2026. május 26-án az EU tagállamai, a Bizottság és az ENISA közös sablont fogadtak el a NIS2 incidens-bejelentéshez. Egységes mezők, kevesebb admin. Jó hír — ha tudod, mire nem elég.

Ha cégvezető vagy, és NIS2 alá esel, most jogosan gondolod: végre egy űrlap, és kész. A rövid válasz: nem. A sablon a kiberbiztonsági hatóság felé tart. Ha az incidens során személyes adat is kiszivárgott, a NAIH felé külön kötelezettség indul. Két logika, két határidő, két felelős. Ezt a cikk azért írja le, hogy holnap reggel legyen válaszod a kérdésre: ki mit csinál, ha feltörik a levelezés.

Mi történt májusban — és mi nem

A NIS Cooperation Group a ciprusi 39. plenáris ülésén elfogadta a közös incidens-bejelentési sablonokat. A cél az admin terhelés csökkentése és az egységes mezők — ugyanazt kéri el minden tagállam.

A következő lépés: a Bizottság végrehajtási rendeletet fogad, és a sablonok kötelezővé válnak tagállamonként. Magyarországon ez az SZTFH és a Nemzeti Kiberbiztonsági Incidenskezelő Központ (NBSZ NKI) felé vezető bejelentési formát érinti majd.

Ez nem ugyanaz, mint a Digital Omnibus „egységes belépési pont" javaslata. Azt a GDPR-oldali egyszerűsítésről írtuk meg korábban — jövőbeli, még tárgyalás alatt. A májusi sablon viszont már megvan, és a NIS2 kötelezettségre vonatkozik. Ne keverd a kettőt.

💡 Tipp. Ha olvastad a „GDPR egyszerűsítés nem felmentés" cikkünket: ott a 96 órás jövőbeli határidő szerepelt. Itt a mai szabály érvényes — NIS2-nél 24 és 72 óra, GDPR-nál 72 óra a NAIH-nak.

Egy incidens, két csatorna

A legtöbb KKV-nál a támadás nem „csak IT-ügy". Ransomware esetén gyakran ügyféladat, számlázási adat vagy munkavállalói adat is érintett. Akkor két párhuzamos kötelezettség indul.

NIS2 oldal — jelentős kiberbiztonsági incidens esetén három szakasz: 24 órán belül korai figyelmeztetés, 72 órán belül incidens-bejelentés, egy hónapon belül záró jelentés. A hatóság az SZTFH / NBSZ NKI.

GDPR oldal — ha személyes adathoz illetéktelen hozzáférés történt, 72 órán belül be kell jelenteni a NAIH-nak. Az óra attól ketyeg, hogy tudomást szereztél az incidensről. Ezt a GDPR-cikkünk már lefektette.

A két bejelentés tartalma sem azonos. A NIS2 a szolgáltatás-kiesést, a hatást és a helyreállítást kéri. A GDPR az adatkategóriákat, az érintettek számát és a kockázatot. Ugyanabból az eseményből két külön szöveget kell összeállítani — nem másolhatod az egyiket a másikba.

⚠️ Figyelem. A NIS2 alól kieshetsz méret vagy ágazat miatt, a GDPR alól nem feltétlenül. Ha az ügyféladat kiszivárgott, a NAIH nem kérdezi meg, hány embert foglalkoztatsz. Ezt a „küszöb-csapdát" a Meta-bot cikkünkben is leírtuk.

Precedens: a késői bejelentés is büntetendő

2026 májusában a berlini adatvédelmi hatóság reprimandot adott egy közlekedési üzemeltetőnek. Egy feldolgozójukat támadták meg; közel 180 000 ügyfélrekord érintett. A hatóság nem a támadást büntette — hanem azt, hogy a bejelentés későn érkezett, és a feldolgozó törlését nem ellenőrizték.

A tanulság KKV-szinten is érvényes: „a partner kezeli" nem mentesít. És a késés önmagában is jogsértés — akkor is, ha a technikai incidens kezelése egyébként rendben ment.

Négy lépés, amit most megtehetsz

1. Triázs az első órában. DPO (ha van) és IT ugyanabban a szobában — vagy ugyanazon a híváson. Három kérdés: mi állt le, milyen adat érintett, ki a felelős a döntésért. Ha személyes adat is van, mindkét csatorna nyitva marad.

2. Két vázlat előre. Ne várd meg az első támadást. Készíts két üres sablont: NIS2 mezők (hatás, érintett rendszerek, helyreállítás) és GDPR mezők (adatkategóriák, érintettek száma, intézkedések). A májusi EU-sablon megjelenése után illeszd ehhez a magyar űrlapot, amint az SZTFH közzéteszi.

3. Egy naptár, két sor. 24 óra: NIS2 korai figyelmeztetés. 72 óra: NIS2 teljes bejelentés és GDPR NAIH-bejelentés — ezek párhuzamosak, nem helyettesítik egymást. Egy hónap: NIS2 záró jelentés. Írd fel a felelős nevét minden sor mellé.

4. Tabletop félévente. Egy órás gyakorlat: feltört levelezés, adat is kiszivárgott. Ki nyitja meg melyik űrlapot, ki hagyja jóvá a szöveget, ki hívja a vezetőt. A Vercel-incidens cikkünk is ezt javasolta — itt konkrét hatósági űrlapokkal.

Mit ne várj el a sablontól

A sablon admin terhet csökkent. Nem szünteti meg a párhuzamos kötelezettséget. A Digital Omnibus később egyetlen belépési pontot ígér — de az még nem hatályos, és a NIS2-GDPR különbség addig is megmarad.

A NIS2-audit határideje 2026. június 30. Az auditor az incidenskezelési tervet is nézi — nem azt, hogy van-e SIEM, hanem azt, hogy van-e dokumentált folyamat. A sablon ehhez jó alap, de csak akkor, ha a cégedben valaki tudja kitölteni éles helyzetben.

Mit mondhatsz magadnak holnap reggel

Ha holnap reggel feltörik a levelezésed, tudnod kell: ki nyitja meg az SZTFH/NBSZ felé a NIS2-bejelentést, ki a NAIH felé a GDPR-ét, és melyik adat kell mindkettőhöz.

Ha erre nincs válasz, a hét feladata egy A4-es incidens-térkép — két oszlop, határidők, nevek. Nem szoftverprojekt. Egy délután munka, ami az első valódi támadásnál megtérül.

Források
  2. Gibson Dunn — Europe Data Protection June 2026 — NIS2 sablonok + Berlin DPA eset, 2026.06.15.
  3. Legiscope — NIS2 vs GDPR: How to Align Both Compliance Programs — 24/72 órás NIS2 határidők, 2026 Q1.
  4. Loop Magazin — GDPR: mit kell tennie egy magyar vállalkozónak — 72 órás NAIH-bejelentés.
  5. Loop Magazin — Az egyszerűsítés nem felmentés — Digital Omnibus egységes belépési pont (jövőbeli).
  6. Loop Magazin — NIS2 a gyakorlatban: három lépés — audit és incidenskezelési terv.

Hogyan készült ez a cikk Szerző: Boros Réka (Loop Magazin). Peer-interjú nem készült; az állítások nyilvános EU- és hatósági forrásokból származnak. AI-segéd: forrás-pakk, tényellenőrzés, stílus-szűrő. Tartalmi döntéseket ember hozott.