–P 9:00–18:00 előzetes egyeztetéssel.Kérj NIS2 auditot — gap-elemzés 5 munkanap alatt
Az érintettségi teszt csak az első besorolás. A pontos megfelelési hiányokat 5 munkanapos gap-audittal mérjük fel — fix árú csomag.