---
title: "NIS2 felkészültség EU SaaS-nak · a 90 napos játékkönyv"
description: "Konkrét 90 napos NIS2 felkészülési terv EU-s SaaS csapatoknak: incidens-bejelentési runbook, ellátási-lánc kockázat-nyilvántartás, MFA + hozzáférés-rotáció, patch SLA-k és tabletop gyakorlatok. A 2025-ös projektjeinkből építve — mi vált be auditokon, mi nem."
date: 2026-04-30
updated: 2026-04-30
author: "Mező Dezső"
tags: "NIS2, Megfelelőség, Biztonság, EU, SaaS, Incidens-kezelés"
slug: nis2-felkeszultseg-90-napos-jatekkonyv-eu-saas
canonical: https://dfieldsolutions.hu/blog/nis2-felkeszultseg-90-napos-jatekkonyv-eu-saas
---

# NIS2 felkészültség EU SaaS-nak · a 90 napos játékkönyv

A NIS2 hatályban van. Az EU SaaS csapatok, amik az első incidensre várnak a papírmunkával, már elveszítették az auditot. Itt a 90 napos terv, amit minden kiberbiztonsági engagement-en lefuttatunk.
A NIS2 2024. október 17. óta hatályban van és a magyar átültetés (2025-ös kormányrendelet) konkrét kötelezettségeket ad bármely "fontos" vagy "kulcsfontosságú" entitásnak. Ha a SaaS-od EU-s ügyfeleket szolgál és átléped bármelyiket: 50 fő, 10 millió euró árbevétel, healthcare / fintech / közszolgáltatás szektor, vagy kritikus-infrastruktúra-közelség · scope-ban vagy.

Azok a csapatok, akik az első incidensre várnak a papírmunkával, már elveszítették az auditot. Az alábbi 90 napos terv minden kiberbiztonsági engagementünkön végigfut, ami egy SaaS csapatot a „homályosan tisztában” állapotból „evidencia-csomag a polcon” állapotba visz. A 2025-ös auditokból építve · mi vált be, mi nem.

**TL;DR**
- 1-3. hét · incidens-kezelési runbook 24h / 72h / 1 hónap NIS-bejelentési mérföldkövekkel.
- 4. hét · ellátási-lánc kockázat-nyilvántartás DPA + attestációval szállítónként.
- 5-7. hét · MFA minden prod hozzáférésen, JIT elevated, secret rotáció 6 hónap alatt.
- 8-9. hét · patch SLA-k CVSS súlyosság szerint, automatikus függőség-frissítések wire-olva.
- 10-11. hét · tabletop egy reális incidensen, minden fázis időzve.
- 12. hét · csapatképzés + audit-ready evidencia-csomag egy mappában tűzve.

## Kire vonatkozik konkrétan a NIS2 (és ki ússza meg a nagy részét)

A NIS2 a scope-os szervezeteket „kulcsfontosságú”-ra (bankok, healthcare, energia, közlekedés, nagy cloud szolgáltatók) és „fontos”-ra (50 fő vagy 10M euró feletti SaaS, ICT-managed services, élelmiszer, gyártás, postai) bontja. A kulcsfontosságúakat proaktívan ellenőrzik; a fontosakat trigger-esemény után. A kötelezettségek hasonlók; az ellenőrzési ciklus a különbség.

Ha 50 fő és 10M euró alatt vagy és nem flagged szektorban · nem vagy közvetlenül scope-ban. De az ügyfeleid lehetnek, és a beszerzési osztályaik 2025 Q4-től kérni fogják a NIS2 attestáció-kat. A downstream nyomás miatt 2026-ban a legtöbb B2B SaaS úgyis lefuttatja ezt a játékkönyvet.

## 1-3. hét · Incidens-kezelési runbook (az első audit-kérdés)

Az egyetlen dolog, amit minden NIS2 inspektor először kér: "mutasd meg az incidens-kezelési eljárásod." Ha a válasz „le van írva valahol a csapat Notion-ben”, az auditnak vége. A NIS2 három konkrét artefaktumot kér:

1. 24 órás korai figyelmeztetés sablon · ki, mi, mikor, súlyosság, jelenleg ismert hatás, folyamatban levő mitigációs lépések.
2. 72 órás incidens-értékelés · root-cause hipotézis, érintett adatok / rendszerek scope-ja, érintett ügyfelek listája, tervezett helyreállítási lépések, follow-up kommunikációs csatorna.
3. 1 hónapos zárójelentés · végleges root-cause analízis, teljes hatás-nyilatkozat, tanulságok, megvalósított strukturális javítások, evidencia a javításra.

Mind a háromnak előre ki kell töltve lennie a stúdió elérhetőségi adataival, a nemzeti CSIRT submission portál URL-jével és az on-call eszkalációs fával. Az on-call mérnöknek 3-kor reggel három üres mezőt kell kitöltenie, nem a doksit megírnia nulláról.

## 4. hét · Ellátási-lánc kockázat-nyilvántartás

A legtöbb production-szintű SaaS 8-15 kritikus harmadik-fél szállítótól függ (AWS / GCP / Azure, Stripe, SendGrid, Cloudflare, Datadog, GitHub, Auth0). A NIS2 írásos értékelést kér mindegyikről: mit csinál ez a szállító, milyen adat folyik hozzá, mi az attestáció-státusza, mi a hatás, ha kiesik, és mi a fall-back terv?

Egy gyakorlati nyilvántartás belefér egy táblázatba. Egy sor szállítónként · oszlopok: szállító, funkció, adat-kategória, DPA aktív (I/N + dátum), SOC2 / ISO 27001 attestáció (link + lejárat), üzleti-hatás súlyosság (1-5), fall-back terv (free text). Súlyosság szerint rendezve. Bármi 1-3. sorban current attestáció nélkül 30 napos quarantine-listára kerül · vagy kerítsd elő a papírt, vagy migrálj.

## 5-7. hét · Hozzáférés-kezelési overhaul

Három dolog, amit minden NIS2 inspektor ellenőriz az ötödik-heti evidenciában:

- MFA minden produkciós hozzáférésen · kivétel nélkül, ops, admin, alapító sem.
- Long-lived secret-ek 6 hónapon belül forgatva · API kulcsok, adatbázis-jelszók, signing key-ek, OAuth client secret-ek.
- Just-in-time elevated hozzáférés · senki nem hordoz permanent production-write jogot. Az emelést kérik, time-box-olják (jellemzően 4 óra), naplózzák, és automatikusan lejár.

Tooling-tól függően: Azure PIM Microsoft-on, AWS IAM Identity Center + temporary policy-k AWS-en, 1Password Secrets Automation vendor-semleges opcióként. A lényeg az audit log: "X mérnök kért prod-write-ot 14:32-kor, használta 22 percig, lejárt 18:32-kor" · query-elhető logban a timestamp-ekkel.

## 8-9. hét · Patch SLA + automatikus függőség-frissítések

Belső SLA, amit minden NIS2 engagement-en szállítunk: kritikus CVE 72 óra, magas 7 nap, közepes 30 nap, alacsony következő-negyedéves-ablak. Wire-old fel az automatikus függőség-frissítéseket (Renovate vagy Dependabot), hogy egy új CVE automatikusan PR-t + issue-t hozzon létre a megfelelő severity tag-gel.

## 10-11. hét · Tabletop gyakorlat

Válassz egy reális incidens-szcenáriót és futtasd a runbookot end-to-end. Példák, amiket ügyfelekkel futtattunk:

- Stripe API kulcs kiszivárgott rossz CI runner konfiguráción keresztül · hogy detektálunk, forgatunk, értesítjük az ügyfeleket, fájljuk le a korai figyelmeztetést?
- Kompromittált függőség a build chain-ben (npm install hozza a malicious frissítést) · hogy izolálunk, újraépítünk, attestáljuk a következő deploy-t?
- Adatbázis read-replica nyilvánosan exposed 14 percig · hogy mérjük az exposure-t, értesítünk, fájljuk le a 72 órás értékelést?

Időzz minden fázist. Az első tabletop általában 3-5 szűk keresztmetszetet hoz a felszínre (az on-call nem tudja, kit hívjon a nemzeti CSIRT-nél, a runbook egy Notion oldalon van, amit senki nem talál 3-kor reggel, a korai-figyelmeztetés sablon olyan adatot kér, amit 4 óra alatt lehet összegyűjteni). Javítsd ki mindet, mielőtt a valódi incidens felfedezné őket.

## 12. hét · Csapatképzés + audit-ready evidencia-csomag

Két órás szesszió végigvezeti az egész csapatot a runbook + hozzáférés-politika + tabletop after-action-ön. A NIS2 evidenciát kér a képzésről; egy naptári meghívó + slide-ok + jelenlét-ív az evidencia. Tűzd ki mindent egy single mappába `nis2-evidencia/` névvel, audit-kérdésenkénti almappákkal:

- `runbookok/` · incidens-kezelés, eszkaláció, kommunikációs sablonok.
- `szallitok/` · ellátási-lánc kockázat-nyilvántartás, DPA-k, attestációk megújítási dátumokkal.
- `hozzaferes/` · hozzáférés-politika, MFA enrollment evidencia, JIT log mintaértékek.
- `patchek/` · patch SLA politika, minta ticket-ek, amik mutatják, hogy az SLA teljesült.
- `tabletops/` · after-action jelentések, alkalmazott javítások timestamp-ekkel.
- `kepzes/` · szesszió-anyagok, jelenlét-napló, aláírt elismerések.

## Hol illik ez a kiberbiztonsági engagement-ünkbe

Ezt a 90 napos játékkönyvet end-to-end lefuttatjuk a [Kiberbiztonsági szolgáltatásunk](/szolgaltatasok/kiberbiztonsag) belsejében build sprintként vagy 3 hónapos embedded retainerként · az audit tier felszínre hozza a réseket, a build / retainer szállítja a javításokat. Tipikus engagement 18-32 ezer euró a build sprint változatra; 9-12 ezer euró/hó a retainer változatra.

Ha közelít a határidő (Q4 2025 beszerzési kérdések nagyobb ügyfelektől, vagy tervezett audit Q1 2026-ban), a játékkönyv 60 napra is összesűríthető hétvégi átfedéssel a runbook + tabletop heteken. 60 napnál szorosabb bármi színház · a tabletopnak ténylegesen el kell kapnia a szűk keresztmetszeteket az inspektor előtt.

Az [árlap](/arak) tartalmazza a tier-eket; a [kapcsolat oldal](/kapcsolat) elfogad egy mondatot és 24 órán belül válaszolunk. Magyarul vagy angolul.

---

Source: https://dfieldsolutions.hu/blog/nis2-felkeszultseg-90-napos-jatekkonyv-eu-saas
Author: Mező Dezső · Alapító, DField Solutions
Site: https://dfieldsolutions.hu