appforge
EU 2022/2555 · Magyar 2024. évi LXIX. tv. · NKH

NIS2 megfelelés és kiberbiztonság magyar cégeknek

NIS2 audit + roadmap 4-6 hét alatt, fix árú projektben. Teljes implementáció (SIEM, MFA, IR playbook, BCP, képzés) 6-9 hónap közepes vállalatnál. CISO-as-a-Service, ha nincs in-house kiberbiztonsági vezető. A bírság 7-10 millió EUR — a felkészülés tört része.

NIS2 audit kérése
30 perc gap-analysis
Hatály

Kit érint a NIS2 Magyarországon?

Méretküszöb: közepes vállalat (50+ munkatárs vagy 10M EUR éves árbevétel) és nagyvállalat. Hatóság: Nemzeti Kibervédelmi Hivatal (NKH). 18 szektor, két kategóriában.

Esszenciális szektorok
Energia, közlekedés, banki / pénzügyi szektor, egészségügy, ivóvíz-szolgáltatás, digitális infrastruktúra (DNS, IXP, TLD), közigazgatás, űrkutatás. Bírság: max. 10M EUR vagy 2% globális árbevétel.
Banki / pénzügy
Hitelintézetek, befektetési szolgáltatók — DORA-val párhuzamosan érvényes.
Egészségügy
Kórházak, gyógyszergyártók, orvosi eszköz gyártók, laboratóriumok.
Logisztika & közlekedés
Légi-, vasúti-, vízi-, közúti közlekedés. Postai és csomagküldő szolgáltatások (fontos szektor).
Gyártás (fontos szektor)
Orvosi eszközök, járművek, gépek, vegyipari termékek gyártása. Bírság max. 7M EUR vagy 1,4%.
Digitális szolgáltatók
Felhő, online piactér, keresőmotor, social media, MSP / MSSP — több ezer cég Magyarországon.
Megfelelőségi checklist

A 8 kritikus klauzula, amit a hatóság először fog kérni

Az EU 2022/2555 irányelv és a magyar 2024. évi LXIX. törvény legtöbbször ezeken a pontokon bukik el az audit. Mindegyik klauzula mellett a kulcskifejezést kiemeltük.

  • 10. cikk (1)

    Kockázatkezelés

    Kockázatelemzés

    Dokumentált kiberbiztonsági kockázatelemzés a kritikus rendszerekre. Fenyegetés-modellezés, üzleti hatáselemzés, kontrollok priorizálása.

  • 10. cikk (2) c)

    Üzletmenet-folytonosság

    RTO / RPO

    BCP + DRP RTO és RPO értékekkel, dokumentálva, évente tesztelve. Backup-ot tényleges visszaállítással kell ellenőrizni.

  • 11. cikk (1)

    Incidens-bejelentés

    24 / 72 óra / 1 hónap

    24 óra korai jelzés az NKH-nak, 72 óra közbenső, 1 hónap záró jelentés. A folyamatnak előre dokumentáltnak és tesztelt csatornán keresztülfutónak kell lennie.

  • 10. cikk (2) e)

    Ellátási lánc biztonsága

    Beszállítói audit

    Beszállítói és szolgáltatói biztonsági audit. Cloud-providerek, SaaS eszközök, harmadik felek hozzáférésének felmérése és szerződéses lefedése.

  • 10. cikk (2) h)

    Hozzáférés-szabályozás (MFA, SSO)

    MFA mindenhol

    Többfaktoros hitelesítés minden adminisztratív hozzáférésre. SSO, RBAC, least-privilege elv. Hozzáférések naplózva, periodikusan felülvizsgálva.

  • 10. cikk (2) j)

    Titkosítás (TLS, at-rest)

    TLS + at-rest

    Adatok titkosítása átvitel közben (TLS 1.2+) és tároláskor (AES-256). Kulcs-rotáció, KMS-alapú kezelés, érzékeny adatok pszeudonimizálása.

  • 20. cikk

    Vezetői felelősség

    Személyes felelősség

    A vezető tisztségviselők személyesen felelnek a NIS2-megfelelőségért. Magyar implementáció: extrém esetben vezetői pozícióból eltiltás.

  • 21. cikk

    Képzés & tudatosság

    Phishing-szimuláció

    Munkatársak rendszeres kiberbiztonsági képzése, phishing-szimuláció, vezetői képzés. A technológia csak ~40%-a a NIS2-nek; a többi 60% folyamat és kultúra.

Szankciók

Mennyi a tét? — bírság-keretek

A bírság maga csak a látható rész. Az incidens utáni reputációs kár, üzletmenet- megszakítás és per-kockázat tipikusan a bírság 3-5x-ösét teszi ki.

KategóriaFelső határVagy %Példa szektorok / megjegyzés
Esszenciális szektor10 millió EURvagy 2% éves globális árbevételEnergia, banki, egészségügy, közigazgatás, digitális infrastruktúra
Fontos szektor7 millió EURvagy 1,4% éves globális árbevételGyártás, élelmiszer, postai szolgáltatás, vegyipar, hulladékgazdálkodás
Magyar specifikum (20. cikk)Vezetői felelősségSzemélyes szankcióExtrém esetben vezetői pozícióból eltiltás a megfelelőség hiánya esetén
Implementációs fázisok

NIS2 program — 6-9 hónap, fix mérföldkövekkel

A magyar implementáció átmeneti időszakot biztosít, de a hatóság már 2025-2026-ban megkezdi az ellenőrzéseket. A görbe felfelé tart — érdemes most kezdeni.

0–6 hét — NIS2 audit

Gap-analízis: hol állsz most a NIS2 követelményekhez képest. Kockázatértékelés, kritikus rendszerek térképe, hiányzó kontrollok listája. Output: NIS2-megfelelőségi roadmap, fix árú projekt 1.500.000–4.000.000 Ft.

  • · Stakeholder-interjúk (CEO, CISO, IT, jog)
  • · Adatvagyon-leltár, kritikalitás-besorolás
  • · Kontrol-térkép a NIS2 cikkek mentén
  • · Priorizált roadmap költségvetéssel

1–3 hónap — Technikai alapok

Hozzáférés-szabályozás (SSO + MFA), security monitoring (SIEM — Wazuh / Splunk / Elastic Security), patch management, audit logolás, backup és DR rendszerek bevezetése. WAF, DDoS védelem, endpoint security.

  • · SSO + MFA minden adminisztratív hozzáférésre
  • · SIEM telepítés, log-aggregáció
  • · Endpoint detection & response (EDR)
  • · Backup tényleges visszaállítás-teszttel

2–4 hónap — Folyamatok & dokumentáció

Incidens-kezelési procedúra (IR playbook), üzletmenet-folytonossági terv (BCP), katasztrófa-helyreállítási terv (DRP), beszállítói audit-folyamat, képzési anyagok. A folyamati réteg legalább 60%-a a NIS2-nek.

  • · IR playbook + 24-órás bejelentési csatorna
  • · BCP / DRP RTO + RPO értékekkel
  • · Beszállítói biztonsági kérdőív + audit
  • · Évi tabletop exercise

3–9 hónap — Képzés & kultúra

Munkatársak rendszeres kiberbiztonsági képzése, phishing-szimuláció (negyedéves), vezetők számára kiberbiztonsági felelősség dokumentálása. A 20. cikk szerint a vezetői pozíciókra személyes felelősség hárul — ezt fel kell mérni és dokumentálni.

  • · Onboarding + éves kötelező képzés
  • · Phishing-szimuláció (Gophish / KnowBe4)
  • · Vezetői képzés és felelősségi mátrix
  • · Belső biztonsági kommunikáció

Folyamatos — monitoring & CISO-aaS

Havi SIEM-monitoring, negyedéves penetration testing, éves audit-frissítés, jogszabály-változások követése. Külső CISO-as-a-Service szerepkör elérhető, ha nincs in-house szakember (200.000–800.000 Ft / hó).

  • · 24/7 SIEM + alert triage
  • · Negyedéves pentest, éves red team
  • · Board-szintű kiberbiztonsági riport
  • · Incidens-felelős kapcsolat NKH-val
GYIK

NIS2 megfelelés — gyakori kérdések

A NIS2 (Network and Information Security 2) az EU 2022/2555 irányelve, amely a kiberbiztonsági követelményeket egységesíti. Magyarországon 2024 októberétől hatályos, a 2024. évi LXIX. törvény implementálja. Érinti a közepes és nagyvállalatokat (50+ munkatárs vagy 10M EUR éves árbevétel) 18 szektorban: energia, banki, egészségügy, közlekedés, digitális infrastruktúra, gyártás, élelmiszer, kémiai ipar, hulladékgazdálkodás, postai szolgáltatások, közigazgatás stb.

Kapcsolódó megoldások

Kapcsolódó megoldások

A NIS2 ritkán önálló téma — ezek tipikusan együtt jönnek.

Kérj NIS2 audit + roadmap-et

4-6 hét, fix árú projekt. Output: pontos gap-lista, priorizált roadmap, költségvetés. Ezzel megalapozottan tudsz tárgyalni Board-on és NKH-val.

NIS2 auditot kérek30 perc ingyenes konzultáció
Projektet indítok