A NIS2 mítosz — a kötelező nem a szoftver, hanem a folyamat és az audit
Több magyar IT-szolgáltató és tanácsadó cég 4-8 millió forintos szoftver-csomagot árul a kis- és középvállalatoknak "NIS2-kötelező"-ként. A 2024. évi LXIX. törvény — vagyis Magyarország Kiberbiztonsági Törvénye, közismert nevén "Kibertan 2024" — szerint a szoftver nem kötelező. A folyamatok és az audit kötelező. És az SZTFH a hatóság, ami maximalizálta az audit-díjat. Itt egy 50 fős magyar KKV valódi költség-számolása.
Ki esik a NIS2 hatálya alá?
A magyar NIS2-átültetés a 2026. január 6-i küszöb-revízió szerint a kis- és középvállalatokat a következő feltételekkel érinti:
- Méret: legalább 50 alkalmazott, VAGY legalább 10 millió EUR éves árbevétel ÉS 10 millió EUR balance-sheet-összeg
- Szektor: lényegi (essential) vagy fontos (important) szektorban működik — energia, közlekedés, banki, egészségügy, ivóvíz, digitális infra, közigazgatás, élelmiszer, ipari termékek, vegyi, digitális szolgáltató, kutatás
A küszöb-feltétel vagy-or-logika: ha 50+ alkalmazottad van, a forgalomtól függetlenül a hatály alá esel. Ha kevesebb mint 50 alkalmazottal dolgozol, de meghaladod a 10M EUR forgalmat ÉS a 10M EUR balance-t, akkor is a hatály alá esel.
Egy 50 fős magyar gyártócég, amely élelmiszeripari beszállító — igen, a hatály alá esik. Egy 30 fős marketing-ügynökség, amely 4M EUR forgalommal dolgozik a B2B-piacon — nem esik (digitális szolgáltató szektor, de a méret-küszöb alatt van).
Az SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) a hatóság, ami ellenőriz. A regisztrációs határidő már lejárt (2024. június 30.); a műszaki és szervezeti biztonsági intézkedéseket 2024. október 18-ig kellett megvalósítani; külső auditor-szerződést 2024. december 31-ig; az első audit-ot a legkisebb KKV-knak 2026. június 30-ig kell befejezni.
Tehát most, 2026 közepén, a magyar KKV-szektor lényeges része lemaradt vagy éppen csúszik a határidőkkel. A NIS2-piacon emiatt nagyon nagy a kínálat — és a kínálatban sok félrevezető ajánlat.
A három költség-szegmens
A NIS2-megfelelés három különböző költségből áll össze. Sok piaci szereplő ezt egybeolvasztja egy nagy ajánlatban. Itt szétbontva:
| # | Költség-szegmens | Kötelező? | Tipikus ár 50 fős KKV-nak | Mi tartalmazza |
|---|---|---|---|---|
| 1 | Felkészítés (kockázat-elemzés, folyamatok dokumentálása, belső szabályzatok) | Igen — a NIS2 megfelelés alapja | 400.000-1.500.000 Ft | Risk assessment, IT-security policy, incident-response plan, supplier management policy, training program |
| 2 | Audit (külső auditor által, SZTFH-szabályozott eljárás) | Igen — Kibertan 2024 előírja | 1.500.000-4.000.000 Ft + ÁFA (50 fős, alap-besorolású cégnél) | Külső, akkreditált kibervédelmi auditor által végzett ellenőrzés, jelentés-készítés |
| 3 | Szoftver (SIEM, EDR, monitoring, vulnerability scanner, log-management) | NEM kötelező önmagában | 1.000.000-5.000.000 Ft / év (ha mégis veszel) | IT-eszközök, amik a megfelelést segítik, de nem helyettesítik |
A kötelező szegmensek összesen: 1.900.000-5.500.000 Ft egy 50 fős magyar KKV-nak. Ha a piaci ajánlat egyetlen csomagba beleteszi a szoftvert és ezt 8 millió Ft-tal árazza, akkor legalább 50-60% a szoftveré — amit nem feltétlenül kell megvenned.
A 4-6 millió Ft + ÁFA-os SZTFH-szabályozott audit-maximum egy 15 milliárd forint árbevételű középvállalat felső plafonja. Egy 50 fős, 500 millió-2 milliárd forint árbevételű KKV ennél kisebb összeget fizet — a piaci tapasztalat 1,5-4 millió Ft sávban van.
A 7 hetes felkészítési menetrend
A felkészítési szegmens 7 hét alatt elvégezhető egy 50 fős magyar KKV-nál. Heti 2-4 óra ügyvezetői terhelés, plusz az IT-felelős koordinációja. A táblázat az egyik magyar középvállalkozói piacon gyakori menetrend — a tényleges hetekszám 6-9 között szóródik.
| Hét | Téma | Konkrét teendő | Eredmény |
|---|---|---|---|
| 1 | Hatály-igazolás + asset-leltár | Esel-e a hatály alá (méret + szektor)? IT-eszközök, rendszerek, beszállítók listája. | Hatály-megerősítő dokumentum + asset-inventory |
| 2 | Kockázat-felmérés (risk assessment) | Minden eszközre/rendszerre: mi a fő kockázat, milyen valószínűséggel, milyen hatással? | Kockázat-mátrix |
| 3 | IT-security policy és incident-response plan | Belső szabályzat: ki mit csinál egy incidens esetén, 24/72 órás bejelentési protokoll | Aláírt belső policy + IRP |
| 4 | Supplier (beszállító) management | A kritikus IT-beszállítóid: cloud-szolgáltató, könyvelő-szoftver, CRM, banki kapcsolat | Supplier-list + biztonsági záradékok |
| 5 | Training program + role definition | Ki tudja mit kell csinálnia egy incidens esetén (CEO, IT, HR, ügyfél-támogatás) | Tréning-anyag + szerepkör-definíciók |
| 6 | Külső auditor kiválasztása + szerződéskötés | SZTFH-listán szereplő akkreditált auditort kell választani; árajánlat 2-3 helyről | Aláírt auditor-szerződés |
| 7 | Audit-előkészítés + dokumentáció-leltár | Minden eddigi anyag egy mappában, "audit-ready" csomag | Audit-ready dokumentáció-mappa |
Az audit utána zajlik le — általában 2-4 héten belül a szerződéstől. Az audit jelentés a hatóság felé szolgálhat.
Mit NE vegyél meg
A NIS2-felkészülés piacán találkozhatsz az alábbi termékekkel. Egyik sem kötelező a Kibertan 2024 vagy az SZTFH-szabályozás szerint:
- "NIS2-kompatibilis SIEM-csomag" 2-4M Ft / év — a SIEM (Security Information and Event Management) segíti az incident-monitoringot, de nem helyettesíti az emberi folyamatokat. Egy 50 fős cégnél, nem-kritikus szektorban, gyakran túlméretezett. A NIS2 csak a log-vezetést írja elő, nem a SIEM-platformot.
- "NIS2-tájékoztató jogi csomag" 500K-1M Ft — sablon-dokumentumok, amelyeket cégre szabás nélkül adnak. A magyar piaci gyakorlatban gyakran a cégre nem alkalmazható záradékokkal jönnek.
- "NIS2-megfelelési tanúsítvány" 1-2M Ft — a magyar jog nem ismeri a "NIS2-tanúsítvány"-t mint hivatalos jogi kategóriát. Az SZTFH által akkreditált auditor jelentése a hivatalos megfelelés-igazolás.
- "Mindenre megoldást adó NIS2-csomag" 5-8M Ft — gyanús, mert a NIS2-megfelelés több ember és több folyamat együtt — egyetlen csomagba nem szervezhető. Csak részeit fedi le.
A piaci szereplők között becsületes és tisztességes is van. A különbség: a tisztességes szereplő szétbontja az ajánlatot a 3 költség-szegmensre, és megmondja, hogy a szoftver opcionális. Aki egy nagy számot ad árazás-bontás nélkül, az gyanús.
Egy fontos pontosítás a Big4-szektorról
A NIS2-piacon a Big4-cégek (KPMG, PwC, Deloitte, EY) is jelen vannak, de általában nagyvállalati, nem KKV-méretű ügyfelekre. A KPMG NIS2-szolgáltatása például 15+ milliárd Ft árbevételű cégekre van árazva (több tízmillió Ft-os tanácsadói projekt). Egy 50 fős magyar KKV-nak ez nem alkalmas, és nem is szükséges.
Egy KKV-fókuszú tanácsadó (mint a Niviloop, vagy más, KKV-szektorra szakosodott magyar irodák) ennél nagyságrenddel kisebb áron — 600K-1.5M Ft a felkészítésre — dolgozik. A különbség nem minőségi: a Big4 nem "drágább, mert jobb". A különbség a célzott ügyfél-szegmens. Egy 50 fős magyar gyártó cég ugyanúgy kap NIS2-megfelelést egy KKV-tanácsadótól, mint amilyet egy magyar Big4-tól kapna — csak a Big4-ár indokolt egy 15 milliárd Ft árbevételű nagyvállalatra.
Hétfő reggel — mit mondj magadnak?
Három mondat amit egy NIS2-hatály alá eső magyar KKV-vezető fejében kell legyen hétfőtől:
- "A hatály alá esek-e? 50+ alkalmazott VAGY (10M EUR forgalom + 10M EUR balance) + lényeges/fontos szektor. Ha igen, a 2026-06-30 audit-deadline 16 hét múlva van."
- "A NIS2-piacon szétbontom az ajánlatokat 3 költség-szegmensre: felkészítés, audit, szoftver. A szoftver NEM kötelező — csak az első kettő."
- "600K-1.5M Ft felkészítés + 1.5-4M Ft audit = 2-5.5M Ft a valódi minimum. Aki ennél többet kér, magyarázza meg miért. Aki kevesebbet, kérdezem mit hagy ki."
Ha 50+ fős magyar KKV-vezető vagy, és lényeges/fontos szektorban dolgozol: a 2026. június 30-i audit-deadline közeleg. A felkészítést most kezd el, hogy a 7-9 hetes folyamat utáni 2-4 hetes auditra is legyen idő. Ha most kezded, augusztus végére kész vagy a felkészítéssel, szeptemberben elindulhat az audit-szerződés.
A Niviloop NIS2 felkészítés-csomagja 600 ezer - 1,5 millió Ft áron dolgozik egy 5-50 fős KKV-szegmensre, ugyanezen 7 hetes logikával. Az ingyenes 30 perces NIS2-felmérés az első orientációhoz hasznos — mi a hatály-státuszod, mit kell elsőként rendbe tenni.
Egy 50 fős magyar cégnek a NIS2 nem 8 millió Ft-os szoftver-tétel. 2-3 millió Ft a valódi minimum-keret, ha a szoftver nélkül megoldod. És sok esetben megoldható.
Hogyan készült ez a cikk
Szerző: Loop Szerkesztőség (Niviloop NIS2-felelős, Nóra agent felülvizsgálatával).
Peer-források: ezen a cikken nem készítettünk peer-interjút konkrét magyar KKV-vezetőkkel. A költség-bontás a Niviloop saját ügyfél-tapasztalatából, az SZTFH-szabályozásból és a magyar piaci ajánlatok elemzéséből épül fel. A konkrét cég-esetek (50 fős gyártó, 30 fős marketing-ügynökség) általánosított példák, nem konkrét ügyfelek.
AI-segéd használata: a Niviloop Cowork plugin niviloop-tartalom + loop-magazin-writer skill-láncával, Claude Code-on. A 9-lépéses checkpointos folyamat különösen a "mit ne vegyél meg" szekcióban volt fontos — a kontroverzia-elem nem mehetett ki tényi alátámasztás nélkül.
Tartalmi döntéseket ember hozta. A "4-6M Ft audit + ÁFA" szám az SZTFH 2024-es rendeletéből, a "2026-06-30 audit-deadline KKV-knak" a sterling.services 2025-ös elemzéséből, a "50+ fő VAGY 10M EUR" küszöb a cms.law 2026 januári cikkéből származik.