---
title: "NIS2 magyar SaaS-nak: minimum checklist 2026-ra"
description: "A NIS2 irányelv már hatályban van · ez a legkisebb szoftveres lista, amire el kell jutnia minden EU SaaS-nek, ha nem akar bírságot."
date: 2026-04-20
updated: 2026-04-20
author: "Mező Dezső"
tags: "NIS2, Compliance, Biztonság, EU"
slug: nis2-saas-checklist-hu
canonical: https://dfieldsolutions.hu/blog/nis2-saas-checklist-hu
---

# NIS2 magyar SaaS-nak: minimum checklist 2026-ra

Mit kér a NIS2 konkrétan egy közepes SaaS-től: incidens-jelentés, ellátási-lánc, hozzáférés-kezelés és 3 alap szabály, amit mi is futtatunk.
A [NIS2 irányelv](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive) 2024. október 17-én hatályba lépett, és a magyar Kormányrendelet 2025-ben konkrét kötelezettségeket ír elő a 'fontos' és 'kulcsfontosságú' szervezetekre. Ha SaaS-t szolgáltatsz EU-ügyfeleknek, valószínűleg beleesel a 'fontos' kategóriába. A [Kiberbiztonsági szolgáltatásunk](/szolgaltatasok/kiberbiztonsag) pontosan ezt a felkészítést fedi le · itt a minimum checklist.

## 1. Incidens-bejelentés: 24 óra, 72 óra, 1 hónap

Az NIS2 előírja: 24 órán belül early warning, 72 órán belül incidens-értékelés, 1 hónapon belül záró jelentés. Ez runbook-téma, nem 'majd ha baj van'-téma. Neked ezt már ma le kell írnod.

- On-call séma, aki gombnyomásra mondja ki 'bejelentem'.
- Incident severity táblázat: Sev1 → azonnal NIS, Sev2 → 24h-ban belül, Sev3 → post-mortem.
- Predefinált sablon az early warning üzenethez (NBH, Bekötési portál).

## 2. Ellátási-lánc kockázatkezelés

Listázd a kritikus vendort (AWS, Stripe, SendGrid, stb.), rangsorold őket üzletkockázat alapján, és legyen minden fontosnak valamilyen DPA + biztonsági attestation (SOC2, ISO27001).

## 3. Hozzáférés-kezelés: MFA, rotáció, zero-standing

- MFA mindenkinek, kivétel nélkül. Tech user is.
- Production SSH: just-in-time, 30 perces lejárat.
- API-kulcs rotáció: minimum negyedévente, automatizáltan.

## 4. Patchelés és sebezhetőségkezelés

NIS2 szerint 'reasonable timeframe' belül kell patch-elni. A gyakorlati értelmezés: kritikus CVE 48h-ban, magas CVE 7 napban, közepes 30 napban. Ezt SLA-ként kell futtatnod, nem 'majd megnézzük'.

## 5. Képzés: évi 2x minimum

Kötelező rendszeres security awareness tréning. Ne csak klikkelős, legyen phishing-szimuláció is. A jegyzőkönyvet el kell tudnod mutatni auditkor.

## Mi segítünk

A fenti 5 elemből 4-et 2-3 hét alatt élesbe tudsz tenni a csapatoddal, a maradék egyet (patch SLA) 6 hónap alatt. Ha kell kézzelfogható segítség · írj.

---

Source: https://dfieldsolutions.hu/blog/nis2-saas-checklist-hu
Author: Mező Dezső · Alapító, DField Solutions
Site: https://dfieldsolutions.hu