150 millió forint a tét — a NIS2-audit, amit egy gyártó cégvezető nem delegálhat A NIS2 kiberbiztonsági audit határideje 2026. június 30. (SZTFH). Ha gyártó céged eléri az 50 főt vagy a 3,9 milliárd forintos árbevételt, akkor ez rólad szól. A mulasztás bírsága az éves árbevétel 2%-áig, legfeljebb 150 millió forintig terjed (RSM Hungary).
Sok cégvezető azt hiszi, ez tisztán informatikai ügy. Nem az. A törvény a felelősséget a vezetőre telepíti, nem a rendszergazdára.
Miért a te asztalodon van ez A NIS2 a felső vezetést teszi felelőssé a megfelelésért. A bírságot a cég kapja, a számonkérés pedig a vezetőé. Ezt nem lehet egy külsős IT-cégre áthárítani aláírás nélkül.
A magyar hatóság a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Három mulasztást is külön szankcionál: a regisztráció elmaradását akár 150 millió forintig, az auditor-szerződés hiányát 1-15 millió forintig, az audit elmaradását szintén 150 millió forintig (RSM Hungary, KPMG).
Először döntsd el: érintett vagy-e egyáltalán Két feltételnek kell egyszerre teljesülnie. Az egyik a méret, a másik az ágazat.
A méret-küszöb: legalább 50 fő, vagy legalább 3,9 milliárd forint (10 millió euró) éves árbevétel (ICT Global). Aki ez alatt marad, az kieshet a hatály alól (ESET).
Az ágazat: a gyártás és az élelmiszer-feldolgozás nevesített, érintett szektor (NKI). Egy 60 fős fémmegmunkáló vagy egy 80 fős élelmiszeripari üzem tehát jó eséllyel benne van.
💡 Gyors önteszt: Gyártasz vagy feldolgozol? Elérted a 50 főt vagy a 3,9 milliárd forintot? Ha mindkettőre igen, akkor érintett vagy. Két perc, és tudod a választ.
A határidő, ami már lejárt Itt jön a kellemetlen rész. Az auditorral kötendő szerződés határideje 2025. augusztus 31. volt (RSM Hungary). Ez a nap elmúlt.
Aki nem kötött szerződést auditorral, az ma is mulasztásban van. A szerződés hiánya önmagában bírságalap, függetlenül az audit végeredményétől.
Az audit teljesítésének határideje viszont csúszott. Eredetileg 2025. december 31. volt, de az SZTFH és az MKIK közösen fél évvel kitolta 2026. június 30-ra (Telex). Ez a haladék most fogy el.
⚠️ Figyelem: A határidő-hosszabbítás csak az auditra vonatkozott, a szerződéskötésre nem. A két dátumot sokan összekeverik — és pont ezen buknak el.
A négy lépés a június 30-i határidőig A folyamat négy lépésre bontható. Egyik sem igényel mély informatikai tudást a döntéshez.
Tisztázd az érintettséget. Nézd meg a létszámot, az árbevételt és a fő tevékenységi kört. Ha határeset vagy, kérj jogi vagy compliance-véleményt írásban.
Regisztrálj az SZTFH-nál. A nyilvántartásba vétel Cégkapun keresztül, az SZTFH 420 űrlappal történik (Infobiz). Ezzel egyidejűleg sorold biztonsági osztályba a rendszereidet — alap, jelentős vagy magas a 7/2024. (VI. 24.) MK rendelet szerint.
Szerződj auditorral, és időzítsd az auditot. Válassz nyilvántartott auditort, kösd meg a szerződést, és tűzd ki az audit időpontját jóval június 30. elé. Az auditornak idő kell a vizsgálatra.
Készülj a díjra és a ciklusra. Az éves felügyeleti díj a biztonsági osztályba sorolással áll be. Ezután már nem egyszeri feladat — az auditot kétévente meg kell ismételni (SZTFH).
Mibe kerül, és mi jön utána A felügyeleti díjnak felső korlátja van: legfeljebb az éves árbevétel 0,015%-a, de maximum 10 millió forint évente (Andersen). Egy középvállalatnak ez kiszámítható, tervezhető tétel.
A 2025. január 1. után indult cégekre enyhébb a naptár: az első auditot a nyilvántartásba vételtől számított két éven belül kell elvégeztetni (RSM Hungary). A régebbi cégekre viszont a június 30-i határidő él.
A kétéves ciklus a lényeg. A NIS2 nem egy pecsét, amit egyszer beszerzel. Visszatérő kötelezettség, amit érdemes a cég működésébe építeni.
Egy kérdés, amit holnap reggel felteszel magadnak Ne a teljes szabályozást próbáld fejben tartani. Tedd fel magadnak ezt az egy kérdést: ki felel nálam név szerint a NIS2-határidőért, és van-e aláírt auditor-szerződés a fiókban?
Ha nincs név és nincs szerződés, akkor ez a héten a te feladatod. Huszonhét nap van hátra, és a szerződés-határidő már le is járt.