A NIS2 hatályban van. Az EU SaaS csapatok, amik az első incidensre várnak a papírmunkával, már elveszítették az auditot. Itt a 90 napos terv, amit minden kiberbiztonsági engagement-en lefuttatunk.
Szakmai ellenőrzés:Mező Dezső· Alapító · Mérnök, DField Solutions· 2026. ápr. 30.
A NIS2 2024. október 17. óta hatályban van és a magyar átültetés (2025-ös kormányrendelet) konkrét kötelezettségeket ad bármely "fontos" vagy "kulcsfontosságú" entitásnak. Ha a SaaS-od EU-s ügyfeleket szolgál és átléped bármelyiket: 50 fő, 10 millió euró árbevétel, healthcare / fintech / közszolgáltatás szektor, vagy kritikus-infrastruktúra-közelség · scope-ban vagy.
Azok a csapatok, akik az első incidensre várnak a papírmunkával, már elveszítették az auditot. Az alábbi 90 napos terv minden kiberbiztonsági engagementünkön végigfut, ami egy SaaS csapatot a „homályosan tisztában” állapotból „evidencia-csomag a polcon” állapotba visz. A 2025-ös auditokból építve · mi vált be, mi nem.
A NIS2 a scope-os szervezeteket „kulcsfontosságú”-ra (bankok, healthcare, energia, közlekedés, nagy cloud szolgáltatók) és „fontos”-ra (50 fő vagy 10M euró feletti SaaS, ICT-managed services, élelmiszer, gyártás, postai) bontja. A kulcsfontosságúakat proaktívan ellenőrzik; a fontosakat trigger-esemény után. A kötelezettségek hasonlók; az ellenőrzési ciklus a különbség.
Ha 50 fő és 10M euró alatt vagy és nem flagged szektorban · nem vagy közvetlenül scope-ban. De az ügyfeleid lehetnek, és a beszerzési osztályaik 2025 Q4-től kérni fogják a NIS2 attestáció-kat. A downstream nyomás miatt 2026-ban a legtöbb B2B SaaS úgyis lefuttatja ezt a játékkönyvet.
Az egyetlen dolog, amit minden NIS2 inspektor először kér: "mutasd meg az incidens-kezelési eljárásod." Ha a válasz „le van írva valahol a csapat Notion-ben”, az auditnak vége. A NIS2 három konkrét artefaktumot kér:
Mind a háromnak előre ki kell töltve lennie a stúdió elérhetőségi adataival, a nemzeti CSIRT submission portál URL-jével és az on-call eszkalációs fával. Az on-call mérnöknek 3-kor reggel három üres mezőt kell kitöltenie, nem a doksit megírnia nulláról.
A legtöbb production-szintű SaaS 8-15 kritikus harmadik-fél szállítótól függ (AWS / GCP / Azure, Stripe, SendGrid, Cloudflare, Datadog, GitHub, Auth0). A NIS2 írásos értékelést kér mindegyikről: mit csinál ez a szállító, milyen adat folyik hozzá, mi az attestáció-státusza, mi a hatás, ha kiesik, és mi a fall-back terv?
Egy gyakorlati nyilvántartás belefér egy táblázatba. Egy sor szállítónként · oszlopok: szállító, funkció, adat-kategória, DPA aktív (I/N + dátum), SOC2 / ISO 27001 attestáció (link + lejárat), üzleti-hatás súlyosság (1-5), fall-back terv (free text). Súlyosság szerint rendezve. Bármi 1-3. sorban current attestáció nélkül 30 napos quarantine-listára kerül · vagy kerítsd elő a papírt, vagy migrálj.
Három dolog, amit minden NIS2 inspektor ellenőriz az ötödik-heti evidenciában:
Tooling-tól függően: Azure PIM Microsoft-on, AWS IAM Identity Center + temporary policy-k AWS-en, 1Password Secrets Automation vendor-semleges opcióként. A lényeg az audit log: "X mérnök kért prod-write-ot 14:32-kor, használta 22 percig, lejárt 18:32-kor" · query-elhető logban a timestamp-ekkel.
Belső SLA, amit minden NIS2 engagement-en szállítunk: kritikus CVE 72 óra, magas 7 nap, közepes 30 nap, alacsony következő-negyedéves-ablak. Wire-old fel az automatikus függőség-frissítéseket (Renovate vagy Dependabot), hogy egy új CVE automatikusan PR-t + issue-t hozzon létre a megfelelő severity tag-gel.
Válassz egy reális incidens-szcenáriót és futtasd a runbookot end-to-end. Példák, amiket ügyfelekkel futtattunk:
Időzz minden fázist. Az első tabletop általában 3-5 szűk keresztmetszetet hoz a felszínre (az on-call nem tudja, kit hívjon a nemzeti CSIRT-nél, a runbook egy Notion oldalon van, amit senki nem talál 3-kor reggel, a korai-figyelmeztetés sablon olyan adatot kér, amit 4 óra alatt lehet összegyűjteni). Javítsd ki mindet, mielőtt a valódi incidens felfedezné őket.
Két órás szesszió végigvezeti az egész csapatot a runbook + hozzáférés-politika + tabletop after-action-ön. A NIS2 evidenciát kér a képzésről; egy naptári meghívó + slide-ok + jelenlét-ív az evidencia. Tűzd ki mindent egy single mappába `nis2-evidencia/` névvel, audit-kérdésenkénti almappákkal:
Ezt a 90 napos játékkönyvet end-to-end lefuttatjuk a Kiberbiztonsági szolgáltatásunk belsejében build sprintként vagy 3 hónapos embedded retainerként · az audit tier felszínre hozza a réseket, a build / retainer szállítja a javításokat. Tipikus engagement 18-32 ezer euró a build sprint változatra; 9-12 ezer euró/hó a retainer változatra.
Ha közelít a határidő (Q4 2025 beszerzési kérdések nagyobb ügyfelektől, vagy tervezett audit Q1 2026-ban), a játékkönyv 60 napra is összesűríthető hétvégi átfedéssel a runbook + tabletop heteken. 60 napnál szorosabb bármi színház · a tabletopnak ténylegesen el kell kapnia a szűk keresztmetszeteket az inspektor előtt.
Az árlap tartalmazza a tier-eket; a kapcsolat oldal elfogad egy mondatot és 24 órán belül válaszolunk. Magyarul vagy angolul.
Alapító, DField Solutions
Pénzügyi cégeknél és kreátor-eszközöknél is építettem már olyan rendszereket, amik nap mint nap élesben futnak. Budapesttől San Franciscóig · startupoknak és nagyobb vállalatoknak egyaránt.
Beszéljünk a projektedről. 30 perc, nincs kötelezettség.