Our Article

NIS2 Magyarországon: mire érdemes felkészülni a kiberbiztonsági audit előtt?

A NIS2-höz kapcsolódó magyar szabályozás 2026-ra egyértelműen abba a szakaszba ért, ahol a hangsúly már nem a jogszabályok általános értelmezésén, hanem a tényleges végrehajtáson és auditképességen van. Magyarországon a keretrendszert elsősorban a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény, valamint annak végrehajtási szabályai határozzák meg. Az SZTFH tájékoztatása alapján azoknak az auditkötelezett szervezeteknek, amelyek 2025. január 1-je előtt kezdték meg működésüket, az első kiberbiztonsági auditot legkésőbb 2026. június 30-ig kell elvégeztetniük. Az auditorral való szerződéskötési kötelezettség határideje ezeknél a szervezeteknél 2025. augusztus 31. volt.

Miért lett ez valódi vezetői és jogi kérdés?

A NIS2-megfelelés a gyakorlatban nem kezelhető pusztán IT-projektként. A hazai szabályozás szervezeti kötelezettségeket, felelősségi rendet, dokumentált kockázatkezelést, megfelelő védelmi intézkedéseket és auditálhatóságot követel meg. A végrehajtási rendelet alapján a kötelezettségek és a hatósági felügyelet a törvény hatálya alá tartozó szervezetek meghatározott köreire terjednek ki, és a rendszer kifejezetten külön foglalkozik az elektronikus információs rendszer biztonságáért felelős személy szerepével is. A 2025-ben kiadott képzési rendelet indokolása külön hangsúlyozza, hogy a szervezet vezetőjének is részt kell vennie a kiberbiztonság jelentőségét tudatosító képzésen, az EIR-biztonságért felelős személynek pedig megfelelő végzettséggel és továbbképzéssel kell rendelkeznie.

Ez üzleti szempontból azért fontos, mert sok szervezetnél a kiberbiztonság továbbra is elsősorban technológiai vagy beszállítói kérdésként jelenik meg. A 2026. június 30-i auditlogika viszont abból indul ki, hogy a szervezetnek belsőleg is kontrollált, dokumentált és visszaellenőrizhető módon kell működnie. Ahol ez hiányzik, ott az audit tipikusan nem egy egyszerű ellenőrzés lesz, hanem a szervezet működési hiányosságait feltáró esemény. Ebből a szempontból a NIS2 már egyértelműen vezetői, compliance- és jogi feladat is.
Mit vizsgálhat az audit a gyakorlatban?

Az 1/2025. (I. 31.) SZTFH rendelet szerint a kiberbiztonsági audit célja, hogy egy független auditor megvizsgálja, mennyire ellenállóak az auditált szervezet elektronikus információs rendszerei a kiberbiztonsági fenyegetésekkel szemben. A rendelet alapján az auditor auditálási tervet készít, jogosult a szervezet és rendszerei biztonságával kapcsolatba hozható dokumentumok megismerésére, és az elektronikus információs rendszerek biztonságáért felelős személynek az auditor által meghatározott módon biztosítania és végigkövetnie kell az auditot. Jelentős vagy magas biztonsági osztályba sorolt rendszereknél a rendelet vizsgáló laboratórium bevonását is előírhatja.

A gyakorlatban ez azt jelenti, hogy az érintett szervezeteknek nem elég néhány technikai kontrollt bemutatniuk. Általában át kell tekinteniük legalább azt, hogy mely rendszerek tartoznak a szabályozás alá, megtörtént-e a szükséges osztályba sorolás, létezik-e dokumentált kockázatmenedzsment-logika, naprakészek-e a belső szabályzatok és incidenskezelési eljárások, valamint kijelölték-e és megfelelően bevonták-e azokat a felelősöket, akik az audit során ténylegesen együtt tudnak működni az auditorral. Ez már nem pusztán technikai readiness kérdés, hanem dokumentációs és szervezeti readiness is.

Hol szoktak a szervezetek elcsúszni?

Tipikus probléma, hogy a szervezet rendelkezik bizonyos technikai védelmi megoldásokkal, de ezek mögött nincs egységes és dokumentált irányítási logika. Gyakori hiányosság az is, hogy a felelősségi körök nincsenek egyértelműen kijelölve, a szabályzatok formálisan léteznek, de nem illeszkednek a napi működéshez, vagy a külső IT- és biztonsági szolgáltatókra vonatkozó szerződések nem rendezik megfelelően az incidenskezelést, a hozzáférési szabályokat, a jelentési kötelezettségeket vagy az auditálhatóságot. Mivel a NIS2-megfelelés a szervezet teljes működését érinti, az ilyen rések jellemzően nem maradnak rejtve az audit során. Ez részben következtetés a hivatalos audit- és felkészülési szabályokból, de a magyar szabályozási logika alapján erősen alátámasztható.

A szerződéses környezet külön kockázati pont. Ha a szervezet kritikus rendszereit vagy azok egy részét külső szolgáltató működteti, a megfelelés gyakran azon is múlik, hogy a szerződéses dokumentáció kellően pontosan rendezi-e a biztonsági elvárásokat, az együttműködési kötelezettségeket és az auditor számára szükséges hozzáférési vagy információszolgáltatási kereteket. Sok esetben éppen itt válik láthatóvá, hogy a NIS2-felkészülés nem csak technológiai, hanem komoly commercial és compliance kérdés is.

Miért különösen fontos a 2026. június 30-i határidő?

Az SZTFH több tájékoztatásában is megerősítette, hogy az érintett, 2025. január 1-je előtt működésüket megkezdő auditkötelezett szervezetek számára az első audit határideje 2026. június 30. Az SZTFH azt is jelezte, hogy a hatóság 2025 őszétől megkezdte az auditban érintett vállalkozások ellenőrzését. Ez arra utal, hogy a szabályozás gyakorlati érvényesítése már nem pusztán jövőbeli lehetőség, hanem tényleges hatósági fókuszterület.

A határidő közelsége miatt 2026-ban már nem elsősorban az a kérdés, hogy egy szervezet elindította-e a NIS2-projektjét, hanem az, hogy valóban auditképes állapotba került-e. A legnagyobb kockázat ilyenkor általában nem a teljes hiány, hanem az, hogy a megfelelési elemek szétszórtan, eltérő érettségi szinten léteznek, és nem állnak össze egységesen igazolható rendszerbe. Ez az audit szempontjából különösen problémás lehet, mert a rendeleti logika kifejezetten strukturált, dokumentált megfelelést feltételez.

Mit érdemes most átnézni?

A 2026. június 30-i audit előtt célszerű legalább öt területet külön felülvizsgálni. Először is az érintettséget és az elektronikus információs rendszerek körét: valóban pontosan azonosította-e a szervezet, hogy mely rendszerek tartoznak a szabályozás alá. Másodszor a dokumentációt: naprakészek-e a belső szabályzatok, nyilvántartások, incidenskezelési és kockázatkezelési anyagok. Harmadszor a felelősségi rendet: kijelölték-e az elektronikus információs rendszer biztonságáért felelős személyt, és tisztázott-e a vezetői szerep. Negyedszer a szerződéses környezetet: a külső szolgáltatói és beszállítói szerződések tükrözik-e a kiberbiztonsági elvárásokat. Ötödször pedig az audit-readiness szintet: a szervezet képes-e az auditor számára ténylegesen átadható, konzisztens és ellenőrizhető módon bemutatni a megfelelést. Ezek a pontok nem szó szerinti jogszabályi listák, hanem a hivatalos magyar szabályokból és auditkövetelményekből levonható gyakorlati megfelelési fókuszok.

Összegzés

A NIS2 magyarországi végrehajtása 2026-ban már egyértelműen operatív megfelelési kérdés. Az érintett szervezeteknek a 2026. június 30-i audit előtt nemcsak technikai intézkedéseket kell bemutatniuk, hanem azt is, hogy a kiberbiztonság szervezeti, vezetői, dokumentációs és szerződéses szinten is beépült a működésükbe. Aki ezt időben és rendszerszerűen rendezi, az nemcsak egy auditot kezel jobban, hanem hosszabb távon is védhetőbb működési modellt alakíthat ki.

Articles for you

Esettanulmány: egy nemzetközi tervezési és szállító projekt kockázati struktúrájának újratervezése

Learn more

Az AI Act következő szakasza: compliance és szerződéses kérdések 2026 augusztusától

Learn more

Generatív AI és szerzői jog: üzleti felhasználás, kockázatok, szerződéses tanulságok

Learn more

Kötelező jótállás 2026: új kockázatok a vállalkozói vevők kezelésében

Learn more

Bértranszparencia 2026-ban: felkészültek-e a magyar munkáltatók az új uniós szabályokra?

Learn more