A NIS2-megfelelés nem IT-projekt. Három jogi-szervezeti lépés, amelynek a sorrendje és a határideje fix. Aki 2026. június 30-ig nem fejezi be az első kiberbiztonsági auditot, 50–350 millió forint bírságot kockáztat — a vezető személyesen pedig 15 millióig.

01 — HáttérKit érint és miért égető a kérdés.

Magyarországon több mint 3500 közép- és nagyvállalatra terjed ki a 2024. évi LXIX. törvény (Kiberbiztonsági tv.) hatálya. A jogszabály 2025. január 1-jén életbe lépett, a felügyeleti hatóság az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága).

Egy cég akkor érintett, ha két feltétel együtt teljesül:

A bírság felső határa két szám közül a magasabb. Kiemelten kockázatos szervezetnél 10 millió euró vagy a globális árbevétel 2%-a. Fontos szervezetnél 7 millió euró vagy 1,4%.

Az érintett szervezet a saját ellátási láncáért is felel. Egy közepes gyártócég NIS2-feladata kiterjed a szoftverbeszállítóira, a felhőszolgáltatójára, a logisztikai partnerére. A „mi nem üzemeltetünk IT-t, az a partnerünk dolga" érv a hatóság előtt nem áll meg.

02 — Első lépésÉrintettség eldöntése és regisztráció.

A sorrend rövid:

  1. Cégméret-ellenőrzés (50 fő VAGY 10 M EUR éves árbevétel/mérlegfőösszeg).
  2. Ágazat-besorolás a kibertan. tv. mellékletei alapján.
  3. Ha mindkét feltétel teljesül → regisztráció az SZTFH-nál.

A regisztráció maga nem hosszú. Az SZTFH 420 nyomtatványt kell kitölteni a Cégkapun keresztül. Ami időt vesz: az ágazati besorolás. Egy autóipari beszállító például egyszerre lehet gyártó (II. melléklet) és digitális szolgáltató (I. melléklet). Eltérő intézkedési csomag mindkettő.

A 2024. január 1. előtt induló cégeknek a regisztrációs határidő 2024. június 30. volt. A pótlás lehetséges, de minden hét csúszás tovább szűkíti a 2–3. lépés idejét.

03 — Második lépésBiztonsági osztályba sorolás.

Az érintett szervezet köteles minden elektronikus információs rendszerét (EIR) három osztály egyikébe sorolni:

Az osztályba sorolás szempontrendszere a 7/2024. (VI. 24.) MK rendeletben szerepel. Az eredeti határidő 2024. október 18. volt. A besorolás közvetlenül meghatározza az audit költségét és a bevezetendő intézkedéseket. Egy vásárló-rendelő rendszer alap osztályba kerülhet, egy gyártásirányító SCADA jelentősbe vagy magasba.

A besorolást nem kell minden évben felülvizsgálni — új rendszer beállítása vagy meglévő funkció bővítése azonban újraosztályozást követel.

Egy átlagos középvállalat 8–15 EIR-rel rendelkezik. Levelezés, ERP, CRM, belső dokumentumkezelés, számlázó, gyártásirányító, weboldal, ügyfélportál — mind külön rendszer, mind külön osztályozás. A leltár első verziója többször hiányos: a marketing-automatizációs eszközről, a fejlesztői gépeken futó staging környezetről, a céges Dropboxról a vezetők többsége elfelejtkezik.

04 — Harmadik lépésAuditori szerződés és első audit.

Itt jönnek a friss határidők:

Az audit díját az SZTFH rendelete sapkázza. Az alapdíj 1 750 000 Ft + ÁFA, amit szorzók módosítanak. A szorzók: árbevétel, EIR-szám, biztonsági osztály.

Cég profilÁrbev. szorzóEIR-számOsztályBecsült díj
Átlagos középvállalat2,751–5Alap≈ 5 M Ft
Nagy középvállalat46–15Jelentős≈ 25 M Ft
Felső plafonmax.16+Magas140 M Ft
Becsült auditdíj-tartomány az SZTFH rendelet alapján · nettó, ÁFA nélkül

Az auditort nem maga a cég választja önállóan: csak az SZTFH által akkreditált szervezet végezheti. A piacon korlátozott a kapacitás. Minden negyedévvel későbbi szerződéskötés magasabb árat és szorosabb ütemtervet jelent.

Az auditor 2–3 hét helyszíni jelenléttel számol egy alap besorolású cégnél. Ehhez jön a cég felkészülése: dokumentációs leltár, sebezhetőségi vizsgálat eredménye, incidensnapló, hozzáférési mátrix. Átlagosan 4–6 hónapnyi belső munka. Aki 2025 második felében köt szerződést és 2026 januárjában kezdi a felkészülést, a júniusi határidőre biztos kifut. Aki 2025 nyarán kezd, kényelmes ütemezést kap.

05 — EllenérvekÖrdög ügyvédje.

A 3500-as érintettségi szám szakmai becslés. Az SZTFH végleges nyilvántartása nem nyilvános teljes terjedelmében. Lehet, hogy a tényleges szám 4500, lehet, hogy 2800.

Másik ellenpont: 5 M Ft-os audit egy 50 fős, 12 M EUR árbevételű cégnél a működés 0,3–0,5%-a. Egy 200 fős, 50 M EUR-s cégnél ugyanez 0,01%. Az arány nem lineáris — a kis közép terheltebb.

Aki úgy számol, hogy „talán nem fognak ellenőrizni": az SZTFH 2024 októbere óta jogosult hatósági ellenőrzésre. A bírság-konstrukció átalány-jellegű, ami azt jelenti: 50 millió alá ritkán megy.

Harmadik ellenpont: az 50 fős küszöb statikus, miközben a kibertámadások a 30 fős cégeket is érik. A NIS2 itt rosszul mintázott. A küszöb alatti cégek a hatóság látókörén kívül maradnak, de a kockázat-kezelési feladatuk valós. Az ügyfelek és partnerek (NIS2 alá tartozó nagyvállalatok) tőlük is szállítói nyilatkozatot fognak kérni — ez a „de facto NIS2" jelenség.

06 — AkciótervMit kell tennie a következő 30 napban?

Konkrét cselekvési lista:

  1. Érintettség ellenőrzése (cégméret + ágazat, két ülésen tisztázható).
  2. Regisztrációs státusz lekérdezése az SZTFH-nál; ha nincs regisztráció, pótlás Cégkapun.
  3. EIR-leltár frissítése (minden rendszer, minden adat-folyam).
  4. Biztonsági osztályba sorolás dokumentumának elkészítése, ha még nincs.
  5. Auditor-tárgyalás 2 vagy 3 akkreditált szervezettel — szerződés 2025. augusztus 31. előtt.

Aki ezt a listát egyetlen napirendre ráteszi a soron következő igazgatósági ülésen, megfordítja a felkészülés ütemét. Aki nem teszi rá, 2026 nyár közepén szembesül azzal, hogy az auditor naptára tele.

A NIS2 nem mert eljönni — már itt van. A három lépés közül az első kettő határideje lejárt. A harmadiké egy év múlva lejár. A személyes vezetői felelősség 15 millió forintos plafonja viszont ma is él.
Források