NIS2 Magyarországon - Kockázat vagy lehetőség?

 

A digitalizált világban, ahol egyetlen kattintásnyi távolságra vagyunk partnereinktől, piacainktól és fenyegetéseinktől egyaránt, új játékszabályok születtek. Európa szerte megérkezett az, amire sokan csak legyintettek eddig: a NIS2. Ez nem csupán egy irányelv, hanem egy erőteljes felhívás arra, hogy gondoljuk újra, hogyan védjük meg szervezeteink digitális idegrendszerét. Magyarországon mindezt a 2024. évi LXIX. törvény, illetve a 418/2024. (XII. 23.) Korm. rendelet és a hozzá kapcsolódó SZTFH rendeletek ültették át a gyakorlatba.

 

Mindenki érintett lehet – a szabályozás kiterjesztése

 

Ha azt gondoljuk, hogy a szabályozás csak a kormányzati szerveket és nagy tech vállalatokat érinti, nagyot tévedünk. A magyar szabályozás ugyanis távolról sem elégedett meg az EU által meghúzott minimumokkal: több ágazatot és szereplőt vont be a hatálya alá, mint a legtöbb tagállam. Kritikus infrastruktúra? Igen. Digitális szolgáltatók? Természetesen. Állami tulajdonú vállalatok? Nálunk igen. Társasházi bérelhető szerverszoba-szolgáltató? Ha megfelelő a mérete vagy hatása, ő is.

Ráadásul nem elég, ha önmagában működik a rendszer. Ha partnereid, beszállítóid, alvállalkozóid nincsenek rendben, az a te felelősséged is lehet. A szabályozás az ellátási lánc egészére kiterjed, ami egyfajta dominóeffektust indíthat el a piacon. Ez különösen fontos szempont lehet azon cégek számára, amelyek integrált beszállítói körrel dolgoznak – például biztonságtechnikai vagy digitális infrastruktúra területen.

A NIS2 nemcsak technológiai vagy informatikai ügy. Ez egy átfogó kockázatkezelési és üzletmenet-folytonossági program, amit ha nem vezet be egy szervezet időben, az nemcsak bírságokkal, hanem súlyos működési károkkal is szembenézhet.

 

Kiket érint a NIS2 direkten? – A kötelezettek köre

 

Az alábbi szervezeti körök egyértelműen beletartoznak:

  • Közigazgatási szervezetek (1. melléklet I.)

  • Többségi állami befolyás alatt álló gazdálkodó szervezetek (1. melléklet II.)

  • A nemzeti vagy honvédelmi kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosítottak (1. melléklet III.)

  • A 2. és 3. melléklet szerinti szervezetek, ha legalább középvállalkozásnak minősülnek (1. melléklet IV.)

  • Bizonyos ágazatok szereplői mérettől függetlenül, így például:

    • elektronikus hírközlési szolgáltatók,

    • bizalmi szolgáltatók,

    • DNS- és doménnév-szolgáltatók,

    • honvédelmi vonatkozású gazdasági társaságok (1. melléklet V.)

Továbbá alkalmazandó a 2021. évi XCIII. törvény 5. melléklete, amely az ország védelme és biztonsága szempontjából jelentős szervezeteket és infrastruktúrákat sorolja fel.

 (Kép forrás: SZTFH hivatalos weboldal)

 

 

Alapvető és fontos szervezetek – fogalmi meghatározás

 

A NIS2-es megfelelés kulcsa az, hogy egy szervezet alapvetőnek vagy fontosnak minősül-e. Ez két fő tényező alapján dől el:

  • a szervezet által nyújtott szolgáltatás kritikussága az állam, a társadalom és a gazdaság működése szempontjából,

  • illetve a szervezet mérete.

Alapvető szervezetek:

  • a közigazgatási ágazathoz tartozók (kivéve a 20 000 fő alatti települések hivatalai),

  • állami többségi tulajdonú középvállalkozásnál nagyobb gazdálkodó szervezetek,

  • a nemzeti vagy honvédelmi kiberbiztonsági hatóság által ilyennek minősítettek,

  • a kritikus szervezetek ellenálló képességéről szóló (Kszetv.) törvény szerinti kijelöltek.

Fontos szervezetek:

  • 20 000 fő alatti települések önkormányzati hivatalai,

  • a hatóság által „fontosként” azonosított szervezetek,

  • a 2. vagy 3. melléklet szerinti szereplők, ha nem felelnek meg az „alapvető” kritériumoknak.

 

 

 

Ez a besorolás határozza meg, milyen mélységű és milyen határidőkkel teljesítendő NIS2 kötelezettségek vonatkoznak egy szervezetre. Ezért kulcsfontosságú már az első lépésben – az osztályba sorolásnál – a pontos, szakszerű döntés.

 

A megfelelés nem opció – kötelező lépések, amiket minden cégnek meg kell tennie

 

A törvény kifejezetten három lépést ír elő:

  1. Regisztráció a nyilvántartásba.
  2. Biztonsági osztályba sorolás elvégzése.
  3. Kockázatmenedzsment rendszer bevezetése.

Ez egy kockázatalapú megközelítés, ahol a védelem szintjét a fenyegetettség határozza meg. Egy közepes méretű épületüzemeltető cég, amely például digitális beléptetőrendszert üzemeltet, hirtelen a szabályozás hatálya alá eshet, ha tömegek napi szintű mozgása, illetve az infrastruktúra jellege ezt indokolja. Ugyanez igaz egy online piactérre, vagy egy olyan IT-outsourcing cégekre, akik más szervezetek rendszereit tervezik, fejlesztik vagy menedzselik.

 

Egy fontos újdonság a biztonsági osztályba sorolás. A rendszereket három kategóriába kell sorolni (Alap, Jelentős, Magas), és minden szinthez külön követelmények tartoznak. Ez nemcsak technikai dokumentum: stratégiai döntés. Rossz besorolás esetén vagy túl kevés védelmet biztosítunk, vagy túlzott erőforrást fordítunk olyan rendszerekre, amelyek valójában nem igénylik azt.

Audit és ellenőrzés – mi történik, ha nem tartjuk be?

 

A kétévente kötelező audit során a tanúsított auditor értékeli, hogy a rendszer megfelel-e az előírt szabályozásnak. Ha nem, akkor a hatóság határidőt ad a javításra. Ha az sem történik meg, jön a bírság. És nem is akármilyen: akár 10 millió euró vagy az éves árbevétel 2%-a. Emellett személyes felelősség is felmerül: ha a cégvezetés nem biztosítja a megfelelő intézkedéseket, a felelős vezető is szankcionálható.

Különösen figyelmet érdemel az incidensjelentési kötelezettség: 24 órán belül előértesítőt kell küldeni, 72 órán belül pedig részletes jelentést. Ez a gyakorlatban azt jelenti, hogy olyan monitoring rendszerekre van szükség, amelyek képesek időben jelezni és naplózni az eseményeket.

 

Kiberbiztonsági audit – kötelezettség és hatósági kontroll

 

A szervezetek számára nemcsak a megfelelés biztosítása a cél, hanem annak hivatalos igazolása is. Ezért a NIS2 hazai implementációja előírja, hogy a szervezet – néhány kivételtől eltekintve – kétévente kiberbiztonsági auditot köteles végeztetni, illetve erre kötelezhető bármely időpontban is, a hatóság döntése alapján.

Az audit célja nem csupán a megfelelés ellenőrzése, hanem a sebezhetőségek feltárása és a folyamatok megerősítése. Az első audit időpontja sem halasztható: a nyilvántartásba vételt követő 120 napon belül szerződést kell kötni egy hivatalosan regisztrált auditorral, és legkésőbb két éven belül el kell végeztetni az első auditot.

Az aktuális auditorokat a hatóság nyilvántartása tartalmazza – a listán többek között a következő cégek szerepelnek:

  • Alverad Technology Focus Kft.

  • KÜRT Zrt.

  • NETI Informatikai Tanácsadó Kft.

  • Ernst & Young Tanácsadó Kft.

  • VERTAN Kft.

  • és további, különböző biztonsági osztályokra akkreditált szereplők (az alábbi képen megtekinthető a teljes lista)

A szerződéskötés és auditálás elmulasztása komoly szankciókat vonhat maga után – különösen az alapvető vagy fontos szervezetként besorolt szereplők esetében.

Kiberbiztonsági hatóságok – ki jogosult ellenőrizni?

A hatósági kontroll szervezetenként és ágazatonként eltérő:

  • Nemzetbiztonsági Szakszolgálat (NBSZ-NKI):

    • közigazgatási szervek,

    • többségi állami befolyás alatt álló gazdálkodó szervezetek,

    • alapvető vagy fontos szervezetként azonosítottak.

  • SZTFH (Szuverén Technológiai Felügyelet Hivatala):

    • a 2. és 3. melléklet szerinti ágazatok,

    • hírközlési, DNS- és doménnév-szolgáltatók, bizalmi szolgáltatók.

  • Honvédelemért felelős miniszter:

    • honvédelmi érdekhez kapcsolódó tevékenységet végző szervezetek.

  • Magyar Nemzeti Bank (MNB):

    • pénzügyi szektor szereplői, a DORA rendelet hatálya alatt.

Ezek a hatóságok nemcsak felügyelnek, hanem nyilvántartásokat vezetnek, auditálási kötelezettséget írhatnak elő, sőt, bírságot is kiszabhatnak, ha a szervezet nem felel meg a szabályoknak.

 

     

Mindezt hogyan lehet kivitelezni – technológia és stratégia egyben

 

Itt jön képbe az, hogy egy vállalat nem lehet „félig” biztonságos. A fizikai és digitális védelem egyaránt része a teljes rendszernek. A B Consulting megoldásai ebben rendszerszintű támogatást nyújtanak:

 

SPICA beléptetőrendszer és az egyedi B Space beléptetőkapuk: Integrálhatók a belső jogosultságkezeléshez, naplóznak, monitoroznak, akár kétfaktoros hitelesítéssel is működtethetők. A NIS2 elvárásai szerint a fizikai hozzáférés szabályozása és naplózása kötelező eleme a magas biztonsági osztályú rendszereknek.

Bővebben 

 

 

 

 

 

 

 

 

B Guard távfelügyelet: A rendszerek 24/7 megfigyelése és automatikus riasztási funkciója nemcsak kényelmi funkció, hanem megfelelési követelmény. Különösen azoknál a cégeknél, ahol nem áll rendelkezésre saját SOC (Security Operations Center).

Bővebben 

 

 

 

 

 

 

 

 

B OnSite: A helyszíni jelenlét-alapú, digitálisan naplózott és hitelesített eseményrögzítés új szintje a megfelelőség biztosításában. A B OnSite segíti a vállalatokat abban, hogy az emberi jelenlét és tevékenység – legyen szó vagyonvédelemről, HR és dokumentumkezelésről, de akár teherforgalom vagy vendégek kezeléséről – átlátható, bizonyítható és könnyen auditálható módon kerüljön rögzítésre. A rendszer által biztosított titkosított adatkezelés, automatikus jelentésgenerálás és valós idejű státuszkövetés nemcsak hatékonyságnövelő tényező, hanem kifejezetten előnyt jelent a NIS2 szerinti megfelelőségi auditok során is.

 Bővebben

 

 

 

 

 

 

Valódi üzleti előny – nemcsak védelem, hanem piaci versenyelőny

 

Azok a cégek, akik elsőként lépnek, nemcsak a bírságoktól védik meg magukat, hanem piaci versenyelőnyt is szereznek. Egyre több tender és együttműködés esetében már most megjelennek olyan elvárások, hogy a beszállító feleljen meg a NIS2 elveinek. Aki most kiépíti a megfelelési rendszerét, holnapra referencia lesz.

A compliance valójában marketing is. Egy olyan logó vagy tanúsítvány, amely azt mutatja, hogy mi nem csak beszélünk róla, hanem tényleg védjük az ügyfeleink adatait, működését és üzletmenetét.

 

Oktatás és belső kultúra – a gyenge láncszem mindig az ember

 

Hiába a legmodernebb tűzfal, a kifinomult beléptetőrendszer vagy a teljes körű IT-audit, a legnagyobb kockázatot gyakran nem maga a technológia, hanem az emberi tényező jelenti. Egy óvatlan kattintás, egy gyenge jelszó vagy egy gyanús e-mail melléklet – és máris sérülhet a szervezet biztonsága. A NIS2 ezt pontosan felismeri, ezért nem csupán technikai, hanem humán vonalon is kötelezővé teszi a biztonságtudatosság fejlesztését.

A megfelelőség egyik kulcseleme a munkavállalók felkészítése. A jogszabályi elvárások szerint a szervezeteknek igazolható módon kell oktatniuk dolgozóikat a kiberbiztonság alapjairól – ilyen például a helyes jelszóhasználat, a social engineering felismerése, az USB-eszközökkel kapcsolatos szabályok, a hozzáférési jogosultságok ismerete vagy az adathalászat elleni védekezés.

Ezen oktatásoknak rendszeresnek, naplózottan elvégzettnek és a munkavállalók szerepköreihez igazítottnak kell lenniük. A leggyakoribb hiányosságok – például az egyszeri, belépéskori „szabályzatolvasás” – ma már nem elegendők. A NIS2 elvárásai között szerepel a rendszeres gyakorlati tesztelés is, amely szimulált támadásokkal és vészhelyzeti forgatókönyvekkel méri fel a szervezet reagálóképességét.

A cél nem a hibáztatás, hanem a tanulási kultúra megerősítése: egy olyan szervezeti környezet kialakítása, ahol a biztonság közös érték, és ahol a dolgozók nem gyenge láncszemként, hanem a védelem aktív részeseiként működnek közre.

 

A jövő biztosítása – Minden rendszer, minden lépés számít

 

A NIS2 egy mérföldkő, de nem végpont – sokkal inkább egy új korszak kezdete az üzleti biztonság és megfelelőség terén. Aki ezt időben felismeri, stratégiai előnyhöz jut: nemcsak a szabályozásnak tesz eleget, hanem egyben megalapozza vállalata hosszú távú digitális stabilitását is.

Az új követelmények nem csupán a jelenlegi helyzetre reflektálnak, hanem azt a jövőt vetítik előre, ahol az üzletmenet szerves része lesz a reziliencia: az alkalmazkodóképesség, a gyors reakcióidő, az incidensek megelőzése és kezelése, valamint a hiteles működés folyamatos bizonyítása.

A digitális tér ma már nem csupán az IT-osztály felelőssége. A kibertér, a fizikai hozzáférés, az üzleti folyamatok és a humán tényezők összefonódnak. Minden rendszer, minden belépési pont, minden alkalmazás és minden munkavállaló szerepet játszik az üzleti biztonságban. Éppen ezért a megfeleléshez nem elegendő néhány eszköz vagy egy-egy IT-fejlesztés: rendszerszintű, szervezeti szemléletváltásra van szükség.

A B Consulting üzletágai – távfelügyelet, beléptető rendszerek, fizikai biztonságtechnika, rendszertervezés, megfelelőségi dokumentációk kidolgozása – olyan egységes ökoszisztémát képviselnek, amely nemcsak megfelel a NIS2 követelményeinek, hanem előkészíti az ügyfeleinket a következő biztonsági szintlépésre is.

A jövő vállalata nemcsak reagál, hanem előre gondolkodik. Nem védekezik, hanem épít. Ha te is ilyen vállalatot vezetsz – vagy ilyenné szeretnél válni –, akkor nálunk jó helyen kezdesz.

Ha nem tudod, hol kezdd: kezd velünk.

Kapcsolatba lépek!

 

 

Szeretne olvasni az aktuális fejlesztéseinkről, újdonságainkról?
Kérjen e-mail értesítőt!
Sikeresen feliratkozott hírlevelünkre!
© 2026 Minden jog fenntartva. B Consulting Service Vagyonvédelmi Kft.
Sütibeállításokkal kapcsolatos információk
Mi a cookie (süti)?

A cookie-k ("sütik") - a továbbiakban: süti vagy cookie - kis méretű adatcsomagok, amelyeket az Ön böngészője ment el, amikor a weboldalakat, köztük ezt a honlapot is látogatja.

A sütiket a weboldalak általában a felhasználói élmény javítására használják oly módon, hogy a weboldal vagy kizárólag a látogatás idejére ("Munkamenet" sütik, amelyek a böngésző bezárásakor törlődnek) vagy ismételt látogatások során ("Tartós" sütik) "megjegyzi" a felhasználót.

A jelen Cookie (süti) tájékoztató azt ismerteti, hogy a honlapon milyen sütiket használunk és Önnek, mint a honlap használójának milyen lehetőségei vannak a sütik beállításával kapcsoltosan.

Tájékoztatjuk, hogy a cookie-kat nem használjuk az Ön személyének közvetlen azonosítására alkalmas információk tárolására. Amennyiben személyes adatoknak minősülő adatokat kezelünk, ezt az Adatvédelmi tájékoztatónkkal összhangban tesszük.

Lehetnek olyan esetek, amikor harmadik fél cookie-ját használjuk. Kérjük, hogy harmadik fél sütijei tekintetében a harmadik félnél tájékozódjanak az adatkezeléssel kapcsolatban, ugyanis a harmadik fél adatkezelésére nincsen ráhatásunk.

Sütik testreszabása Elfogadom