+(36) 30/492-67-33   |    info@securedev.hu
Vissza a tudástárba
NIS2 · MEGFELELŐSÉG · KKV

NIS2 megfelelőség kis és középvállalatoknak — gyakorlati útmutató 2026

A NIS2 magyar implementációja (2023. évi XXIII. törvény / Kibervédelmi törvény) 2024 októberétől több ezer magyar KKV-ra is vonatkozik. Mit kell tenni, milyen sorrendben, mennyibe kerül és mennyi időbe telik? Ebben a cikkben gyakorlati válaszokat adunk — a hatály-ellenőrzéstől a folyamatos megfelelőségig.

8 perc olvasás 2026.05.14. SecureDev csapat
A cikk tartalma
  1. Mi a NIS2, és miért érint engem?
  2. Hogyan tudom eldönteni, hatály alá tartozom-e?
  3. Mi a 10 kötelező intézkedés-terület?
  4. Milyen sorrendben érdemes haladni?
  5. Mennyibe kerül, mennyi időbe telik?
  6. Mit tegyek most azonnal?

Mi a NIS2, és miért érint engem?

A NIS2 az Európai Unió 2022-ben elfogadott kiberbiztonsági irányelve (NIS2 Directive). Magyarországon a 2023. évi XXIII. törvény (közismert nevén: Kibervédelmi törvény) implementálja, és 2024 októbere óta van hatályban.

A NIS2 célja, hogy kritikus szektorokban működő szervezetek minimum kibervédelmi szintet érjenek el, incidenseket időben jelentsenek, és a vezetőség személyesen felelősséget vállaljon a megfelelőségért.

Mennyi cég érintett Magyarországon? A becslések szerint 2 500+ közvetlenül hatály alatti cég, és 10 000+ közvetetten (beszállítói láncon át) érintett szervezet.

Hogyan tudom eldönteni, hatály alá tartozom-e?

Három feltételt kell megnézni:

  1. Szektor. A törvény mellékletei felsorolják a magas-kritikusságú (essential) és fontos (important) szektorokat — energia, távközlés, közlekedés, banki + pénzügyi szolgáltatás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, közigazgatás, posta, hulladék, vegyipar, élelmiszer, gyártás (digitális termékek, gépgyártás, gépjárműgyártás), digitális szolgáltatók.
  2. Méret. Általában 50+ alkalmazott VAGY 10 millió EUR éves árbevétel a határ. Néhány kritikus alszektor ennél kisebb cégekre is vonatkozik (pl. DNS-szolgáltatók).
  3. Beszállítói lánc. Ha közvetlen hatály alatti cégnek beszállítasz (akár alapanyag, akár IT-szolgáltatás, akár egyéb), az ügyfél auditálhat téged — gyakorlatilag rád is alapszintű elvárások vonatkoznak.

Ha bizonytalan, töltse ki az ingyenes 5 perces NIS2 öntesztünket — 15 kérdés alapján visszajelzést kap az aktuális helyzetről.

Mi a 10 kötelező intézkedés-terület?

A törvény 10 területet sorol fel, amin az érintett szervezeteknek megfelelő technikai és szervezési intézkedéseket kell tenniük:

  • 1. Kockázat-elemzési politika. Dokumentált eljárás, éves felülvizsgálat, vezetői jóváhagyás.
  • 2. Incidenskezelés. 24 órán belüli első jelentés a hatóságnak (NBSZ NKI), belső eszkalációs lánc, részletes utánajelentés.
  • 3. Üzletmenet-folytonosság. Mentés, helyreállítási terv (BCP/DRP), krízis-kommunikáció.
  • 4. Beszállítói lánc biztonság. Beszállítói átvilágítás, szerződéses követelmények, jogosultság-felülvizsgálat.
  • 5. Hálózat- és rendszerbiztonság. Szegmentáció, hardening, monitoring (EDR / SIEM).
  • 6. Sebezhetőség-kezelés. Patch-management folyamat, sebezhetőség-szkennelés, CVE-tudatosság.
  • 7. Hozzáférés-kontroll. MFA mindenhol, szerep-alapú jogosultság (RBAC), privileged access kezelés.
  • 8. Titkosítás. Tárolt és átviteli adatok titkosítása, kulcs-menedzsment.
  • 9. Humán-erőforrás biztonság. Tudatosító képzés, BCM gyakorlatok, off-boarding eljárás.
  • 10. Vezetői felelősség. Felsővezetők személyes felelőssége — kötelező NIS2-képzés évente.

Milyen sorrendben érdemes haladni?

A NIS2 nem egyetlen "papírmunka", hanem egy folyamat. Az alábbi sorrend a leghatékonyabb:

1. Gap-analysis (2-3 hét)

Pillanatfelvétel a 10 területen. Mi van, mi hiányzik, mi mennyire kockázatos. Ez a kiinduló dokumentum — minden további lépést erre építünk.

2. Quick win-ek (1 hónap)

Olyan intézkedések, amik gyorsan és olcsón megoldhatók, de nagy biztonsági értéket adnak: MFA bevezetés mindenhol, offline backup, EDR (pl. Defender for Business), központi jelszókezelő, alapszintű incident response sablon.

3. Strukturált bevezetés (3-9 hónap)

Politikák, eljárások, képzések, technikai bevezetések. Havonta review a vezetőséggel.

4. Folyamatos megfelelőség

Negyedéves felülvizsgálat, éves audit, tabletop incident response gyakorlat, frissített kockázat-elemzés.

Mennyibe kerül, mennyi időbe telik?

Egy kb. 50 fős cég tipikus NIS2-projektje:

  • Audit + akcióterv: 3 hét munka, 800 000 - 1 500 000 Ft (egyszeri).
  • Quick win-ek (MFA, backup, EDR): 1 hónap, 400 000 - 900 000 Ft + szoftver-licenszek (pl. M365 Business Premium kb. 8 000 Ft/user/hó).
  • Teljes bevezetés: 6-9 hónap, 2-5 millió Ft (egyszeri) + havi megfelelőség-fenntartás (200 000 - 500 000 Ft/hó).
  • Vezetői NIS2-oktatás: 1 napos workshop, 200 000 - 400 000 Ft.

Az árak iránymutatók, projektenként változnak. A bírság (max. 10 millió EUR vagy árbevétel 2%-a) önmagában indokolja a megelőzést.

Mit tegyek most azonnal?

  1. Töltse ki az ingyenes NIS2 öntesztet — 5 perc, eldönti hogy hatály alá tartozik.
  2. Vezesse be az MFA-t minden user fiókra. Ez 1 hét munka, és a 10 területből 1-et szinte teljesen lefed.
  3. Ellenőrizze a mentést: külső / offline tárolóra megy-e legalább heti 1×? Ha nem, ez a következő hét feladata.
  4. Beszéljen velünk egy 30 perces konzultáción — gyors helyzetértékelést kap, és tudni fogja, mennyi munka áll még előttünk.

Sürget az időkeret? Kezdjük egy 5 perces tesztel.

A NIS2 önteszt 15 kérdéssel a 10 területet végigveszi. Azonnal kapsz egy prioritás-listát — és el tudod dönteni, hol szúrhatsz be külső segítséget.

NIS2 önteszt indítása Részletes szolgáltatás