Kiberbiztonsági audit ára Magyarországon 2026 · NIS2 + behatolásteszt

„Kell egy biztonsági audit” — heti tíz alkalommal érkezik a kérés. A reális válasz: 600 ezer Ft-tól 6 millió Ft-ig, attól függően, mit nézünk át és milyen szabványnak akarunk megfelelni. Itt a részletes ártáblázat 2026-os magyar piacra.

1. Egyszerű webes behatolásteszt · 800 000 – 1 800 000 Ft

Egy weboldal vagy webshop átfogó biztonsági ellenőrzése. OWASP Top 10 lefedettség, SQL-injekció, XSS, hibás belépés-kezelés, gyenge jelszókövetelmény, rosszul beállított titkosítás. Részletes találati lista, mindegyikhez bizonyítóértékű képernyőkép, és 1-2 oldalas javítási jegyzet. Időkeret 2-3 hét. Beleértve egy ingyenes újra-tesztet a javítások után.

2. SaaS / API behatolásteszt · 1 500 000 – 3 000 000 Ft

Webshopnál bonyolultabb: REST/GraphQL API-k, jogosultság-kezelés (BOLA, BFLA), feladat-átvétel, jelvény-támadások, sebességkorlát-megkerülés. SaaS-specifikus: ügyfél-adatok kiszivárgása, többszintű felhasználói szerepkörök. Időkeret 3-5 hét. SOC 2 / ISO 27001 ellenőrzéshez bizonyítékként használható.

3. NIS2-felkészülési csomag · 2 000 000 – 4 500 000 Ft

EU-s NIS2 irányelv 2024 októberétől magyarországi alapvető szolgáltatókra is hatályos (energetika, közlekedés, egészségügy, közigazgatás, ivóvíz, banki, digitális). Csomag: jelenlegi állapot felmérése, hiányosság-térkép, kockázatkezelési politika dokumentum, incidens-bejelentési folyamat (24-72 órás határidő), beszállítói biztonsági átvilágítás. Évi karbantartás 600 ezer – 1,2 millió Ft.

4. ISO 27001 / SOC 2 felkészülés · 3 000 000 – 5 000 000 Ft

Hivatalos tanúsítványra szóló felkészülés (a tanúsítványt külső audit-cég adja, mi a felkészüléssel segítünk). Politika-dokumentumok (információbiztonsági szabályzat, hozzáférés-kezelés, incidens-kezelés, üzleti folytonosság), kontrollok bevezetése, belső audit, hiányosság-javítás. Időkeret 3-6 hónap. Tanúsítványi költség plusz 1,5-3 millió Ft (külső auditor).

5. Vállalati teljes átvilágítás · 4 000 000 – 6 000 000 Ft

Web, mobil, API, infrastruktúra (felhő + helyszíni), Active Directory / Azure AD, e-mail rendszer, biztonsági mentés, harmadik-fél szállítók. Részletes támadói szempontú vizsgálat, beleértve adathalász-szimulációt a munkatársakkal. Vörös csapat (red team) gyakorlat opciós (külön +1,5-3 millió Ft). Tipikusan évente.

Mit kapsz a pénzedért

• Részletes találati riport (PDF + cégnek küldhető összefoglaló)
• Minden találathoz bizonyítóértékű képernyőkép vagy demo-felvétel
• Kockázat-besorolás (kritikus / magas / közepes / alacsony) — kihasználhatóság szerint, nem csak CVSS-pontszám
• 1-2 oldalas javítási jegyzet minden találathoz, fejlesztő-érthető nyelven
• Vezetői összefoglaló (1 oldal) — nem-technikai döntéshozóknak
• Ingyenes újra-teszt minden lezárt találatra
• Megfelelőségi térkép (NIS2, ISO 27001, SOC 2, GDPR) — ha releváns

Mire vigyázz

• 200-400 ezer Ft alatti audit: gyakran csak automatizált eszköz futtatása (Nessus, OpenVAS). Ezt magad is megteheted ingyen — a valódi érték az emberi elemzés.
• „Pipa-audit” NIS2 / ISO 27001 céllal: a tanúsítvány nem azt jelenti, hogy biztonságos vagy. Kérj részletes találati listát.
• Nem-magyarországi szolgáltató: GDPR és NAIH-szabályok ellen vétkezhet. EU-on belüli adatok, EU-s auditor a biztos.
• „Olcsó kiberbiztosítás”: egyre több magyar biztosító kér behatolásteszt-bizonyítványt a kötvényhez. Az audit gyakran fele megtérül a biztosítási díjcsökkenésen.
• Belső csapat: ha 3+ fős fejlesztőcsapatod van, a saját auditor (DevSecOps) gyakran olcsóbb hosszú távon.

Mikor érdemes auditálni

• Élesedés előtt: ne menj élesbe behatolásteszt nélkül, főleg ha pénzügyi adatokat kezelsz.
• Évente: a kódbázis és a támadói táj is változik. Évi felülvizsgálat alapszabály.
• Új szolgáltatás-szállító után: új SaaS, új felhő-platform = új támadási felület.
• Incidens után: ha ránk nyúltak, a következő audit kötelező a biztosítási kötvényhez.
• NIS2 / ISO 27001 / SOC 2 előtt: a hivatalos tanúsítvány előtt felkészülési audit.

Tovább

Ha bizonytalan vagy, milyen audit kell a saját üzletednek: foglalj egy 30 perces hívást — átnézzük, mit kezelsz, milyen szabályozás érint, és kapsz írásos becslést prioritással.