NIS2 Magyarországon · ki, mit, mikor · gyakorlati útmutató

A NIS2 EU-s irányelv 2023-ban hatályba lépett, a magyar átültetés (Kibertan-törvény) 2024 közepétől él. A gyakorlatban azóta folyamatosan értelmezik · ebben a posztban tisztázzuk, kire vonatkozik, mit kell tenni, és milyen határidőkkel.

Hatókör · essential vs important

Essential entitás: energia, közlekedés, bank, pénzügyi infrastruktúra, egészségügy, digitális infrastruktúra (DNS, cloud, CDN), közigazgatás. Important: élelmiszer-ipari nagy, kémia, digitális szolgáltató, kutatás-fejlesztés. SMB kivétel: < 50 fő és < 10M€ árbevétel alatt általában nem esik a hatályba · de az entitás-típus számít, nem csak a méret.

10 kötelezettség-kategória

• Kockázatelemzés és -kezelés · dokumentálva
• Incidenskezelés · 24 órán belül jelzés, 72 órán belül részletes jelentés
• Üzletmenet-folytonosság · BCP + DR terv
• Ellátási lánc biztonsága · vendor DPA + security review
• Hálózati + rendszer-biztonság · titkosítás, MFA, szegmentáció
• Hatékonyság-értékelés · rendszeres audit + pen-test
• Alapvető higiénia + képzés · évente minimum
• Titkosítási politikák · hol, mit, milyen kulccsal
• HR-biztonság · hozzáférés-kezelés + elbocsátási folyamat
• Menedzseri felelősség · felső vezetés személyes felelőssége (ez a NIS2 újdonsága)

Határidők és bírság-szintek

A regisztrációs határidő 2024 októbere volt; éves self-assessment és audit követelmény 2025-től. Bírság essential: 10M€ vagy 2% globális árbevétel, important: 7M€ vagy 1.4% · közül a magasabb. Magyar hatóság: NBSZ + KIFÜ az ágazatfüggő.